VPN Tunnel in VPN Tunnel? - Seite 2

BOfH · 08.08.2002, 21:25

Btw. hat schon wer unter Linux einen VPN Server eingerichtet (FreeS/WAN, Win2k Clients) ?

renew · 08.08.2002, 21:30

Eigentlich wollt ich einen Tunnel direkt zum Win2k RRAS aufbauen. Ohne 3rd party Software.

Müsste aber eigentlich auch funktionieren - oder?

Falls wer Websites zu dem Thema mit Zertifikaten usw usf. kennt (am besten auch noch zu Win2k) dann bitte posten. Ich spiel mich auch grad daheim mit dem Klumpat.

Ajo passt zwar nicht 100% zum Thema (obwohls um IPSec geht

), hab aber trotzdem eine Frage zu Certification unter Win2k: hab mir jetzt einen Certification Authority Server aufgesetzt, der als Stand-Alone CA fungiert. (ist mitglied einer Domäne)
Jetzt hätt ich gern einen anderen Server (der das ADS hält), dass er diesem Rechner "traut". Wenn ich mir über das Webinterface (http://server/certsrv) unter Retrieve the CA certificate or certificate revocation list und dann unter "Install this CA certification path" eine Vertrauensstellung hol, bekomm ich die immer nur unter Certificates - Current User/Trusted Root Certification Athorities - aber nicht für Local Computer. (mit Certificates mein ich das Snap-in in der MMC)

Ich nehm aber an, wenn ich bei IPSec (Snap-in IP Security Policies) unter einer Properties seite, von einer der Default-Policies eine zusätzliche Security Rule definieren will (also add...) dort dann bei Authentication Method "Use a certificate from Certificae Authority" auswähle, hätt ich gern meinen CA dabei.
Ist er aber nicht. Ich weiß, ich könnt auch mit Kerberos 5 da herum werkeln - will das aber so machen, wie es schön in der MS Mappe beschrieben is, die so vor mir herumkugelt.

So ich hoff ich hab die Leser jetzt nicht zu sehr mit meinen Angaben verwirrt und vielleicht kann mir einer ja auch noch ein bissi weiterhelfen und durchschaut, das was ich gerne hätte. Weil ich hab langsam keinen Durchblick mehr, bei den ganzen Zertifikatsgschichten in Win2k - was ich wie wo wann krieg und benutzen kann.

MANX · 08.08.2002, 21:45

Zitat:

Original geschrieben von BOfH
Btw. hat schon wer unter Linux einen VPN Server eingerichtet (FreeS/WAN, Win2k Clients) ?

Ja, auf den Clients "SSH-Sentinel", obwohl's mit Windows Boardmitteln auch gehen sollte, nur halt ich von dem wenig

Grüße

Manx

schera · 08.08.2002, 23:12

im Prinzip hast ja schon einen Tunnel mitn ADSL.
Und in diesem Tunnel kann einen weitern machen ... geht sicher.

Hab in der Firma eine Netscreen 5XP stehen und zu Hause ADSL.
Also ADSL-Tunnel PPTP und dann Tunnel ich ins Firmennetzwerk nocheinmal.
Protokoll 3DES und MD5 zur Verständigung ...
Kannst natürlich auch IPSec verwenden ...
Also lt. deiner Frage muss man mit JA anworten ...

el_chupacabra · 09.08.2002, 14:38

Zitat:

Original geschrieben von schera
im Prinzip hast ja schon einen Tunnel mitn ADSL.
Und in diesem Tunnel kann einen weitern machen ... geht sicher.

Hab in der Firma eine Netscreen 5XP stehen und zu Hause ADSL.
Also ADSL-Tunnel PPTP und dann Tunnel ich ins Firmennetzwerk nocheinmal.
Protokoll 3DES und MD5 zur Verständigung ...
Kannst natürlich auch IPSec verwenden ...
Also lt. deiner Frage muss man mit JA anworten ...

Eigentlich baust du 2 gleichzeitige nebeneinanderliegende Tunnel auf.
Das der 1. Tunnel des ISP den 2. Tunnel deiner Firma beinhaltet ist glaub ich technisch gesehen nicht korrekt.

