Ubuntu VPN-Server mit NAT-T Unterstützung

[Ralf Mörler]

Hallo,

[auch noch mal an die Liste.]

Am Dienstag, den 25.07.2006, 11:53 +0200 schrieb Ole Bahlmann:

> > http://www.ipcop.org
> 
> Ich kenne ipcop nicht so genau. Was mache ich damit, wenn Pakete
> Sicherheitslücken aufweisen? Eine Paketverwaltung scheint es ja nicht
> zu geben...?
> Ich muss den Server auf jeden Fall aus der Ferne administrieren
> können!

Fernwartung über das VPN per ssh oder Webinterface oder aber direkt per
ssh, falls VPN versagt.
Security Updates werden bereitgestellt und können eingespielt werden.
Das System ist sehr schmal gehalten, somit wenig Angriffsfläche.
Nach außen werden keine Dienste angeboten.
Ich habe ihn hinter einer Hardware Firewall und lasse nur den VPN
Verkehr durch. Seit Anfang diesen Jahres ohne Probleme am Laufen.

> > Ansonsten frage ich mich was an ubuntu anders als an debian im Bezug
> > auf
> > die Einrichtung von OpenSwan ist?
> 
> Zuletzt hatte ich große Probleme mit der Kombination 2.6 Kernel,
> OpenSwan und NAT-T. Das war allerdings auch noch zu Zeiten des 2.6.8
> Kernels. Ich wollte eigentlich nur hören, ob das inzwischen klappt.

Hier unter Breezy und jetzt unter Dapper keine Probleme gehabt.

> > Mein Notebook (dapper) nutzt OpenSwan (aus universe) und
> > roadwarriored
> > zu unserem IPCop in der Firma mit X.509 Zertifikaten auch wenn NAT
> > im Spiel ist. Leider nicht mit NAPT, aber das wird hoffentlich noch,
> > wg.
> > UMTS/GPRS.
> 
> Clients sind wohl eher WinXP Kisten...

Die sind doppelt problematisch!
Ich hoffe die XP Rechner wollen sich nicht über das VPN an einer Domäne
anmelden, das geht nämlich nicht, da M$ VPN over IPSec als insecure
bezeichnet. Man muss hier L2TP over IPSec nutzen, nicht ganz trivial :-)
Hab mich bislang erfolgreich davor gedrückt das zu realisieren.

> Gruß zurück!
> Ole

Gruß Ralf