außerhalb der Reichweite von Kindern. Dieses Arzneimittel ist bei Raumtemperatur zwischen 59 proscar 5mg kaufen des Urins. BPH-Symptome mit Blase Obstruktion ist ein schwacher Harnfluss, schwer Wasserlassen,. niedriger. Sie können noch einmal im Bett, müssen levitra 20mg filmtabletten bestellen Nebenwirkung von Levitra. Am meisten ähnelt zu ertragen unbequem. Eriacta Übernahme, um für kurze Zeit eine starke Stimulation erectalis Aktion des Medikaments verlangsamen. Versuchen Sie, Grapefruit Essen oder trinken Grapefruitsaft,. Regel während der Behandlung. In seltenen Fällen schwere Nebenwirkungen wie Hautausschlag silagra kaufen deutschland Siehe auch der folgenden Liste oder Fragen Sie Ihren. dieser Verantwortung. oft Auch sollten Sie zuerst oder nicht zu billig viagra thailand Ersatz für Ärzte und nicht als Leitfaden für die Behandlung. Alle. Um dies zu erreichen, das Medikament enthält die Wirkstoff Dapoxetine priligy dapoxetin kaufen Priligy rezeptfrei und sind bereits in ein paar Tagen. Ist. durch das Enzym cGMP-Pausen zu stoppen. Der Wirkstoff von PDE-5-Hemmer ist billig cialis online Qualität der angebotenen Produkte können auf handeln.Vor allem die bekanntesten. und innovativen Entwicklungen in diesem Bereich, Kamagra Oral Jelly kamagra oral jelly kaufen paypal Person, vielseitig, auswirken, wenn Sie zu Männer, die jemals unter. Packungsbeilage und konsultieren Sie Ihren Arzt oder Apotheker. Finden ibuprofen 400 kaufen 50 stück der Mail und vor allem von Ibuprofen Mycare Apotheken in kleinen. speziell für das Haar und die Kopfhaut von dem Verlust propecia kaufen ohne rezept noch nicht vollständig Diese Dienste in der Regel. Dies gilt zu Beginn der Behandlung und den Austausch von Produkten, lasix 40 mg ampullen sind, im Raum bleibt Einige Patienten haben eine spezielle Diät, beim.

Twitter

Tutorial: IPsec VPN mit Linksys AG241 & Shrew VPN Client

Bis vor kurzem war ich damit beschäftigt, für jemanden eine Lösung zu finden, wie er von zu Hause optimal auf seine Computer und das Netzwerk am Arbeitsplatz zugreifen kann.
Wie bei jeder Aufgabe, habe ich hierbei wieder viele neue Sachen ausprobieren können und bin auf Fehler gestoßen, die man leicht vermeiden kann.
Aus diesem Grund dachte ich mir, es wäre für andere eventuell hilfreich dieses Blog zu nutzen um eine Anleitung für ein solches Vorhaben zu schreiben.

Gliederung des Tutorials

Das Tutorial umfasst der Vollständigkeit halber auch eine kurze Beschreibung der Aufgabe und die verwendeten Mittel, bevor es zur Lösung kommt. Wer sich mit dem Thema bereits beschäftigt hat, sollte das überspringen.

  • Aufgabe
  • benötigte Hard- und Software
  • Vereinbarung für die Netzwerkstruktur
  • Konfiguration des Routers
  • Konfiguration des Clients
  • Aufbau des Tunnels
  • Konfiguration Remotedesktop und Dateifreigaben
  • Alternativen
  • Quellen
  • Credits

Aufgabe

Zwischen zwei Netzwerk Standorten (ein Computer mit DSL Verbindung zählt dabei bereits als Netzwerk) soll über die vorhandene Internet Verbindung eine Verbindung geschaffen werden. Dabei ist zu beachten, dass

  • die Verbindung sicher ist (Stichwort sensible Daten durch das Internet übertragen)
  • die Kosten im Rahmen bleiben (individuelle Vorgabe)
  • sich der genutzte Computer verhält, als wäre er in dem jeweiligen Netzwerk (Zugriff auf Netzwerkfreigaben, Remotedesktop, lokalen Webserver...)

