© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
--On Freitag, 29. Juli 2005 0:37 Uhr +0200 Dejan Grujin <dgrujin(at)edv-dg.de> wrote:
> Mich wundert es einwenig, dass es so wenig, bis gar keine HowTo's dafür gibt,
ich denke es ist - wie in fast allen sicherheitstechnischen
Belangen - so, dass einem ein reines HowTo schlussendlich
nicht wirklich weiterhilft. Man *muss* den Kram einfach
verstanden haben, damit man ihn verantwortungsbewusst und
technisch stabil betreiben kann. Wenn man bei 0 anfaengt,
braucht man also eigentlich kein "How To", sondern eine
solide, didaktisch gut aufbereitete Grundlagen-Literatur.
Wenn man das "hat" und auf dieser Grundlage einen "System-
Entwurf" auf dem Papier hat, reicht zur Implementierung die
uebrige verfuegbare Dokumentation (FreeBSD-Handbuch [racoon,
isakpmd ist sehr duenn, ich weiss :-/], DaemonNews etc. Ar-
tikel, und so weiter) in den meisten Faellen aus.
Die Lernkurve ist bei IPSec zugegebenerweise sehr steil.
> denn ich denke dass die Einwahl nicht unbedingt etwas spezielles ist.
Das mit der "Einwahl" finde ich schon. Der Sinn dieser
L2TP/PPP-Gemurkse-Geschichte erschliesst sich mir naem-
lich ueberhaupt nicht.
> Siehe externe Mitarbeiter die sich ins Firmennetz einloggen.
Ich bin bislang immer noch mit "Netz zu Netz"-Kopplungen
ausgekommen.
> Anyway, eine einzige Frage habe ich noch: Gibt es Probleme mit dynamischen IP's? Der Server auf dem ich das machen möchte hat nämlich keine feste IP, ist aber via dyndns erreichbar.
IPSec und "dyn IP" passen nicht wirklich gut zusammen.
Insbesondere der zentrale Knoten sollte ueber eine feste
IP-Adresse verfuegen.
Solange ein Tunnel steht oder frisch aufgebaut wird (wobei
schon dafuer die typsiche Verfuegbarkeit von "dyn-DNS"-
Diensten Aerger machen kann) ist alles "gut". Probleme gibt
es, wenn die IP-Adresse eines Tunnel-Endes wechselt, noch
waehrend der Tunnel steht. In dem Fall verschwindet der
Tunnel-Endpunkt und wird erst nach Ablauf der etablierten
SA neu aufgebaut werden koennen. Wenn man keinen Mecha-
nismus (und IPSec als solches bietet nix ...) zur sicheren
und fruehzeitigen Erkennung eines Tunnel-Zusammenbruchs
hat, hat mittelfristig keinen Spass :-/.
Das ist auch der Grund dafuer, dass fast alle Hersteller
von IPSec-Produkten zu diesem Zweck proprietaere Erwei-
terungen vornehmen, die natuerlich nur zwischen Geraeten
des jeweiligen Herstellers funktionieren ...
Wenn es keine Moeglichkeit gibt, zumindest die Zentrale mit
einer festen IP-Adresse zu versorgen (bei der Telekom seit
kurzem fuer 2,50 EUR statt 25 EUR / Monat; damit ist das
sogar fuer die Client-Seite wirtschaftlich sinnvoll), wuerde
ich ueber den Einsatz von OpenVPN nachdenken. Das kommt sehr
gut mit wechselnden IP-Adressen auf beiden Seiten der Ver-
bindung klar; da die Zuordnung von eintrudelnden Paketen
anhand des Schluessels vorgenommen wird. Stammt ein Paket
nun "ploetzlich" von einer anderen IP-Adresse, passt aber
zu einem bestehenden Tunnel, so wird der Tunnel-Endpunkt
auf diese IP-Adresse "umgesetzt".
-Andreas
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 29 Jul 2005 - 07:37:50 CEST