VPN einrichten

[MacFlieger]

Hiho!

Wie ihr ja wißt, möchte ich mir gerne VPN einrichten. Hatte vor längerer Zeit schonmal danach gefragt, aber noch keine Zeit gehabt.
Jetzt würde ich das gerne fortsetzen. Zunächst habe ich aber noch ein paar Fragen, ob ich es richtig verstanden habe.

Grundidee:
- zu Hause ein LAN mit einem NATendem Router, IPs 10.0.20.x und einem VPN-Server (im Router)
- unterwegs ist der Computer entweder direkt im Internet oder über ebenfalls ein LAN (z.B. mit IPs 10.0.0.x)
- gedacht ist, daß der Computer unterwegs auf die Rechner zu Hause zugreifen kann.

Der Unterwegs-Computer hat zunächst einmal die fremde IP, entweder bezogen vom Provider oder eine IP aus dem fremden LAN. Für den Zugriff auf das Internet wird zunächst diese IP verwendet. Nun verbindet sich der Unterwegs-Computer mit dieser IP übers Internet mit dem VPN-Server zu Hause und bekommt für die verschlüsselte Verbindung eine eigene IP (10.0.20.x). In der Systemeinstellung Netzwerk sind nun zwei Schnittstellen. Einmal diejenige, mit der Internetverbindung gemacht wird (z.B. Ethernet oder Modem), und die VPN-Verbindung. Soweit so gut.
Fragen:
1. Ist es richtig, daß nun alle Zugriffe auf IPs 10.0.20.x verschlüsselt per VPN erfolgen?
2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?

Tschö, MacFlieger.

[Patrick]

1. Ist es richtig, daß nun alle Zugriffe auf IPs 10.0.20.x verschlüsselt per VPN erfolgen?

Ja.

2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?

Grundsätzlich ja. Du kannst aber das Routing so einstellen, daß sämtlicher externer Traffic über die VPN-Verbindung läuft. Ist halt durch die Verschlüsselung entsprechend langsamer (zumal die ja auch noch per Software geschieht).

[MacFlieger]

2. Ist es richtig, daß Zugriffe auf alle anderen IPs, d.h. Internet oder anderes lokales Netzwerk 10.0.0.x, unverschlüsselt über die normale Schnittstelle gehen?

Grundsätzlich ja. Du kannst aber das Routing so einstellen, daß sämtlicher externer Traffic über die VPN-Verbindung läuft. Ist halt durch die Verschlüsselung entsprechend langsamer (zumal die ja auch noch per Software geschieht).

OK, d.h. Standardeinstellung ist bei OS X, so wie ich geschrieben habe, richtig? das wäre genau das, was ich haben wollte. Wo müßte ich denn was ändern, wenn ich den kompletten externen Traffic über VPN haben wollte?

[Patrick]

Wo müßte ich denn was ändern, wenn ich den kompletten externen Traffic über VPN haben wollte?

Die Frage hat sich bei mir nie gestellt, da ich immer Router zu Router verbinde und nicht den OSX-VPN-Client nehme. Dort mach ich einfach nen Haken, und gut ist's. Unter OS X sollte es mit route im Terminal gehen, der Syntax wäre mir jetzt allerdings nicht geläufig...

[MacFlieger]

OK, geht also nicht so einfach. Ist aber auch nicht schlimm, da ich das ja nicht anders als wie beschrieben nutzen will.
Nächste Frage:

Was passiert denn, wenn das fremde LAN, in dem mein Unterwegs-Computer hängt, den gleichen IP-Raum verwendet wie mein Heimnetzwerk? D.h. zu Hause habe ich 10.0.20.x und das fremde LAN hat ebenfalls 10.0.20.x. Funktioniert das dann gar nicht oder ist nach Aufbau der VPN-Verbindung nur das entfernte Netz über VPN erreichbar, nicht aber mehr das lokale Netz bzw. das Internet über das lokale Netz?

[Patrick]

Das war einer meiner Anfangsfehler, danach hab ich mich dann auf www.afp548.com schlau gemacht

Der Client baut zwar die Verbindung auf, aber man wird nie etwas vom anderen Netz sehen.

[MacFlieger]

 

Weil ich mir schon ein solches Problem gedacht habe, habe ich für mein lokales zu Hause-Netz nicht eine der üblichen IP-Bereiche genommen. Natürlich trotzdem eines, was für LANs gedacht ist.

