[linux-l] VPN

Steffen Dettmer steffen at dett.de
Fr Jul 12 08:58:35 CEST 2002 

* Stephan Uhlmann wrote on Thu, Jul 11, 2002 at 18:53 +0200:
> On Tuesday 09 July 2002 10:42, Steffen Dettmer wrote:
> > Mit PPTP hab ich mich nie eingehend beschäftigt, da für mich die
> > ganze Arbeit sinnlos ist, wenn es nicht mal sicher ist :)
> 
> Soweit ich gelesen (http://www.counterpane.com/pptp-faq.html) habe, ist nur 
> Microsofts Implementation des PPTP unsicher. Das Protokoll an sich ist ok. 

Ich hab mal was gegenteiliges gelesen (die Implementierung ist
Mist, kann man nicht gefixt werden, weil das Protocol so schlecht
ist). Weiß nicht. Egal.

> Hab nur leider nix gefunden, ob die Mischung Linux PPTP-Server und Windows 
> PPTP-Client eine sichere ist oder ob der buggy PPTP Code von Microsoft meine 
> heile Linux-Welt infiziert ;-)

Sicherlich letzeres. Wenn man eines durch die Integration von
Windows ins Unixnetz gelernt hat: Unix ist vielleicht ein
besseres Windows als Windows aber Windows ist ein schlechteres :)
(Gar nicht erst versuchen, das zu verstehen :))

> Gut dann schoepfe ich Mut. IP etc. ist kein Problem. Nur bei asynchronen 
> Verschluesselungsverfahren (die IPSec wohl benutzt) muss ich immer noch ein 
> zweites mal drueber nachdenken, wer denn nun fuer was den public und den 
> private key benutzt. Aber diese schoenen Beispiele mit Alice und Bob findet 
> man ja relativ schnell ;-)

Ja, das ist aber auch nicht wirklich wichtig. Reicht, wenn Du
weiß, daß Du einen Key brauchst, und das man secrets nicht
kopiert...

> > Um das mal abzukürzen: Du möchtest IPSec ESP im Tunnelmode.
> 
> Warum nicht den Transport Mode? Es ist doch nur eine Maschine auf der 
> Client-Seite. Damit muesste ich mir doch das Ausetzen eines Gateways auf der 
> Clientmaschine sparen koennen, oder? Sprich das PGPNet waere ueberfluessig. 
> Oder kann Windows nativ kein IPSec?

Ach so, ja, vergessen. Klar, Win2000 kann IPSec, aber nicht mit
dynamischen IP Adressen. Mit dynamischen geht nur PPTP (das ist
zum Kompott so blöd beschrieben, egal). Ich ging davon aus, daß
Deine Kollegin dynIPs hat.

Beim Transportmode werden die IPs im Prinzip nicht geändert. Das
nützt Dir nix, weil ein Packet an den SambaServer dann ja ne
192.168.x.x ZielIP kriegen würde (also ein IPSec Packet), was im
Internet nicht geroutet werden würde. Weiterhin müßte der
Sambaserver das IPSec machen, nicht der Router. Das geht nicht
mit Masqurarding, klar. 

Um das mal abzukürzen: Du möchtest IPSec ESP im Tunnelmode.

:)


> > [Wenn der Unterschied zwischen Potr und
> > Protokoll nicht ganz klar ist, wie ich's erstaunlich oft erlebt
> > hab, gleich nachlesen :)].
> 
> Wenn du mit "Potr" "Port" meintest, denn ist das klar.

Yep, klar.

> Ich hatte Setups wo ein "geheimes" Telnet (Protokoll) auf Port
> 4782 lief. "Das findet niemand".  Hach das waren noch Zeiten
> ;-)

Das ist eben was anderes. Ein "Port" ist eine Eigenschaft von UDP
und TCP. IP kennt keine Ports. Das nochmal lesen, wird immer
gerne vergessen. IP kennt keine Ports. 

Hier ist mit Protocol kein OSI level 5+ Protocol gemeint, sondern
ein OSI-Level 4 Protocol, eines, das "neben" TCP und UDP liegt und
ESP oder AH heißt. Beide kennen keine Ports (aber innen liegende
weitere Header, z.B. wenn TCP, kennen dann Ports). TCP ist
numerisch 6, ESP 50, AH 51 IIRC. Diese Protocolnumber steht dann
im IP Header drin. Bei ner 6 oder ner 17 (UDP) gibt's dann z.B.
Ports.

Das Telnetprotocol liegt ja über TCP, nicht daneben. Davon
"sieht" man auf der Netzwerkebene aber nur noch die Portnummer. 

> Nein. Der Tunnelendpunkt soll der Rechner sein der auch NAT-Gateway ist. 
> Wuerde mich ja sonst public IP-Adressen kosten ;-)

Würde ich für'n VPN GW vermutlich so machen, IPs kosten ja kein
Geld... Aber finde das *hier* so genau richtig.

> Noch eine Frage: Kann es sein, dass PGPNet jetzt der "McAfee E-Business 
> Server" ist? (http://www.mcafeeb2b.com/products/ebusiness-server/default.asp)

Keine Ahnung, die wechseln die Productnamen wie die Unterwäsche
:) Zumindestens früher gab's das auch mal extra. Aber die
Webseiten fand ich eh immer zum Kotzen :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l