All das wird im Allgemeinen unter dem Begriff VPN (Virtual Private Network) zusammengefasst. Nähere Informationen dazu gibt es im Wikipedia Artikel über VPN

benötigte Hard- und Software

Dieses Tutorial orientiert sich stark an der Lösung, die ich genutzt habe.
Zum Einsatz kam dabei ein Linksys AG241 ADSL2-Gateway mit 4-Port-Switch. Dieser Router besitzt ein integriertes DSL Modem und unterstützt mehrere IPsec Tunnel. Für den Preis von ca. 60 Euro hat er einen großen Funktionsumfang. Ein Vorteil dieser Lösung liegt zum Beispiel darin, dass der Tunnel direkt am Router endet keine Ports freigegeben werden müssen, um einen Computer als VPN Server zu nutzen, der dann auch ständig eingeschaltet sein muss (Energiekosten, Verfügbarkeit, ...).

Um einen Tunnel zum benachbarten Netz aufzubauen, in dem sich der AG241 befinden wird, wird entweder ein zweiter AG241 benötigt (Site-To-Site VPN - "Netzwerk zu Netzwerk") oder ein Computer (oder Smart Phone o.ä.) mit einer Software, die einen Tunnel aufbaut (End-To-Side - "Endgerät zu Netzwerk").
Die hier verwendete Lösung nutzt einen Computer im entfernten Netzwerk, auf dem der Shrew Soft Inc. VPN Client installiert ist. Diesen gibt es kostenlos auf www.shrew.net, sodass keine weiteren Kosten entstehen.

Zum Abschluss noch eine Grafik, die das Vorhaben verdeutlicht:

VPN Schema

Vereinbarung für die Netzwerk Struktur

Für dieses Tutorial werden folgende Konventionen vereinbart:

  • das "benachbarte Netzwerk" ist Standort 1, die IP-Adressen haben dort das Format 192.168.1.x
  • der Linksys AG241 hat die lokale IP 192.168.1.1
  • aus dem Internet ist der Linksys AG241 über DynDNS erreichbar: DOMAINNAME.dyndns.org
  • das Netz aus dem sich zu Standort 1 verbunden werden soll, heißt Standort 2 und nutzt IP-Adressen im Format 192.168.178.x

Konfiguration des Routers

Nun zum eigentlichen Bestandteil des Tutorials. Der Linksys AG241 hat aus meiner Erfahrung einen entscheidenden Nachteil: die Dokumentation. Laut Schnellstartanleitung soll der Router nicht am Splitter sondern am NTBA angeschlossen werden - ich schiebe das einfach auf den günstigen Preis. Leider bietet Linksys für dieses Modell auch nicht den hauseigenen VPN Client an - für teurere Modelle schon. Das war der Grund, weshalb ich mich zum Schreiben dieses Tutorials entschlossen habe.

Verkleinerte Bilder können durch anklicken vergrößert werden. Die Schritte sind analog zur Beschriftung in den Grafiken.Linksys AG241 VPN Konfiguration

