Virtual Private Networks oder VPNs erlauben es zwei Netzwerken sich direkt über ein anderes Netzwerk, z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher über einen verschlüsselten Tunnel versendet, geschützt vor neugierigen Augen. Auf die gleiche Weise kann sich ein einzelner Computer mit einem anderen Netzwerk verbinden. Eines der Protokolle die man braucht um ein VPN aufzubauen ist bekannt als IPSec.
IPCop kann sehr einfach VPNs zwischen anderen IPCop-Servern aufbauen. IPCop kann ebenfalls mit nahezu jedem VPN-Produkt welches IPSec und Standardverschlüsselungen wie z.B. 3DES zusammenarbeiten. Im IPCop werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. Diese sind zu 100% optional; Sie sollten diesen Abschnitt also sicherhaltshalber ignorieren, wenn Sie diese Funktion nicht benutzen wollen.
Die meisten aktuellen Betriebssysteme unterstützen IPSec. Das beinhaltet Windows, Macintosh OSX, Linux und die meisten Unix-Varianten. Unglülicherweise bieten diese Tools sehr unterschiedliche Unterstützungen und könnten daher schwierig einzustellen sein.
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet miteinander, indem sie einen IPSec- “Tunnel” aufbauen. In einem Netz-zu-Netz VPN muß mindestens eines der beteiligten Netzwerke per IPCop-Firewall mit dem Internet verbunden sein. Das andere Netzwerk kann an eine IPCop-Firewall angeschlossen sein, oder an einen anderen IPSec-fähigen Router oder Firewall. Diesen Routern/Firewalls wurde eine öffentliche IP von einem Provider zugewiesen und sie benutzen höchstwahrscheinlich NAT (Network Address Translation). Man nennt diese Konstellation daher Netz-zu-Netz.
Falls gewünscht kann auch ein VPN zwischen den wireless-Clients im BLAU-Netzwerk und der IPCop-Firewall aufgebaut werden. Das stellt sicher, dass der Datenverkehr im BLAU-Netzwerk nicht mit wireless-Sniffern abgehorcht werden kann.
Eine Host-zu-Netz Verbindung besteht, wenn der IPCop an dem einem Ende des VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen, dynamischen öffentlichen IP. Man nennt diese Konstellation daher Host-zu-Netz oder Roadwarrior.
Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren können, müssen Sie sich für eine der Authentifizierungsmethoden pre-shared key (PSK) bzw. Passwort/Passphrase oder X.509-Zertifikat entscheiden. Mit der Authentifzierungsmethode identifiziert sich der Benutzer für den Zugang zum VPN.
Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode, die eine schnelle Konfiguration von VPNs ermöglicht. Für diese Methode geben Sie eine Authentifizierungsphrase ein. Dabei kann es sich um eine beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss für die Authentifizierung beim IPCop und dem VPN-Client verfügbar sein.
Die PSK-Methode benötigt weniger Schritte als bei einer Authentifzierung über Zertifikate. Sie kann verwendet werden, um Verbindungstests durchzuführen und Erfahrungen beim Aufbau einer VPN-Verbindung zu sammeln. Erfahrene Benutzer sollten direkt zum Kapitel Erzeugen der Zertifikate für den IPCop springen, um eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung aufzusetzen.
Die PSK-Methode sollte nicht mit Roadwarrior-Verbindungen benutzt werden, da all Roadwarrior die selbe Phrase benutzen müssen.
X.509 Zeritifikate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar. Um X.509-Zertifikate zu implementieren, müssen Sie entweder die Zertifikate auf dem IPCop erzeugen oder durch eine andere Zeritifizierungsstelle in Ihrem Netzwerk ausstellen lassen.
![[Anmerkung]](images/note.png) | X.509 Begriffe |
|---|---|
X.509 Zertifikate auf dem IPCop und vielen anderen Implementierungen werden über OpenSSL verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen. X.509 Zertifikate enthalten, abhängig vom Anwendungsfall, öffentliche und private Schlüssel, Passphrasen und Informationen über die zugehörige Funktionseinheit. Diese Zertifikate dienen dazu, von Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden. Webbrowsern beinhalten die CAs von öffentlichen Zertifizierungsstellen. Ein Host-Zertifikat wird von der dazugehörigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer lokalen Maschine liegen. Im Falle von IPCop ist dies der IPCop selbst. Zertifizierungsanfragen sind Anfragen für X.509 Zertifikate, die von CAs signiert (digital unterschrieben) werden. Dabei entsteht aus der Anfrage das eigentliche Zertifikat, das dann zum Anforderer zurückgeschickt wird. Dieses Zertifikat ist dann der CA bekannt, da es durch sie ausgestellt wurde. X.509 Zertifikate können in drei verschiedenen Formaten gespeichert werden, die Anhand der Datei-Endung erkannt werden können. PEM ist das Standard-Format für OpenSSL. Es kann alle zum Zertifikat gehörenden Informationen in lesbarer Form enthalten. Das DER-Format enthält nur die Key-Informationen und keine separaten X.509-Informationen. Dies ist das Standard-Format für die meisten Browser. Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifikate enthalten im Binärformat die selben Informationen wie PEM-Dateien. Mit dem openssl-Kommando können die Formate untereinander konvertiert werden. |
Um ein Zeritifikat benutzen zu können, muss es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung von IPCop enthält ihre eigene, selbsterstellte CA. CAs können auch auf Roadwarrior-Maschinen laufen.