PPTP Connection kapselt ja nicht nochmal eine PPTP Connection ein?

Viel eher könnte (könnte!)es sein, dass du Dir damit 2 autonome PPTP Connections aufbaust, welche Dir dann je eine der 2 IP Verbindungen tunneln.

Ob das stimmt kann ich nicht bestätigen, erscheint mir aber logisch.

renew · 09.08.2002, 14:44

Zitat:

Original geschrieben von el_chupacabra

Eigentlich baust du 2 gleichzeitige nebeneinanderliegende Tunnel auf.
Das der 1. Tunnel des ISP den 2. Tunnel deiner Firma beinhaltet ist glaub ich technisch gesehen nicht korrekt.

PPTP Connection kapselt ja nicht nochmal eine PPTP Connection ein?

Viel eher könnte (könnte!)es sein, dass du Dir damit 2 autonome PPTP Connections aufbaust, welche Dir dann je eine der 2 IP Verbindungen tunneln.

Ob das stimmt kann ich nicht bestätigen, erscheint mir aber logisch.

glaub ich nicht. Weil der erste Tunnel fahrt amal zum Provider. Und der is fix - anders gehts nicht. Und jeder andere Traffic muss durch diesen Tunnel. Das is meine Meinung

Von mir aus müsste es eigentlich gehen. Weil wenn ich von Standard Windows Komponenten nicht 2 Tunnel gleichezeit auf einer Maschine haben kann - fahr ich einfach von einer anderen Maschine durch den Tunnel auf den Schulserver.
Ich hoffe ICS unterstützt das.

el_chupacabra · 09.08.2002, 15:30

Aso, ja stimmt, du hast ja automatisch eine VPN Verbindung vom ISP bekommen.
Hat jetzt zwar mit der direkten Lösung zu tun, ich schreibs aber trotzdem:

Was ich aber meine ist dass der Tunnel nicht noch einen Tunnel haben kann.
Es ist ev. ein einziger Tunnel der in deinem Fall per PPTP gekapselt wird (Provider), und bereits alle Information zu der Route ISP + Schule enthält.Schaut so aus: (Ip Header,GRE Header,dann der Body mit den eigentlichen verschlüsselten Protokoll)
Ob aber wirklich eine Kapselung in der Kapselung gemacht wird, also PPTP PPTP kapseln kann weiss ich nicht, konnte auch nirgends was lesen wo dies beschrieben wird.
KAnn aber leicht sein, da PPTP PPP kapseln kann.

So, jetzt hör ich aber schon damit auf.

Adios.

Clystron · 14.08.2002, 12:06

Also vom Protokoll her isses kein Problem.
Wenns eine saubere Kapselung ist kannst du in einem Tunnel übertragen was du willst, auch beliebige andere Tunnelprotokolle. Es erhöht sich nur der Overhead...
Irgendwann mal hast du halt so viele Header das die Performance im Keller ist oder du Probleme mit Fragmentierung kriegst...

Ich hab schon mal ppp über ssh in einem ip over http-tunnel über einen http-proxy betrieben. War zwar langsam, aber kein problem...

Der Fantasie sind keine Grenzen gesetzt

mfg
Clystron

14.08.2002, 12:06	#18
Clystron Hero Registriert seit: 07.02.2001 Alter: 46 Beiträge: 805	Also vom Protokoll her isses kein Problem. Wenns eine saubere Kapselung ist kannst du in einem Tunnel übertragen was du willst, auch beliebige andere Tunnelprotokolle. Es erhöht sich nur der Overhead... Irgendwann mal hast du halt so viele Header das die Performance im Keller ist oder du Probleme mit Fragmentierung kriegst... Ich hab schon mal ppp über ssh in einem ip over http-tunnel über einen http-proxy betrieben. War zwar langsam, aber kein problem... Der Fantasie sind keine Grenzen gesetzt mfg Clystron ____________________________________ God, Root, what is difference?