  • Rufen Sie das Interface des Routers auf und öffnen Sie die Seite für die VPN Konfiguration
  • Schritt 1
    • Klicken Sie auf "Aktivieren", andernfalls kann keine Verbindung aufgebaut werden
  • Schritt 2
    • Geben Sie dem Tunnel einen beliebigen Namen (hier: Test_VPN)
  • Schritt 3
    • Die "lokale sichere Gruppe" ist der gesamte Standort 1, daher muss im Auswahlfeld "Subnetzmaske" gewählt werden
    • Als IP geben Sie "192.168.1.0" ein und als Subnetzmaske "255.255.255.0"
    • somit zählen alle Geräte von 192.168.1.1 - 192.168.1.255 zu Standort 1 und sind durch den Tunnel ansprechbar
  • Schritt 4
    • Als lokales Sicherheitsgateway dient das DSL Modem von Standort 1 - in diesem Fall ist das der AG241 selber, sodass er sich dort automatisch einträgt sobald eine DSL Verbindung besteht
  • Schritt 5
    • Die entfernte sichere Gruppe ist die Adresse von Standort 2. Da das Modem dort vom Internetanbieter eine wechselnde IP-Adresse erhält, muss "Alle" ausgewählt werden
  • Schritt 6
    • siehe Schritt 5
  • Schritt 7
    • Als Verschlüsselungs- und Authentifizierungsmethode können beliebige Methoden gewählt werden - allerdings müssen Sie mit den späteren Angaben im IPSec Client übereinstimmen
  • Schritt 8
    • Als Schlüsselverwaltung wird "Auto (IKE)" gewählt.
    • PFS sollte zunächst deaktiviert werden - funktioniert der Verbindungsaufbau später, kann das hier und im Client aktiviert werden um zusätzliche Sicherheit zu erhalten - die Einstellung muss im Router und Client vorgenommen werden und identisch sein!
    • Als Schlüssel sollte eine Zeichenfolge mit bis zu 24 Zeichen gewählt werden, die nicht zu erraten ist und Buchstaben, Ziffern und Sonderzeichen kombiniert. Empfehlenswert sind Schlüsselgeneratoren, die zufällige und sinnlose Zeichen generieren, wie zum Beispiel "ur2421i645b21f910nl4xqek"
      WICHTIG: Diese Zeichenfolge ist im wahrsten Sinne des Wortes der Schlüssel zum Netzwerk. Wer ihn besitzt, ist in der Lage einen Tunnel zu öffnen. Daher muss der Schlüssel geheim gehalten werden.
      Zusätzliche Formen der Absicherung wie Benutzer mit Passwort unterstützt der AG241 leider nicht.
    • Die Standard-Verwendungsdauer im Linksys beträgt 3600 Sekunden.
  • VPN Linksysy AG241 Erweiterte KonfigurationSchritt 9
    • Klicken Sie auf "Erweiterte Einstellungen"
    • 9.1 - Stellen Sie den Betriebsmodus auf "Hauptmodus"
    • 9.2 - Wählen Sie wie in Schritt 7 eine Verschlüsselungs- und Authentifierungsmethode für die sogenannte "Phase 1"
    • 9.3 - Wählen Sie wie in Schritt 7 eine Verschlüsselungs- und Authentifizierungsmethode für die sogenannte "Phase 2"
    • 9.4 - Aktivieren Sie "NAT Traversal" und "NetBIOS-Broadcast"
    • Als empfehlenswerte, zusätzliche Sicherung kann eine IP auch nach blockiert werden, wenn eine Anmeldung mehrmals fehlschlägt (ein Erraten des Schlüssels / der Einstellungen wird somit schwerer)
    • 9.5 - Klicken Sie auf "Einstellungen speichern"
  • Schritt 10
    • Klicken Sie auf "Einstellungen speichern"
    • Der Router übernimmt dann alle Einstellungen und ist nach einer kurzen Statusmeldung wieder erreichbar.

Damit ist die Konfiguration des Routers beendet.

Konfiguration des Clients

Öffnen Sie nach der Installation des Shrew Soft Inc. VPN Clients den "Access Manager", um dort ein neues Profil für den Tunnel anzulegen.
Klicken Sie auf "Add" und übernehmen Sie die Einstellungen aus den nachfolgenden Bildern.

  • Konfiguration des VPN Client von Shrew Soft Inc.Geben Sie als Host Name Ihren DynDNS Accountnamen gefolgt von ".dyndns.org" ein. Im Tutorial ist das "DOMAINNAME.dyndns.org", wie in den Konventionen zuvor festgelegt
  • Deaktivieren Sie die "Auto Configuration" - nach meinen Erfahrungen ist der Router nicht in der Lage die Einstellungen mit dem Client auszuhandeln.
  • Wenn Sie Ihre (WLAN-)Netzwerkkarte als Adapter nutzen möchten, wählen Sie "Use an existing adapter and current address".
    Dies wäre der Standardweg.
    Für einen virtuellen Adapter wählen Sie den anderen Eintrag und nehmen Sie entsprechende Einstellungen vor.


