VPN Server: Theorie und Einrichtung

(Last Updated On: 4. Juni 2015)

Was ist VPN?

Mit einem VPN-Netzwerk stellen Sieo grundsätzlich erstmal über das Internet eine Verbindung zwischen zwei Computern über das Internet her. Das ist grundsätzlich erstmal nichts neues, das geht ja auch schon ohne VPN.

Der erste Vorteil von VPN ist, dass die Verbindung zwischen diesen beiden Computern verschlüsselt ist. Sie wissen vielleicht, dass das Internet ein vermaschtes Netz ist – und Sie dadurch beispielsweise nicht fix kontrollieren können, welchen Weg Ihre Daten auf der Route zu Ihrem Gesprächspartner einschlagen – und: Sie wissen nicht, wer auf diesen Wegen denn so alles mithört. Ihr Internet Service Provider, Geheimdienste und eventuelle Hacker, die sich in des Telekommunikationsnetz oder in die Routing-Stellen des Netzets eingespeist haben, könnten Mitlesen, was Sie so an Ihren Gesprächsparnter über das Internet schicken.

Das Konzept der Verschlüsselung kennen Sie dabie schon von anderen PRotokollen. WEnn Sie beispieslweise eine Website über https:// ansurfen und der Webserver dieser Seite eine sichere Verschlüsselung bietet, dann können solche Mithorcher den Verkehr zwar mitlesen, können damit aber nichts anfangen, weil er kryptografisch gesichert ist. Wer Mithörende liest also nur einen nutzlosen Haufen von Datenbatzen, der sich nicht entziffern lässt. Nur Sie und Ihr Gesprächspartner, die Sie sich zuvor auf einen Schlüssel zum Ver- und Entschlüsseln der Nachrichten geeinigt haben, können sich im klartext miteinander verständigen.

Nun, wenn dieses Konzept bereits vorhanden ist, wenn ich beispielsweise per https:// surfe, was ist dann der vorteil bei der VPN-Verschlüsselung?

Nun, Sie können ja nicht sicher sein, dass

  • 1. die Anwendung, die Sie gerade ausführen, eine Verschlüsselung bietet. Beim Webprotokoll gibt es eine Variante mit Verschlüsselung, ja. Es gibt aber beispielsweise andere Protokolle, die Sie vielleicht nutzen wollen – und die keine Unterstützung für Verschlüsselungsstandards bieten.
  • 2. der Server oder die Gegenstelle, mit der Sie über die anwendung kommunizieren wollen, die Verschlüsselung unterstützt. Selbst wenn es für eine Anwendung wie beispielsweise eine Website eine verschlüsselte Variante gibt, muss der Server, von dem Sie die Seite abrufen, die Verschlüsselung noch lange nicht anbieten.  Wenn der Server-Administrator diese nicht anbietet oder nicht weiß, die das geht –  gibt es nämlich auch keine Verschlüsselung.
  • 3. wenn Sie in einem öffentlichen Netzwerk sein, beispielsweise im WLAN-Hotspot von McDonalds, können Sie ja nicht sicher sein, dass andere WLAN-Teilnehmer aktiv Ihre Leitung belauschen und versuchen, gerade solchen unverschlüsselten Traffic mitzulesen.

Der vortiel von VPN ist, dass die Verschlüsselung unabhängig davon ist, ob das Anwendungsprotokoll und/oder Ihr Gegenüber selber eine Verschlüsselung bietet, oder nicht. VPN verpackt den Datenverkehr, den Sie an die Gegenstelle senden wollen, und verschlüsselt ihn. Bildlich gesprochen liegt die Nachricht an Ihr Gegenüber also in einem Paket, in welches niemand reinschauen kann. Wenn Sie mit Ihrem Gegenüber in einem VPN sind, dann werdne auch dessen NAchrichten an Sie in ein solches Paket gepackt und nur Sie beide wissen, was Sie sich gegenseitig zuschicken. Das Internet ist in dieser Metapher sozusagen der Postbote, der das Paket zwar transportiert, aber nicht reinschauen kann.

Das jedoch sind noch nicht die einzigen Vorteile von VPN. Denn mit VPN ist es zusätzlich möglich, zu simulieren, dass Sie sich in einem lokalen Netzwerk befinden.

