© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am Freitag, 20. Mai 2005 13:24 schrieb Dejan Grujin:
> > Windows XP (und 2000) haben IPSec on board, allerdings sehr
> > umständlich zu konfigurieren. Ich kann Dir nur das VPN-Tool von Marcus
> > Müller empfehlen, ist zwar für meine Begriffe auch nicht gut
> > Dokumentiert, damit habe ich aber Windows überreden können überhaupt
> > mal IKE-Verbindung aufzunehmen. Ich nutze dazu Racoon, und nachdem die
> > Windows Kisten vermutlich alle unterschiedliche dynamische IPs haben
> > werden benötigst Du X.509 Zertifikate. Allerdings musste ich dafür
> > eine komplett eigene CA einrichten da es mir nicht gelungen ist
> > Windows ein Zertifikat in dritter Instanz schmackhaft zu machen. Und
> > noch ein Tipp: Zumindest zum Testen musst Du die XP-eigene "Firewall"
> > abschalten, ich habe eine Woche mit der Fehlersuche verbracht warum
> > manchmal ein Ping geht in in den nächsten 5 Minuten wieder nicht um
> > dann doch plötzlich wieder zu antworten. Hier der
>
> Hi Harry,
>
> danke erstmal für die Info soweit. Werde ich auf jeden Fall mal testen.
> Bzgl der Konfig des BSD-Rechners, kann ich da auf das zurückgreifen, was
> man so beim googlen findet. Bisher habe ich immer config-Beispiele
> gefunden bei denen es um 2 BSD-Gateways handelt. Ist das soweit
> anwendbar für meinen Fall? Für die 2 GW's schon, aber klappt das auch
> gleichzeitig mit der Windows Kiste? Zusätzliches Problem bei den Kisten
> ist, dass sie natürlich immer eine dynamische IP haben.
Ich kenne zwar nicht die Konfigs die Du meinst, prinzipiell sind die aber
nicht übertragbar, da bei einem VPN zwischen zwei Gateways überlicherweise
die SPs manuell angelegt werden. Dazu muß man im Falle von Roadworriers
(man weiß ja nicht ob der Windows Rechner direkt am Netz hängt oder hinter
NAT, und wenn dahinter was er für eine lokale IP hat etc.) Racoon dazu
bewegen nicht nur die SA auszuhandeln sondern auch die SP anzulegen. Geht
mit "generate_policy on" im "remote anonymous {" Abschnitt.
Ausserdem vermute ich mal werden viele Besipiele PSK (PreSharedKeys)
verwenden, ist mit statischen Adressen auch kein Problem, ISAKMP kann das
sogar mit einer dynamischen afaik, aber racoon nicht. Du benötigst also
X.509 Zertifikate. Das Zertifikat der Root-CA muß man über einen Hash-Wert
im Cert-Verzeichnis von Racoon verlinken damit Racoon es erkennt. Leider
ist die Doku da sehr lückenhaft, aber google hilft.
Grüße,
-Harry
>
> Danke nochmal für dir Infos bisher.
>
> Grüsse Dejan
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 20 May 2005 - 17:45:01 CEST