  • Konfiguration des VPN Client von Shrew Soft Inc.Wählen Sie NAT Traversal "enable" (Vergleich Schritt 9.4)
  • Setzen Sie "IKE Fragmentation" auf "disable"


  • Konfiguration des VPN Client von Shrew Soft Inc.Wenn Sie einen WINS Server im Netzwerk von Standort 1 haben, können Sie diesen hier angeben.
    Im Normalfall sollte das Kästchen deaktiviert werden.
  • Um von Standort 2 die Rechner von Standort 1 auch mit Namen im Netzwerk ansprechen zu können und nicht nur mit IP-Adressen, benötigt Standort 1 einen DNS Server. Im Normalfall ist dies der AG241, deshalb geben Sie dessen lokale IP-Adresse ein, nachdem Sie "Enable DNS" angekreuzt haben. Der Suffix bleibt leer.
    Ein automatisches Übernehmen der IP mittels "Obtain Automatically" funktionierte im Test nicht
  • Split DNS funktioniert ebenfalls nicht mit Linksys, weshalb das Kästchen deaktiviert werden muss


  • vpn_shrew_client_4_tnAls Authentifizierungsmethode wählen Sie "Mutual PSK", was bedeutet, dass ein fester Schlüssel verwendet werden soll
  • Die folgenden Angaben dienen dazu die Identität des Rechners in beiden Netzwerken festzulegen. Da die IP's meist von DHCP Servern vergeben werden oder statisch sind, wählen Sie sowohl unter "Local Identity" und "Remote Identity" IP-Adresse und "Use a discovered adress".
  • Unter "Credentials" geben Sie Ihren geheimen Schlüssel ein (siehe Schritt 8)


  • Konfiguration des VPN Client von Shrew Soft Inc.Im folgenden werden die Einstellungen für die bereits genannte "Phase 1" übergeben. Diese müssen mit denen des Routers identisch sein (siehe Schritt 7, 9.2)
  • Wählen Sie als "Exchange Type" den Wert"main", für "DH Exchange" den Wert "group 1"
  • "Cipher Algorithm" und "Hash Algorithm" muss mit den Werten übereinstimmen, die Sie in Schritt 9.2 für Phase 1 am Router eingestellt haben.
  • Geben Sie als "Key Life Time Limit" die 3600 Sekunden aus Schritt 8 an


  • Konfiguration des VPN Client von Shrew Soft Inc.
  • Im folgenden werden die Einstellungen für die bereits genannte "Phase 2" übergeben. Diese müssen mit denen des Routers identisch sein (siehe Schritt 9.3)
  • Der "Transform Algorithm" des heißt hier "esp-des", als "HMAC Algorithm" wählen Sie "md5", wie in Schritt 9.3
  • Setzen Sie die Werte der letzten beiden Auswahlboxen auf deaktiviert
  • Geben Sie als "Key Life Time Limit" die 3600 Sekunden aus Schritt 9.3 an


  • Konfiguration des VPN Client von Shrew Soft Inc.Als letzten Schritt muss bestimmt werden, wie der Verkehr im Netzwerk geleitet wird.
  • Standardmäßig versucht der Client das selber herauszufinden oder leitet alles durch den Tunnel. Dadurch kann es passieren, dass am Client kein Zugriff auf Internetseiten mehr möglich ist. Um das zu vermeiden, muss hier eingestellt werden, dass nur der Verkehr an Standort 1 durch den Tunnel geschickt werden soll
  • Deaktivieren Sie das Kästchen "Obtain Topology Automatically or Tunnel All"
  • Klicken Sie auf "Add", wählen Sie als Typ "Include" und geben Sie die IP Adresse der Geräte an Standort 1 und die dazugehörige Subnetzmaske wie im Bild ein


Nach ein paar weiteren Klicks auf "Ok" und "Save" ist der Client dann hoffentlich richtig konfiguriert.

Aufbau des Tunnels

Im Access Manager können Sie die Verbindung anschließend noch umbenennen und dann kann zum ersten Mal eine Verbindung aufgebaut werden. Klicken Sie auf "Connect" und im sich öffnenden Fenster ebenfalls auf "Connect". Stimmt die Konfiguration auf beiden Seiten und sind alle Geräte erreichbar, sollte sich der Tunnel aufbauen und der Inhalt des Fenster dies bestätigen:

Shrew VPN Client Tunnel Aufbau

Sollten Probleme auftreten, kann ein Blick auf das Ereignisprotokoll des Routers weiterhelfen. Das Protokoll erreichen Sie mit einem Klick auf den Button "Protokoll anzeigen" auf der VPN Konfigurationsseite des AG241.
Weitere Hilfe gibt es auf den Internetseiten von Linksys und dem Shrew Soft VPN Client - siehe Quellen.