Nehmen wir an, Sie haben ein großes Unternehmen, welches verschiedene STandorte hat. Auf jedem Standort gibt es Dateien, die sehr wichtig sind, die aber geheim bleiben müssen. Sagen wir biespielsweise mal, in Ihrer Hauptzentrale liegt auf einem Dateiserver das geheime Rezept für einen Softdrink, den Ihre Getränkefirma demnächst auf den Markt bringen will. Die mitarbeiter, die an der formel für diesen Softdrink arbeiten, können im lokalen Netzwerk der firma auf diese Datei auf dem SErver zugreifen, indem Sie beispielsweise die IP-Adresse 192.168.1.20 eingeben und dort die Datei rezept.doc aufrufen. Wie Sie vielleicht wissen, kann man einstellen, dass bestimmte Rechner nur im lokalen Netzwerk und nicht über das Internet erreicht werden können. Wenn Sie beispielsweise auf ihrem windows-PC eine Datei freigeben, damit Ihr Bruder von seinem Rechner, der im selben Haus steht, darauf zurgeifen kann, ist diese Datei noch lange nicht vom Internet aus erreichbar. Genua so ist es derzeit in Ihrer Firma für die rezept.doc-Datei eingerichtet.

Jetzt spinnen wir das Beispiel einmal weiter: sie eröffnen einen neuen Standort und dieser Standort will nun ebenfalls an der Datei rezept.doc mitarbeiten.

Jetzt müssten Sie eigentlich den Dateiserver auch im Internet erreichbar machen, damit die Kollegen im neuen Standort ebenfalls auf die Datie zugreifen können. Es würde dann so sein, dass die mitarbeiter in der Hauptzentrale dne Dateiserver mit der rezept.doc weiterhin über das Lokale Netzwerk mit der IP 192.168.1.20 erreihcen können – und die Kollegen im Standort hingegen müssen die öffentliche IP-Adresse des Servers eingeben, beispielsweise 80.6.127.13.

Wie sie sich vielleicht denken können, führt das in der Zusammenarbeit schonmal zu Verwirrung. Wenn beispielsweise ien Kollege aus dem neuen Standort einen kollegen in der Zentrale fragt, wie er denn auf die Datei rezept.doc kommt, dann schickt ihm der Kollge aus der Zentrale, weil er gerade nicht mitdenkt, den Link \\192.168.1.20\geheim\rezept.doc. Wenn nun der kollege auf dem neuen STandort diesen Link aufruft, wird er auf die Datie selbstverständlich nicht draufkommen.

Neben diesem Problem gibt es noch ein anderes Problem. Nehmen wir einmal an, ihr Unternehmen nutzt derzeit OpenLDAP. Mit dieser lösung wäre es möglich, dass sich ein mitarbeiter in der Hauptzentrale mit einem einzigen Benutzeraccount auf jedem x-beliebigen PC in der Zentrale anmeldet und dabei immer den gleichen Benutzernamen und das gleiche Passwort eingeben muss, ohne irgendwie extra das Konto auf dem PC erst erstellen zu müssen. Der mitarbeiter kann also von jedem PC aus arbeiten und die Rechte des Mitarebeiters lassen sich somit ebenfalls PC-übergreifend festlegen, so dass der mitarbeiter beispielsweise erst vom Administrator die Rechte dazu bekommen muss, um auf die Datie rezept.doc zugreifen zu dürfen.

Jetzt wäre es aber eine enorme Sicherheitslücke, das OpenLDAP – genau so wie vorher schon den Dateiserver – über das Internet erreichabr zu machen. Ein Hacker, der sich beispielsweise in das INternet in das LDAP einhackt, könnte dann beispielsweise die Identität eines mitarbeiters annehmen und auf die Datei zugreifen sowie etwa geheime E-Mails dieses mitarebeiters mitlesen.

Solange Sie aber das OpenLDAP nicht in das Internet einbinden, können die mitarbeiter des neuen STandorts nicht auf die Datei zugreifen, da Sie sich nicht in die Benutzeraccounts mit den entsprechenden Rechten einloggen können.