08.08.2002, 21:25	#11
BOfH Veteran Registriert seit: 05.01.2000 Alter: 49 Beiträge: 380	Btw. hat schon wer unter Linux einen VPN Server eingerichtet (FreeS/WAN, Win2k Clients) ?

08.08.2002, 21:30	#12
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	Eigentlich wollt ich einen Tunnel direkt zum Win2k RRAS aufbauen. Ohne 3rd party Software. Müsste aber eigentlich auch funktionieren - oder? Falls wer Websites zu dem Thema mit Zertifikaten usw usf. kennt (am besten auch noch zu Win2k) dann bitte posten. Ich spiel mich auch grad daheim mit dem Klumpat. Ajo passt zwar nicht 100% zum Thema (obwohls um IPSec geht ), hab aber trotzdem eine Frage zu Certification unter Win2k: hab mir jetzt einen Certification Authority Server aufgesetzt, der als Stand-Alone CA fungiert. (ist mitglied einer Domäne) Jetzt hätt ich gern einen anderen Server (der das ADS hält), dass er diesem Rechner "traut". Wenn ich mir über das Webinterface (http://server/certsrv) unter Retrieve the CA certificate or certificate revocation list und dann unter "Install this CA certification path" eine Vertrauensstellung hol, bekomm ich die immer nur unter Certificates - Current User/Trusted Root Certification Athorities - aber nicht für Local Computer. (mit Certificates mein ich das Snap-in in der MMC) Ich nehm aber an, wenn ich bei IPSec (Snap-in IP Security Policies) unter einer Properties seite, von einer der Default-Policies eine zusätzliche Security Rule definieren will (also add...) dort dann bei Authentication Method "Use a certificate from Certificae Authority" auswähle, hätt ich gern meinen CA dabei. Ist er aber nicht. Ich weiß, ich könnt auch mit Kerberos 5 da herum werkeln - will das aber so machen, wie es schön in der MS Mappe beschrieben is, die so vor mir herumkugelt. So ich hoff ich hab die Leser jetzt nicht zu sehr mit meinen Angaben verwirrt und vielleicht kann mir einer ja auch noch ein bissi weiterhelfen und durchschaut, das was ich gerne hätte. Weil ich hab langsam keinen Durchblick mehr, bei den ganzen Zertifikatsgschichten in Win2k - was ich wie wo wann krieg und benutzen kann.

08.08.2002, 23:12	#14
schera Veteran Registriert seit: 03.07.2000 Alter: 47 Beiträge: 430	im Prinzip hast ja schon einen Tunnel mitn ADSL. Und in diesem Tunnel kann einen weitern machen ... geht sicher. Hab in der Firma eine Netscreen 5XP stehen und zu Hause ADSL. Also ADSL-Tunnel PPTP und dann Tunnel ich ins Firmennetzwerk nocheinmal. Protokoll 3DES und MD5 zur Verständigung ... Kannst natürlich auch IPSec verwenden ... Also lt. deiner Frage muss man mit JA anworten ...

09.08.2002, 15:30	#17
el_chupacabra Veteran Registriert seit: 22.11.2000 Alter: 45 Beiträge: 374	Aso, ja stimmt, du hast ja automatisch eine VPN Verbindung vom ISP bekommen. Hat jetzt zwar mit der direkten Lösung zu tun, ich schreibs aber trotzdem: Was ich aber meine ist dass der Tunnel nicht noch einen Tunnel haben kann. Es ist ev. ein einziger Tunnel der in deinem Fall per PPTP gekapselt wird (Provider), und bereits alle Information zu der Route ISP + Schule enthält.Schaut so aus: (Ip Header,GRE Header,dann der Body mit den eigentlichen verschlüsselten Protokoll) Ob aber wirklich eine Kapselung in der Kapselung gemacht wird, also PPTP PPTP kapseln kann weiss ich nicht, konnte auch nirgends was lesen wo dies beschrieben wird. KAnn aber leicht sein, da PPTP PPP kapseln kann. So, jetzt hör ich aber schon damit auf. Adios.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)