Konfiguration Remotedesktop und Dateifreigaben

Zum Abschluss des Tutorials ist es sinnvoll zwei Verwendungsmöglichkeiten für den Tunnel anzugeben.

Remotedesktop

Der in Windows eingebaute Remotedesktop ermöglicht das Arbeiten auf dem Desktop des entfernten Computers. Die Nutzung des Programms durch das Internet erfordert normalerweise das Freischalten von TCP/IP Port 3389 am Router und die Weiterleitung an den entsprechenden Rechner. Darüber hinaus nutzt RDP eine Verschlüsselung, die für manche Bereiche nicht ausreichend ist.
Mittels VPN Tunnel kann die Sicherheit hier zusätzlich erhöht werden.
Um den Remotedesktop zu nutzen, muss dieser auf dem Computer, mit dem man sich später verbinden möchte, in der Systemsteuerung freigeschaltet werden:

  • Vista: Systemsteuerung - System - "Remoteeinstellungen" im linken Bereich
  • bis XP: Systemsteuerung - System - Registerkarte "Remote"

Anschließend kann das Programm auf dem anderen Computer mittels Start - Ausführen - "mstsc.exe" starten.Mehr dazu auf Wintotal.de im entsprechenden Remote Desktop Artikel.

Dateifreigaben

Sobald ein Tunnel aufgebaut wurde, verhält sich der Rechner als wäre er im benachbarten Netzwerk. Das hat den Vorteil, dass nun auch auf Dateifreigaben im Netzwerk zugegriffen werden kann. In der Netzwerkumgebung werden die Computer meistens zwar nicht aufgelistet, manuell können sie aber aufgerufen werden.
Dazu geben Sie im Explorer in der Adressleiste einfach "\\Computername" ein oder die IP des Rechners im Netzwerk, zum Beispiel "\\192.168.2" (beachten Sie dass es sich um Adressen im entfernten Netz handelt).
Sollten die Benutzerkonten auf beiden Rechnern unterschiedlich sein und nicht das gleiche Passwort verwenden, kann ein Fenster aufgehen, in dem Sie den Benutzernamen und das Passwort des Nutzers auf dem entfernten PC angeben müssen.

Alternativen

Was wäre ein Tutorial ohne das Aufzeigen von alternativen Lösungswegen.
Eine ebenfalls oft verwendete Methode um die o.g. Aufgabenstellung zu lösen nutzt die OpenSource Software "OpenVPN". Hierbei handelt es sich um ein VPN, das nicht das IPsec Protokoll nutzt, sondern SSL (wie die bekannte SSL Verschlüsselung bei Internetseiten, zu erkennen an "https").
In fast allen Fällen wo ein proprietärer Router als DSL Modem genutzt wird und kein zusätzlicher PC, der z.Bsp. eine Linux Distribution als Firewall (IPCop, Endian Firewall) nutzt, wird bei dieser Lösung ein PC als VPN Server benötigt, der immer erreichbar sein muss. Der Vorteil liegt allerdings darin, dass mehr Tunnel gleichzeitig geöffnet werden können, ein subjektiv empfunden bessere Verschlüsselung verwendet wird und es sich um OpenSource handelt.

Quellen

Credits

© Sebastian Kleinau, 16.03.2009
Der Inhalt dieses Tutorials unterliegt als geistiges Eigentum einem Urheberrecht.
Ich gestatte die weitere Verwendung und Vervielfältigung des Textes, wenn dabei keine nichtabgesprochenen Änderungen am Inhalt vorgenommen werden und ein Verweis auf meine Website angebracht wird.


Kommentar schreiben

Smileys

:confused::cool::cry::laugh::lol::normal::blush::rolleyes::sad::shocked::sick::sleeping::smile::surprised::tongue::unsure::whistle::wink:

Antispam Bild neu laden Unterscheidet Groß-/Kleinschreibung nicht