Ihnen bliebe ohne VPN bisher nur die Lösung,die Rechte auf diese Datei auf eine andere Art und Weise zu regeln, beispielsweise, indem Sie statt eines windows-SMB-Dateifreigabeservers einen FTP-Servers aufsetzen und dort FTP-Nutzer anlegen, die sic dann mit einem Passwort einloggen müssen. Das ist aber unbequem, weil die Nutzer sich dann einmal Ihre Windows-Accounts und einmal das FTP-Passwort für die Dateien merken müssen. Und gehen wir einfach mal davon aus, dass Ihr Systemadministrator nicht weiß, wie man einen SFTP-Server aufsetzt. Das würde bedeuten, dass die Dateien nur per FTP ausgetauscht werden – also unverschlüsselt. Mithörende über das Internet könnten dann im KLartext den inhalt der Datei mitlesen, wenn Sie auf dem Weg laushcen, auf dem gerade der Datenverkehr fließt. Desweiteren müssten Sie ja dann für die Hauptzentrale und für den neuen Standort zwei extra OpenLDAP-Verzeichnisse erstellen, weil Sie ja dann nicht über das Internet vom neuen Standort auf das OpenLDAP der Zentrale zugreifen können – was wieder zusätzlichen Aufwand bringt. So hätte beispielsweise ein Mitarbeiter auf dem neuen Standort einen anderes LDAP-Konto als in der Zentrale und müsste sich wieder zwei Passwörter merken.

All diesen ganzen Ärger können Sie sich mit VPN sparen. Sie können alle dieser oben aufgeführten PRobleme lösen, indem Sie VPN einsetzen. Das ganze würde dann so funktionieren:

Sie setzen in der Hauptzentrale einen VPN-Serverdienst auf. Dieser kann beispielswiese auf dem selben Server laufen, auf dem auch das OpenLDAP und der Dateiserver laufen. Sie geben niucht den Dateiserver oder den OpenLDAP-SErver für das internet frie, sondern nur der VPN-Server. Als User am neuen Standort verbunden Sie sich nun mit dem VPN-SErverdienst, der in der Zentalre steht. Das geschieht über eine VPN-Clientsoftware, die über das internet Kontakt mit dem VPN-SErverdienst aufnimmt. Sobald die verbidnung hergestellt ist, bekommen sie vom VPN-Server eine zweite IP-Adresse mitgeteilt, die sozusagen ihre IP-Adresse in diesem virutellen Netz darstellen soll. Sie haben nun also zwei Adressen: Einmal die öffentliche IP-Adresse, über die Sie über das Internet den VPN-Server ansprehcen können, und einmal die private IP-Adresse, mit der sie Diesnte innerhalb des VPN ansprechen können.

Wenn Sie jetzt auf Ihrem PC beispielsweise OpenLDAP und den Dateiserver nutzen wollen, dann verbinden Sie sich über die private IP auf diese Server. Nehmen wir mla an Sie wollen sich in das OpenLDAP anmelden. Ihr PC generiert ein Paket, welches die OpenLDAP-Anfrage an den LDAP-Server enthält. Diese Paket nehmen Sie nun und pakcen es in ein noch größeres Paket. Dieses größere Paket wird über das Internet an den VPN-SErver geschickt. Der VPN-Server nimmt das größere Paket, öffnet es und sorgt dafür, dass das kleinere Pakete innerhalb des VPN weitergeschickt wird – bsi der letztendliche Empfänger das kleinere Paket ebenfalls öffnet. Die Antworten zurück zu Ihnen funktionieren auf die selbe Weise. Jetzt können Sie auf einmal mit den Servern des lokalen Netzwerkes in der Zentrale kommunizieren, als wären Sie direkt mit drin.

Hier nochmal ein aufklärendes Video von SemperVideo zu dem Thema

VPN-Server auf der Fritz!Box

Als erstes müssen Sie auf einem Windows-PC die Fritzbox_fernzugang_einrichten.exe downloaden – einfach danach googeln. Das ist eine offizielle Binary von AVM.

Loggen Sie sich in die Weboberfläche der FritzBox ein und wählen Sie internet / Freibgaen / Registerkarte VPN.

Starten Sie die Friz!Box-Fernzugang-einrichten.exe und wählen Sie im ersten Bildschirm Fenrzugang für einen Benutzer einrichtne / iPhone / ipod tocu / ipad – egal ob Sie später ein ios vebrinden wollen oder nicht / geben sie keine E-Mail-adresse des Bneutzers ein, sondern geben Sie irgendeinen beliebigen Benutzernamen ein. in das Feld Name ihrer Fritz!Box geben Sie die Domain ihres DynDNS-Anbieters ein.

