VPN koncentrator

[Michal Dobes]

Jan Marek napsal(a):
> Dival jsem se na konfiguraci k racoon-u a pokud jsem vse spravne
> pochopil, tak se jedna vlastne o tzv. road warrior konfiguraci.

Jo.

> Maji WinXP defaultne nejakeho VPN klienta, nebo je lepe na ne
> nainstalovat neco jineho? A kdyz neco jineho, je to free? A co to
> je?

Ano, součástí W2K/XP je VPN klient podporující PPTP a L2TP protokoly.
Pro oboje existuje řešení pro linux.
Pokud chcete použít jen holý IPsec, tak musíte do nastavení oken
moc vrtat. Pokud na linuxu uchodíte L2TP server, pak to na straně
klienta je naprosto bez doinstalování čehokoliv (jen se naládují
certifikáty).

V případě, že použijete to řešení pomocí L2TP/IPsec, tak to funguje
zhruba takto:
Nejníže je IPsec transport, v něm je vložen L2TP protokol (používá
UDP, port 1701), uvnitř L2TP se přenáší normální PPP spojení.

Na straně linuxu IPsec řeší jádro, úvodní sestavení IPsec transportu
a vyjednání má na starosti racoon server (nebo pluto v případě
openswan/strongswan). Klient IPsec se ověřuje pomocí buď sdíleného
hesla (všechny klientské počítače sdílejí jedno) nebo certifikátů,
který je nahrán pod systémovým účtem Windows (tím můžete omezovat
přístup jen ze skupiny počítačů, které mají příslušný certifikát).
Dále je třeba vyřešit to L2TP pomocí l2tpd démona, existuje několik
implementací, některé mají vestavěný i PPP server nebo se odvolávají
na externí. Takže dál tam musíte mít PPP. V průběhu PPP se provádí
ověřování uživatele, to může být buď pomocí jména/hesla nebo může
být použit další certifikát pro ověření daného uživatele.
Používám ověření uživatele jménem/heslem, a to tak, že se PPP odkazuje
přes radiusclienta na radius server, který jméno heslo ověří proti
Windows serveru.

> Soucasne bych byl povdecen, pokud jste nekde zaznamenali nejake
> HOWTO resici tento problem, kdybyste me na nej odkazali. Hledal
> jsem sice ruzne googlem, ale nenarazil jsem na nic vhodneho...
> Samozrejme ipsec-howto ted ctu, ale to neresi problematiku
> kooperace s Windows...

Using a Linux L2TP/IPsec VPN server
http://www.jacco2.dds.nl/networking/freeswan-l2tp.html

Pokud předchozí odstavec moc vyděsil, tak rozchození PPTP
serveru na linuxu je popsáno zde:
http://www.members.optushome.com.au/%7Ewskwok/poptop_ads_howto_1.htm

V podstatě celá druhá půlka tohoto popisu se dá použít i
při použití toho L2TP/IPsec řešení, protože jak při použití
L2TP tak i PPTP to nakonec končí na přenosu PPP spojení
a nastavení toho je v obou případech shodné. Liší se jen mechanismus
přenosu toho PPP spojení mezi klientem a serverem (jednou přes
IPsec transport s L2TP a v druhém případě přes GRE tunel).

Provozujeme jak OpenVPN, tak i to L2TP/IPsec řešení. Stručně shrnuto, 
oživené OpenVPN je jednodušší, vyžaduje něco práce u klienta i serveru.
U L2TP/IPsec není na klientu co řešit, o to víc starostí je na serveru.

M.