Samstag, 26. März 2005
IPCop VPN mit DNS, Teil 2
Dies ist nun endlich die Lösung meines über gebliebenen Problemes meiner VPN IPSec Odyssee.
Nachdem ich mich am Donnerstag abend bei der LUUSA für eine Weile mit Waldemar Brodkorb zusammen schließen durfte (vielen Dank an dieser Stelle nochmal; das war Augen öffnend!), wurde das eigentliche Problem schnell erfasst und gelöst.
Nachdem ich mich am Donnerstag abend bei der LUUSA für eine Weile mit Waldemar Brodkorb zusammen schließen durfte (vielen Dank an dieser Stelle nochmal; das war Augen öffnend!), wurde das eigentliche Problem schnell erfasst und gelöst.
Der
Wunsch war, dass sämtlicher IP-Traffic auf meinem WinXP Client über das
VPN geroutet wird. So kann ich quasi unter der statischen IP des VPNs
agieren.
Dazu muss in der IPCop VPN Config nur das linke Subnet auf 0.0.0.0/0 (/etc/ipsec.conf: leftsubnet=0.0.0.0/0) gesetzt werden. Das geht prächtig über die Eigenschaften (Bearbeiten / Stift-Icon) der VPN Verbindung im Menüpunkt Lokales Subnetz.
Dann nur noch die ipsec.conf (vom ipsec.exe Tool) meines Windows-PCs bearbeiten und rightsubnet=* setzen.
Mit diesen beiden Optionen sage ich zuerst dem Server, er soll alle Anfragen für alle Subnetze annehmen. Mit der Option beim Client sage ich, er soll für alle IP-Anfragen das VPN zu Rate ziehen.
Sobald dann das VPN gestartet wird (ipsec.exe aufrufen und eine beliebige IP pingen), läuft alles wunderbar. Der einzige Haken ist, dass man sich so von seinem eigenen LAN abschottet. Will man auf sein eigenes LAN wieder zugreifen können muss man ipsec.exe deaktivieren (ipsec.exe -off). Von Waldemar und anderen wurde wohl auch mal ein Patch für ipsec.exe entwickelt, mit dem man trotzdem noch auf sein LAN zugreifen kann, aber mangels C++ Compiler werde ich das nicht testen können.
IPSec.exe tut letztlich übrigens nichts anderes, als die mächtige, komplexe und Hirnkrampfverursachenden IP Policies in der MMC Konsole von WinXP vorzukonfigurieren. Sprich, man könnte da auch manuell drin herumwuseln, aber die Einstellungen werden bei jedem Aufruf von ipsec.exe natürlich überschrieben. Also letztlich könnte man sich selber ein Script zur Erstellung der Policies erstellen, in dem man einfach vorsieht, dass das eigene LAN vom VPN-Routing ausgenommen wird.
Ein letztes Problem mit dem ich dann noch zu kämpfen hatte war fehlerhafte DNS-Resolving. Ich konnte erst nur IPs pingen und keine Domain Names resolven - aber das konnte ich dadurch beheben, das ich unter Windows XP in den Eigenschaften meiner LAN-Verbindung eine Latte von DNS-Server eingegeben habe: Zum einen die LAN-IP meines eigenen Routers, dann zur Sicherheit ein paar statische IPs des DNSs von meinem DSL-Provider und zu guter letzt die interne IP 192.168.1.1 des IPCop-Rechners, sobald ich im VPN drin bin.
Und -voila- schon klappt alles. Und ich bin rundum zufrieden, ab jetzt steht der Heimarbeit nix mehr im Wege
Dazu muss in der IPCop VPN Config nur das linke Subnet auf 0.0.0.0/0 (/etc/ipsec.conf: leftsubnet=0.0.0.0/0) gesetzt werden. Das geht prächtig über die Eigenschaften (Bearbeiten / Stift-Icon) der VPN Verbindung im Menüpunkt Lokales Subnetz.
Dann nur noch die ipsec.conf (vom ipsec.exe Tool) meines Windows-PCs bearbeiten und rightsubnet=* setzen.
Mit diesen beiden Optionen sage ich zuerst dem Server, er soll alle Anfragen für alle Subnetze annehmen. Mit der Option beim Client sage ich, er soll für alle IP-Anfragen das VPN zu Rate ziehen.
Sobald dann das VPN gestartet wird (ipsec.exe aufrufen und eine beliebige IP pingen), läuft alles wunderbar. Der einzige Haken ist, dass man sich so von seinem eigenen LAN abschottet. Will man auf sein eigenes LAN wieder zugreifen können muss man ipsec.exe deaktivieren (ipsec.exe -off). Von Waldemar und anderen wurde wohl auch mal ein Patch für ipsec.exe entwickelt, mit dem man trotzdem noch auf sein LAN zugreifen kann, aber mangels C++ Compiler werde ich das nicht testen können.
IPSec.exe tut letztlich übrigens nichts anderes, als die mächtige, komplexe und Hirnkrampfverursachenden IP Policies in der MMC Konsole von WinXP vorzukonfigurieren. Sprich, man könnte da auch manuell drin herumwuseln, aber die Einstellungen werden bei jedem Aufruf von ipsec.exe natürlich überschrieben. Also letztlich könnte man sich selber ein Script zur Erstellung der Policies erstellen, in dem man einfach vorsieht, dass das eigene LAN vom VPN-Routing ausgenommen wird.
Ein letztes Problem mit dem ich dann noch zu kämpfen hatte war fehlerhafte DNS-Resolving. Ich konnte erst nur IPs pingen und keine Domain Names resolven - aber das konnte ich dadurch beheben, das ich unter Windows XP in den Eigenschaften meiner LAN-Verbindung eine Latte von DNS-Server eingegeben habe: Zum einen die LAN-IP meines eigenen Routers, dann zur Sicherheit ein paar statische IPs des DNSs von meinem DSL-Provider und zu guter letzt die interne IP 192.168.1.1 des IPCop-Rechners, sobald ich im VPN drin bin.
Und -voila- schon klappt alles. Und ich bin rundum zufrieden, ab jetzt steht der Heimarbeit nix mehr im Wege
Übrigens: Star Wars macht echt Laune 
Die letzten drei Tage habe ich mich damit rumgeschlagen, ein VPN zwischen einem Firmennetz und meinem privaten Rechner herzustellen. Was folgt ist meine kleine Schritt-für-Schritt Anleitung. Erstmal mein Setup: Tutorials: Vorweg schonmal Links, d
Aufgenommen: Mär 26, 01:28