Im nächsten Bidlschirm geben wir Anderes Ip-netzwekr verwenden und geben den Ip-aDressbereich der FritZ!Box an, stndardmäßig 192.168.178.0 / 24 – 255.255.255.0. Wir aktivieren „Den kompletten Verkehr übe rdne VPN-tunnel senden“

Bei IP-adresse des Bnuezters im Netz der Fritz!Box geben Sie die Ip-adresse ein, de der VPN-nutzer kriegen soll, wenn er sich mit dem VPN-Server verbindet. Das darf natürlich keine Ip-Adresse sein, die schon von einem Gerät belegt ist oder die im DHCP-Adressraum der Fritz!Box liegt.

Wir speichern uns den Sahred Secret im nächsten Bildschirm weg. DAs ist das Passwort für die verbindung auf den VPN-Server. Im Feld Kennwort müssen Sie dann noch das Passwort für den einzelnen Benutzer vergeben.Weiter – Fertig stellen.

Jetzt wird ihnen der DynDNS-Name und darunter der angelegte Nutzer angezeigt. Sie können weitere Nutzer über di eschaltfläche Neu erstellen. Im nächsten Bildschirm geben Sie statt Neue Fritz!Box die bestehende an.

über Hiemnetz / Netzwerk / Netzwerkeinstellungen /IPv4-Adressen können Sie den Adressraum einstellen, aus dem  ihr DHCP-Server Adressen vergibt.

Zum Schluss müssen Sie in der fernzugang-einrichten.exe auf exportierne wählen und speichern die VPN-Eisntellung als .cfg. Diese .cfg müssne Sie jetzt in ihre Fritz!Box importieren unter unter internet / Freigaben / registerkarte VPN / was sie zuvor ja schon geöffnet haben.

 Ubuntu VPN-Server über lt2pd

aptitude install openswan

Überspringen Sie die Kojnfiguration mit Nein und schließen Sie die installation ab. Eventuelle Nachfragen bestätigen Sie einfach mit OK

aptitude install xl2tpd
aptitude install ppp

Jetzt bearbeiten wir die Datei /etc/ipsec.conf und amchen Sie ventuell leer, diese braucht folgendne inhalt

config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyintries=3
rekey=no
ikelifetime=8h
keylive=1h
type=transport
left=<die lokale IP des servers>
leftprotoport=17/1701
right=%any
rightprotoport=17/%any

jetzt ebarbeitne wir die /etc/ipsec.secrets und tragen einfach den server ein

<lokale IP Server> %any: PSK "<Passwort>"

jetzt bearbietne wir die /etc/xl2tpd/xl2tpd.conf und fügen ganz unten einfach ein

[global]
ipsec saref = yes

[lns default]
ip range = <ip-adressbereich, den verbundene geräte bekommen können>
local ip = <lokale ip des servers>
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

Oben inn der einstellung des Ip-Adressbereichs, den verbundene Geräte bekommen sollen, stellen Sie ein, welche Ip-Adressen aus dem lokalen Netzwerk Geräte bekommen können, die sich per Internet mit dem VPN-Server verbinden. es amcht daher keinen Sinn, hier den ADressbereich anzugeben, den Sie eventuell mit Ihrem DHCP-Server an Geräte vergeben, die sich direkt im lokaeln Netzwerk befinden, da es sonst dazu kommen kann, dass ein lokales Gerät und ein aus dem Internet verbundenes Gerät die selbe Ip bekommen – was zu Problemen führt. Sie sollten hier also einen Bereich an Adressen definieren, den Sie nicht lokal bereits über den DHCP vergeben.

Jetzt bearbeiten wir /etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns <eigener DNS-Server oder Goolge DNS:>8.8.8.8
ms-dns <eigener DNS oder google DNS:>8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxarp
lcp-echo-interval 30
lcp-echo-failure 4

wir beiarente /etc/ppp/chap-secrets. Hier bearbieten wir alle nutzer, die sich anelden dürfen

<benutzername> l2tpd <passwort> *

jetzt beabreitne wir die /etc/rc.local.

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done

Server nun neu starten

 

 

aws-ec2 pptp auf Ubuntu

pptp ist grtundsätzlich nicht sos icher wie die weiter oben gezeigte Variante, weshalb Sie diese vorziehen sollten. pptp gilt mittlerwiele als nicht mehr sicher, da Geheimdienste wie beispielsweise die NSA mithören kann.