Wenn die IPSec-Implementierung auf den Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt, können Sie eine Zertifikatsanforderung (Request) erstellen, die dann von der CA des IPCop signiert wird. Das daraus resultierende Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden.
Geben Sie die VPN-Server-Details ein. Entweder den vollen Domainnamen oder die öffentliche IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie hier den dynamischen DNS-Namen benutzen.
Aktivieren Sie VPN auf dem IPCop indem Sie lokaler VPN Hostname/IP ausfüllen, das Kästchen lokaler VPN Hostname/IP aktivieren und dann auf den -Knopf drücken. Die VPN auf BLAU Option ist nur dann sichtbar, wenn Sie vorher eine BLAU-Netzwerkkarte eingebunden und konfiguriert haben. Um ein VPN mit einer BLAU-wireless-Verbindung herstellen zu können, müssen Sie das Kästchen VPN auf BLAU-aktivieren.
Um eine VPN-Verbindung zu erzeugen, benutzen Sie den Schalter . Daraufhin erscheint die Seite für den VPN Verbindungstyp.
Um eine IPCop Zertifikats-Authority oder CA zu erstellen, geben Sie den Namen Ihrer CA in das entsprechende Textfeld ein. Der gewählte Name sollte sich vom Hostnamen des IPCop unterscheiden, um Mißverständnisse zu vermeiden. Zum Beispiel, ipcopca für die CA und ipcop für den Hostnamen. Dann klicken Sie auf den Schalter .
Die Seite zur Erstellung von Root/Host Zertifikaten erscheint. Füllen Sie das Formular aus und beide, ein X.509 Root und Host Zertifikat werden erzeugt.
Name der Organisation.
Der Name der Organisation, den Sie im Zertifikat benutzen wollen. Wenn Ihr
VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt,
könnten Sie etwas wie Schulbezirk Ost als Namen verwenden.
Hostname des IPCop. Dies sollte der voll qualifizierte Domainname des IPCop sein. Wenn Sie einen dynamischen DNS nutzen, nehmen Sie diesen.
Ihre E-Mail Adresse. Ihre E-Mail Adresse, damit man mit Ihnen in Kontakt treten kann.
Die nächsten drei Angaben (Abteilung, Stadt und Staat/Bundesland) sind optional und können weggelassen werden.
Ihre Abteilung.
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel
weiterzuführen, könnte dies Offenburger Grund- und Hauptschulen
sein.
Stadt. Die Stadt oder Postanschrift Ihrer Maschine.
Staat oder Bundesland. Der Staat bzw. das Bundesland der Postanschrift.
Land. Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Benutzen Sie dieses zur Auswahl des Landes, das zum Zertifikat passt.
Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Schalter , um die Zertifikate zu erzeugen.
Falls gewünscht, können mehrere Zertifikate auf einem IPCop erzeugt werden, welche dann in passwortgeschütze PKCS12-Dateien exportiert werden können. Sie können diese dann per E-Mail-Anhang an Ihre anderen Seiten schicken. Unter Benutzung der Funktion PKCS12 Datei hochladen dieser Seite können die Zertifikate auf einer lokalen IPCop-Maschine importiert und entschlüsselt werden.
Wählen Sie entweder Host-zu-Netz (Roadwarrior) für mobile Anwender, die Zugriff zum grünen Netzwerk benötigen oder Netz-zu-Netz um Benutzern eines anderen Netzwerks Zugang zu Ihrem Grünen Netzwerk zu erlauben.
Wählen Sie den Verbindungstyp, den Sie erstellen möchten und klicken Sie auf den Schalter .
Die nächste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem hinzuzufügenden Verbindungstyp variieren. Der Authentifizierungs-Bereich bleibt gleich.
Name. Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese Verbindung zu identifizieren.
Schnittstelle. Dann wählen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll (Rot oder Blau). Die Auswahl der Roten Schnittstelle erlaubt es dem Roadwarrior, sich vom Internet aus zu verbinden. Die Auswahl der Blauen Schnittstelle, erlaubt es dem Roadwarrior, sich über ein lokales WLAN mit dem Grünen Netzwerk zu verbinden.
Lokales Subnetz. Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior einzuschränken.
Bemerkung. Bemerkung erlaubt es, eine optionale Bemerkung einzugeben, welche im VPN-Verbindungsfenster des IPCop für diese Verbindung erscheint.
