IPsec VPN Gateway
VPN Gateway für Windows XP Clients
Zunächst brauchen wir eine X.509 Infrastruktur, Details dazu sind unter X.509 zu finden. Weiterhin brauchen wir einen L2TP und einen Radius Server, dazu später mehr. Hier nur der OpenSwan ipsec.conf Eintrag für diese Verbindungen:
conn winvpn
type=tunnel
keyingtries=3
authby=rsasig
pfs=no
#
left=192.168.0.254
leftsubnet=192.168.0.254/32
leftid="/C=de/ST=Hessen/O=pug.org/OU=VPN/CN=Wiesbaden/emailAddress=vpn@example.com"
leftca="/C=de/O=pug.org/OU=CA Authority/CN=vpn.pug.org/emailAddress=camanager@example.com"
leftcert=/etc/ipsec.d/certs/pug-crt.pem
leftprotoport=17/1701
#
right=%any
rightid="C=*, ST=*, O=pug.org, OU=CA Authority, CN=*, E=*"
auto=add
rightprotoport=17/1701
Auch hier muss dass Passwort für den private key in ipsec.secrets hinterlegt sein.
L2TP Server
Mit
apt-get install l2tpns
wird erstmal ein L2TP Server installiert. Dieser hier ist sehr schnell und erfüllt in vielen Punkten auch ISP Anforderungen. Dass er nur PAP kann, ist kein Problem, denn verschlüsseln tun wir ja über IPsec. Hier nun ein Beispiel für eine L2TP Konfig:
Zunächst werden die Adresspools festgelegt, die Datei ip_pool enthält z.B. den Eintrag 10.0.0.0/16, der L2TP Server, der auch einen PPP Server enthält vergibt dann entsprechend Adressen und Netzmasken. In startup-config werden die restlichen Parameter festgelegt:
set debug 0 set log_file "/var/log/l2tpns" set pid_file "/var/run/l2tpns.pid" set l2tp_secret "secret" set primary_dns 198.92.30.32 set secondary_dns 64.102.255.44 set save_state yes set primary_radius 192.168.0.99 set primary_radius_port 1812 set radius_secret StrengGeheim set radius_accounting yes set peer_address 192.168.0.1 set accounting_dir "/var/run/l2tpns/acct/" set setuid 0 set dump_speed no load plugin "throttlectl" load plugin "autothrottle"
Nun wird noch ein Radiusserver gebraucht. Es gibt viele gute Radiusserver, die auch gut dokumentiert sind, daher verweise ich einfach mal auf die entsprechende Doku. Hier gilt auch: RTFM.