Als erstes müssen Sie die Software installieren

apt-get install pptpd
apt-get install bcrelay

wir bearbeiten die  /etc/pptpd.conf und stellen, sicher dass folgender Inhalt darin steht

bcrelay <ihre Netzwerkkarte, über die sie sich verbinden wollen>
localip <öffentliche IP des Servers>
remoteip <die IP, von der aus wir auf den SErver wollen, also öffentliche IP unseres Haus-DSL-Anschlusses>

Wenn Sie , wie die meisten, eine dynamische IP-Adresse von Ihrem Provider bekommen, dann änder tisch ja die IP-Adresse, von der aus Sie sich auf den VPN-Server verbinden. deswegen müssen Sie also hier die IP-Spanne, die Ihnen ihr Provider vergibt, eintragne. Beispielsweise im Format

remoteip 65.145.127.1-255

sie können mehrere IP-Ranges angeben für dne Fall, dass Sie von mehreren Standorten aus auf den VPN-server wollen

remoteip 65.145.127.1-255,5.126.43.1-255

Wichtig ist außerdem, dass Sie im lokalen Netzwerk des VPN-Servers einen anderen Ip-Adressbereich nutzen als den, den Sie häufig bei WLAN-Hotspots vorfinden, damit Sie sich auch dort auf ihren VPN-SErver verbinden können.

als nächste ebearbeiten wir die Datie /etc/ppp/pptpd-options und stellen folgende Einstellungen sicher:

ms-dns 8.8.8.8
ms-dns 8.8.4.4

Damit legen Sie den DNS-Server fest, den die rechner benutzen sollen, die sich dort draufschalten. Wenn Sie keinen eigenen DNS-Server haben, legen Sie wie oben hier die öffentlcihen DNS-SErver von Google fest.

Dann editieren wir die /etc/ppp/chap-secrets. Hier legen wir die Benutzer fest, die sich am vPN-Cleint anmelden können.

<username> pptpd <Passwort> *

Nun beabreitne wir /etc/sysctl.conf

net.ipv4.ip_forward = 1

Dann editierne wir die /etc/rc.local

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

VPN-Server auf einem Raspberry PI

Installation

apt-get update
apt-get upgrade
apt-get install aptitude
aptitude install openswan

die Konfiguratiojn von openswan einfach durchklicken.

in die Datei /etc/ipsec.conf erstellen wir folgenden inhalt (alte ipsec.conf vorher löschen)

ersion 2.0
config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=<ip adresse raspberry pi>
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

Jetzt insatllieren wir XL2TP

aptitude install xl2tpd

in der Datei /etc/ipsec.secrets am Ende der DAtei einfügen

<IP-ADresse raspberry pi> %any: PSK "<Passphrase>"

Nun in der Konfigurationsdatei /etc/xl2tpd/xl2tpd.conf  folgenden inhalt erstellen

[global]
ipsec saref = yes

[lns default]
ip range = <ip adressbereich für nutzer beispiel 10.1.2.2-10.1.2.255 sollte nicht vom DHCP server des Routers vergeben werden>
local ip = <ip adresse raspberry pi>
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

Instajllation von ppp

aptitude install ppp

Konfiguration in der /etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

bearbeitne von /etc/ppp/chap-secrets

<benutzername> l2tpd <passphrase aus der IPsec konfiguration>

in der /etc/rc.local vor der Zeile exit 0 eintragen. eintragen

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done

/etc/init.d/ipsec restart

Neu starten des Raspberry Pis

shutdown -r -t0 now

ab jetzt müsste es funktionieren

auf einen VPN-Server verbinden

Windows

  • NMetzwerk- und Freigabecenter öffnen
  • Neue Verbindung oder neues Netzwerk einrichten
  • Verbindung mit dem arbeitsplatz herstellen
  • die internetvebrindung / VPN verwendnen
  • IP-Adresse VPN-Server angeben und einen beliebigen Verbindungsnamen.
  • Benutzernamen und Kenwnort für den VPN-server angeben.
  • verbindung herstellen
  • Passwörter eingeben

Linux

Ubntu grafisch

wir installieren über die synpatic-Paketverwaltung  das paket network-manger-vpnc und alle abhängigen pakete.

dann rechtsklick auf die Netzwerkverbindung / VPN-Verbnindungen / VPN konfigurieren… / Hinzufügen / Cisco-komaptibler VPN-Client (vpnc) / erzeugen /