OK OK, was gibt es denn auf der von Dir angegebenen Seite? ich habe gerade mal angeklickt, aber da kommen zunächst Infos zu dem letzten Sicherheitsupdates. Gibts da auch Seiten wie unsere BHBs? Dann schau ich mal genauer.

[Patrick]

afp548 (wie der Name als Anspielung auf Port 548 für afp schon andeutet) beschäftigt sich hauptsächlich um OS X als Server, noch nicht mal so sehr die OS X Server Version ansich, sondern wie man entsprechende Dienste unter OS X konfiguriert. Vor einigen Jahren gab's da mal (noch unter Jaguar) eine Anleitung, wie man einen VPN-Client/Server-System aufbaut. Damals war diese Geschichte für mcih sehr hilfreich.

[MacFlieger]

Nochmal zurück zum Routing-Problem.
In dem Artikel wird beschrieben, daß bei Einsatz eines 10.3 OS X Servers mit VPN eben doch der komplette Netzwerkverkehr des angemeldeten Clients über VPN läuft. Als Lösung wird beschrieben, die Konfiguration des Servers zu verändern.
D.h. für mich, daß auch der VPN-Server anscheinend eine Einfluß auf das anschließend verwendete Routing hat, richtig?
Ich will zwar einen anderen VPN-Server einrichten, aber das müßte ich dann ja evtl. auch berücksichtigen.

In einem anderen Artikel wird erwähnt, daß der OS X VPN Client seit Tiger eine zusätzliche Checkbox hat (VPN als Standardgateway benutzen), d.h. wenn man das Häkchen wegmacht, wird eben nicht der komplette Netzwerkverkehr über VPN geschickt. So will ich es ja. Nur für Panther gibt es das Häkchen nicht.

So wie ich es sehe, schlägt der Server ein Routing vor, daß der Client übernehmen kann, und zumindestens einige Clients haben auch die Möglichkeit ein eigenes Routing zu bevorzugen.

Noch andere Meinungen dazu?

[MacFlieger]

Ich krame den Thread noch mal rauf.
Keiner sonst eine Ahnung?

[mbs]

Das kann man nicht so einfach beantworten, denn das hängt vom VPN-Einwahlserver (also hier vom Router) ab.

Generell ist richtig, was Du sagst: Bei einer VPN-Verbindung ist es möglich, dass der Einwahlserver dem Client mitteilt, welche Routen er zu setzen hat. Im Prinzip ist das eine Liste von Teilnetzadressen, die dem Client sagt, welche Adressen er als "ins VPN zu schicken" ansieht (das sind dann die privaten, verschlüsselten Daten), und welche Adressen er als "über die Default Route zu schicken" behandelt (das sind dann die öffentlichen, unverschlüsselten Daten).

Beispiel:
10.0.0.0/255.0.0.0 --> privat, ins VPN
192.168.1.0/255.255.255.0 --> öffentlich, ins eigene LAN

Bei manchen Konfigurationen muss man eventuell auch noch ein
0.0.0.0/0.0.0.0 --> der ganze Rest ist öffentlich
einfügen.

[MacFlieger]

Beispiel:
10.0.0.0/255.0.0.0 --> privat, ins VPN
192.168.1.0/255.255.255.0 --> öffentlich, ins eigene LAN

Bei manchen Konfigurationen muss man eventuell auch noch ein
0.0.0.0/0.0.0.0 --> der ganze Rest ist öffentlich
einfügen.

OK, noch eine Nachfrage zu obigen Beispielen und zwar zu den Teilnetzmasken. Die habe ich bisher immer nur für ein lokales Netzwerk selber setzen müssen und da war immer 255.255.255.0 richtig.
Nur damit ich die Funktion der Netzmaske richtig verstehe, hier meine Theorie:
Die Maske in Kombination mit der IP soll angeben, welche anderen IPs auch gemeint sind. Betrachtet man nur eine der vier Zahlen, dann gilt: eine 0 für ein Bit in der Maske bedeutet, das entsprechende Bit in der IP ist beliebig, eine 1 für ein Bit in der Maske bedeutet, das entsprechende Bit in der IP muß so erhalten bleiben. Das würde zu folgenden Beispielen führen (jeweils eine korrespondierende Zahl aus der IP und der Maske):
67/255 -> nur 67 gültig.
67/0 -> 0-255 gültig.
67/128 -> 0-127 gültig.
67/192 -> 64-127 gültig.
Richtig?
Wenn ja, können wir uns weiter VPN widmen. Heute nachmittag verkabel ich etwas anders, dann kann es losgehen.