Aktivieren. Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
. Klicken Sie das Kontrollkästchen an, wenn Sie die Standardeinstellungen des IPCop für IPSec verändern wollen.
Name. Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese Verbindung zu identifizieren.
IPCop Seite. Wählen Sie eine Seite für den IPCop, Rechts oder Links, die in den IPSec Konfigurationsdateien verwendet wird, um die Seite der Verbindung dieses IPCops auf dieser Maschine zu identifizieren. Hinweis: Die Seite bedeutet keinen Unterschied.
Lokales Subnetz. Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior einzuschränken.
Entfernter Host/IP. Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie können auch den kompletten, qualifizierten Domänennamen des entfernten Servers angeben. Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt, könnte es sein, daß Sie das VPN neu starten müssen, falls sich die IP-Adresse ändert. Für diesen Vorgang gibt es in den IPCop Newsgroups diverse Skripts, die dies für Sie erledigen.
Entferntes Subnetz. Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben Format wie das lokale Subnetz-Feld an. Dieses Netzwerk muß sich vom lokalen Subnetz unterscheiden, weil IPSec Routing-Tabellen-Einträge erstellt, um IP-Pakete zum richtigen entfernten Netzwerk zu schicken.
Bemerkung. Bemerkung erlaubt es, eine optionale Bemerkung einzugeben, welche im VPN-Verbindungsfenster des IPCop für diese Verbindung erscheint.
Aktivieren. Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
. Klicken Sie das Kontrollkästchen an, wenn Sie die Standardeinstellungen des IPCop für IPSec verändern wollen.
| Hinweise zur IPSec Terminologie |
|---|---|
IPSec benutzt die Begriffe Rechts und Links für die beiden Seiten einer Verbindung bzw. eines Tunnels. Diese Begriffe haben keine wirkliche Bedeutung. IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal festgestellt hat, welche Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf die andere Seite der Verbindung zu gelangen, folgen alle anderen Rechts/Links Parameter automatisch. Viele benutzen Links für die lokale Seite einer Verbindung und Rechts für die entfernte Seite. Dies ist nicht notwendig. Es ist am Besten, wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt. |
Der zweite Abschnitt der Seite beschäftigt sich mit der Authentifizierung. Anders ausgedrückt ist dies die Methode, wie der IPCop sicherstellt, daß der von beiden Seiten der Schnittstelle erstellte Tunnel mit der korrespondierenden Gegenstelle spricht. IPCop hat alle Anstrengungen unternommen, um PSKs und X.509 Zertifikate zu unterstützen. Es gibt vier gegenseitige exklusive Möglichkeiten, die für die Authentifizierung einer Verbindung benutzt werden können.
Benutzen eines Pre-Shared Keys. Geben Sie ein Passwort ein, um die Gegenseite des Tunnels zu authentifizieren. Wählen Sie diese Möglichkeit, wenn Sie ein einfaches Netz-zu-Netz VPN möchten. Sie können auch PSKs benutzen, wenn Sie damit experimentieren, ein VPN einzurichten. Benutzen Sie keine PSKs um Tunnel zu Roadwarriorn zu authentifizieren.
Zertifikats-Anfrage hochladen. Einige Roadwarrior IPSec Implementationen haben kein eigenes CA. Wenn sie das in IPSec implementierte CA benutzen wollen, können sie eine sogenannte Zertifikats-Anfrage erzeugen. Diese ist ein Teil des X.509 Zertifikats, welches vom CA signiert werden muß, um ein komplettes Zertifikat zu werden. Während des Zertifikats-Anfrage uploads wird die Anfrage signiert und das neue Zertifikat wird auf der Hauptseite des VPN verfügbar gemacht.
Zertifikat hochladen. In diesem Fall hat der Peer-IPSec ein CA zur Benutzung verfügbar. Beide, das CA-Zertifikat des Peers und das Host-Zertifikat müssen hochgeladen werden.
Erzeuge ein Zertifikat . In diesem Fall ist der IPSec-Peer in der Lage, ein X.509 Zertifikat vorzuweisen, hat aber nicht die Kapazität, um eine Zertifikats-Anfrage zu stellen. Füllen Sie für diesen Fall die benötigten Felder aus. Optionale Felder werden durch blaue Punkte gekennzeichnet. Wenn dieses Zertifikat für eine Netz-zu-Netz Verbindung sein soll, muß das Feld Benutzername oder das Hostnamens-Feld eventuell der volle qualifizierte Internet-Domainname des Peers sein. Der optionale Name der Organisation soll dazu dienen, verschiedene Teile einer Organisation vom Zugang zum kompletten Grünen Netzwerk des IPCop zu isolieren. Dies geschieht durch subnetting des lokalen Subnetzes im Verbindungsdefinitionsteil dieser Webseite. Die PKCS12-Datei Passwortfelder stellen sicher, daß die erzeugten Host-Zertifikate während der Übertragung zum IPSec-Peer nicht abgefangen oder kompromittiert werden können.