  • Namen eingeben
  • Gateway die öffentliche IP des VPN-Servers
  • benutzernamen und passwort eingeben / OK
  • Passwörter eingeben
  • die Verbindung ist eingeirhcte. Twenn Sie sie katiiveren wollen, rechtsklick auf die Netzwerkvebridnung / VPN verwenden / VPN-Verbindung auswählen

per Konsole

installieren benötigter Pakete

apt-get install openswan xl2tpd curl

umbennenen der /etc/ipsec.conf

mv /etc/ipsec.conf/etc/ipsec.conf.factory-defaults

neue ipsec.conf erstellen

vi /etc/ipsec.conf

folgender Inhalt

config setup
         virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
         nat_traversal=yes
         protostack=netkey
         oe=off
 # Replace eth0 with your network interface if different; e.g. wlan0
         plutoopts="--interface=<interface von dema us wir uns verbinden wollen>"
conn L2TP-PSK
         authby=secret
         pfs=no
         auto=add
         keyingtries=3
         dpddelay=30
         dpdtimeout=120
         dpdaction=clear
         rekey=yes
         ikelifetime=8h
         keylife=1h
         type=transport
 # Replace IP address with your local IP
         left=<unsere loakle ip adresse zu hause>
         leftnexthop=%defaultroute
         leftprotoport=17/1701
 # Replace IP address with your VPN server's IP
         right=<öffentliche IP VPN server>
         rightprotoport=17/1701

wir bearbeiten /etc/ipsec.secrets

<usnere lokale IP> <öffentliche IP VPN Server>: PSK "<PSK>"

Folgenden inhalt am Ende der /etc/xl2tpd/xl2tpd.conf einfügen

[lac hmavpn]
 lns = <öffentliche IP VPN Server>
 ppp debug = yes
 pppoptfile = /etc/ppp/options.l2tpd.client
 length bit = yes

wir erstellen /etc/ppp/options.l2tdp.client

ipcp-accept-local
 ipcp-accept-remote
 refuse-eap
 require-mschap-v2
 noccp
 noauth
 idle 1800
 mtu 1410
 mru 1410
 defaultroute
 replacedefaultroute
 usepeerdns
 debug
 lock
 connect-delay 5000
 name <unser VPN Username>
 password <unser PPTP Passwort am VPN Server für diesen user>

Wir erstellen eine Routing Regel

ip ro ad <öffentliche IP VPN Server> via <IP unseres Gateways / Routers>

openswan neu starten

invoke-rc.d ipsec restart
invoke-rc.d xl2tpd restart

wir verbinden uns über VPN:

ipsec auto --up Lt"TP-PSK && echo "c hmavpn" > /var/run/xl2tpd/l2tp-control

zum disconnecten vom VPN:

echo "d hmavpn" > /var/run/xl2tpd/l2tp-control && ipsec auto --down L2TP-PSK

 

Android Smartphone

  • Einstellungen /Drathlos & Netzwerke -> Mehr / VPN / auf das Plus oben rechts klicken
  • Name: beliebiger naem für VPN-Verbindung / Typ:
    • wenn Sie einen Ubntu L2TP Server aufgestzt haben (sihee obne): L2TP/IPSec PSK /
    • wenn Sie einen Fritz!Box VPN-Zugang eingerichtet haben (siehe oben): IPSec Xauth PSK
    • adresse: DynDNS des Servers eingeben / Vorinstallierter IPSec-Schlüssel: das vergebene Passwort zum Login auf den Server
  • draufklicken und Bneutzername und Passwort für den User eingeben, mit dem Sie sich einloggen wollen.

Zufallszahlen für die verschlüsselung verbessern

Ihr VPN-Server, egal wo Sie ihn installiert haben, verwendet Zufallsdaten zur Verschlüsselung der Daten. Einige fortgeschrittene anwender werden wissen, dass ein Computer keine wirklichen „Zufallswerte“ erzeugen kann, sondern sich vorahdnener Werte bedient, die rigendwo auf dem betriebssystem oder im Arbeitsspeicher liegen. Er bedient sich einem vorhandenen Pool von Zufällen. Je größer dieser pool, desto unvorhersehbarer sind die Werte, die zur Verschlüsselung verwendet werden. Sie können diesen pool durch zwei einfache Befehle vergrößern.

apt-get install haveged
cat /proc/sys/kernel/random/entropy_avail

 

 

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.