[mbs]

Richtig?

Ja, fast richtig.  Es stimmt, nur mit dem Begriff "gültig" bin ich nicht ganz einverstanden.

Im Normalfall schickt man seine Datenpakete ja an einen einzelnen Rechner. Dann reicht es, eine einzelne IP-Adresse anzugeben. In anderen Fällen, z.B. im Routing, will man aber eine Formulierungsmöglichkeit haben, eine ganze Gruppe von Adressen in einer Schreibweise zusammenzufassen. Hierzu gibt es eben die Teilnetz-Adressen, so dass man sagen kann, "ich meine jetzt alle fortlaufenden IP-Adressen in diesem ganzen Unternetz".

Teilnetzadressen bestehen aus einer IP-Adresse, die binär gesehen von rechts her mit Nullen gefüllt ist, und einer Netzmaske, die binär von links her mit Einsen gefüllt ist. Beispiel: 192.168.1.0, Maske 255.255.255.0. Es gibt noch eine alternative Art, die Maske zu schreiben, nämlich indem man die "Anzahl der Einsen" hinschreibt. Das wird "CIDR-Schreibweise" (Classless Internet Domain Routing) genannt. Hier in diesem Fall: 192.168.1.0/24, weil 255.255.255.0 binär hingeschrieben aus 24 Einsen und 8 Nullen besteht.

Nun zur eigentlichen Frage: Der Teil der durch die Einsen maskiert ist, gilt als "Adresse des Teilnetzes" und der Teil, der durch Nullen maskiert ist, sind die fortlaufenden Adressen innerhalb dieser Teilnetze. "Gültig" sind aber alle Adressen!

Beispiel: 192.168.40.0/255.255.255.0 heißt:
Man meint alle fortlaufenden IP-Adressen im Bereich 192.168.40.1 bis 192.168.40.254.

Wie Du siehst, habe ich die erste ("0") und die letzte Zahl ("255") im fortlaufenden Bereich weggelassen. Diese haben nämlich Sonderbedeutungen. "0" ist die symbolische Schreibweise für eben dieses ganze Teilnetz, hier also das Netz 192.168.40, und "255" ist die Adresse für eine Teilnetz-Rundsendenachricht (Broadcast), also hier 192.168.40.255 für eine Nachricht an alle Rechner in diesem Teilnetz.

Weiteres Beispiel: 192.168.67.0/255.255.128.0
Dies bedeutet, dass 2 (!) Teilnetze vorliegen, nämlich eins mit den Adressen 192.168.67.1 bis 192.168.67.126 und noch eins mit den Adressen 192.168.67.129 bis 192.168.67.254.

Weiteres Beispiel: 192.168.67.0/255.255.192.0
Hier liegen jetzt 4 Teilnetze mit den Adressen 192.168.67.1 bis 192.168.67.62, 192.168.67.65 bis 192.168.67.126, 192.168.67.129 bis 192.168.67.191 und 192.168.67.193 bis 192.168.67.254 vor.

Diese 4 Teilnetze sind voneinander getrennt. Das heißt, zwei Teilnehmer innerhalb eines Netzes können sich direkt erreichen, zwei Teilnehmer in verschiedenen Netzen können sich zwar noch gegenseitig adressieren, brauchen aber einen vermittelnden Dritten (Router/Weiterleiter), damit die Datenpakete die "Grenze" überqueren können.

[VollPfosten]

Weiteres Beispiel: 192.168.67.0/255.255.128.0
Dies bedeutet, dass 2 (!) Teilnetze vorliegen, nämlich eins mit den Adressen 192.168.67.1 bis 192.168.67.126 und noch eins mit den Adressen 192.168.67.129 bis 192.168.67.254.

Also wenn ich jetzt nicht ganz falsch liege, meinst Du doch die Subnetzmaske 255.255.255.128, also 7 und nicht 9 Bit für die Host-ID.

[mbs]

Also wenn ich jetzt nicht ganz falsch liege, meinst Du doch die Subnetzmaske 255.255.255.128

Oops, sorry. Du hast Recht, es sollte eigentlich 192.168.67.0/255.255.255.128 und 192.168.67.0/255.255.255.192 in den Beispielen heißen.