Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Wlan mit OpenVPN schützen
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Mar 19, 2005 10:07 pm    Post subject: Reply with quote

Der ist noch nicht so alt, da wird sich wohl nicht viel getan haben.

Daher finde ich die OpenVPN Lösung genauso sicher aber einfacher zu installieren und zu benutzen.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Sun Mar 20, 2005 3:37 pm    Post subject: Reply with quote

Naja das Mark Target war als umständlich beschrieben, die IPSec Policy war aber als adäquat genannt ... ich werd mich melden sobald ich live ausprobiert habe obs wirklich so schwer ist, derzeit nutze ich ja den nativen Stack schon für ESP Pakete, nur der Router muss noch dran kommen - mal sehn wies wird.

Denn dann finde ich ist es so schon besser, da Kernel Space meist schneller läuft als Userspace, siehe pppoe im Kernel / Userland, die im Kernel sind zig mal schneller.

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Mar 21, 2005 8:18 am    Post subject: Reply with quote

Naja,

aber der Trend geht schon in Richtung Userland, siehe udev.
Und generell kann man das auch nicht sagen das kernelspace schneller ist als userspace.

Und die einfache Installation ist schon ein wichtiges Argument. Ebenso die Portablilität,
z.b. wenn jetzt jemand mit nem Fedaro Core 2 connecten möchte und der keinen IPSec-Unterstützung im Kernel hat (keine Ahnung ob FC2 jetzt IPSec drinne hat oder nicht, ist nur ein Beispiel), er aber auch den Kernel nicht neukompilieren will (Firmenpolitik, Können, etc.) , geht es nicht.
Mit OpenVPN ist es egal welchen Kernel er einsetzt und welches OS ebenfalls.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Mon Mar 21, 2005 9:25 am    Post subject: Reply with quote

Die Portabilität ist nat. ein sehr gutes Argument stimmt - nunja ich werde auf jeden Fall beide Lsg. mal austesten und dann mal schauen was sich besser macht,.

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Mar 21, 2005 11:18 am    Post subject: Reply with quote

Ich bin natürlich auch für andere Lösungen offen. Wenn du es mal durchtestest wäre ich für einen Kommentar dankbar!
Und ob das mit iptables nun geht oder nicht würde mich auch interessieren.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
daemonb
Apprentice
Apprentice


Joined: 24 Jul 2002
Posts: 242

PostPosted: Mon Mar 21, 2005 12:54 pm    Post subject: Reply with quote

habe seit ca einem halben jahr openvpn mit meinem wlan laufen und bin eher unzufrieden.

Habe unter windows schon alles mögliche probiert und habe immer mit verbindungsabbrüchen oder routingfehler zu kämpfen die keine sind.
Werde nächste WE mal forschen was ich noch machen kann, habe aber langsa genug und werde denke ich evtl mal mit ipsec und l2tp probieren was zu reissen....

Lasse mich mal überraschen....


bis denne

DaemonB
_________________
Wie? Ein Laufwerk kann in einem Ordner stehen? ;-)
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Mar 21, 2005 1:00 pm    Post subject: Reply with quote

Bei mir läuft das jetzt seit Anfang des Jahres und ich kann deine Probleme nicht bestätigen. Bisher gab es nicht ein Problem.
Was ich mir bei dir vorstellen kann wäre ein Verlust der Leitung auf Grund zu schwacher WLAN-Leistung.
Wobei da gerade das auf UDP basierende OpenVPN weniger Probleme machen sollte (würde ich meinen).
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
daemonb
Apprentice
Apprentice


Joined: 24 Jul 2002
Posts: 242

PostPosted: Mon Mar 21, 2005 1:59 pm    Post subject: Reply with quote

habe das problem ja nur mit dem einen windowsXP laptop.

Zuerst ging es garnicht, das lag aber daran das da SP2 drauf war.

Also deinstalliert und dann gings erst, jetzt zickt er immer rum, vonwegen routing problem packet lost....

Denke es liegt evtl auch an der Kerio FW oder ähnlichem....

Mit meinem Powerbook geht es eigentlich relativ stressfrei.
_________________
Wie? Ein Laufwerk kann in einem Ordner stehen? ;-)
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Tue Mar 22, 2005 4:25 pm    Post subject: Reply with quote

@Anarcho: Kannst du eingentlich eine Lastaussage treffen?

Bei meinem P90 verbraucht ipsec mit ESP ca. 0.4 load average im Vergleich zu kein ipsec, ist openvpn besser oder schlechter? Bei schlechter scheidet es nämlich eh aus.

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Tue Mar 22, 2005 5:18 pm    Post subject: Reply with quote

@Neo

für nen richtigen Test sollten wir wohl die Art des testes abstimmen.
Bei mir läuft es auf einem Athlon XP 2000+ mit 1 GB RAM. Aber dort läuft noch ne ganze menge anderes Zeug. Ich kann dir aber sagen wieviel CPU der openvpn-daemon nimmt.
Ist dein Wert unter Netzwerkvolllast oder unter normallast?

Edit:

Unter fast DSL-Vollast (ca. 300 kb/s) liegt der openvpn daemon bei max. 2% CPU
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Mon Mar 28, 2005 6:40 pm    Post subject: Reply with quote

Geht alles mittlerweile.
Größter Vorteil die Performance, IPSec frißt definitv das xx-fache im Gegensatz zu OpenVPN, das Argument für den armen P90 ;-).

Ein Problem gibts aber noch: Openvpn erstellt auf dem Client das tap1 Device nicht schnell genug so das das Init Script zum starten von tap1 scheitert ... was den Bootvergang verewigt da die Netzanbindung fehlt, wie kann man das beheben?
Ein sleep in den Startscripten hilft nicht.

Gruß
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
AcheronH
n00b
n00b


Joined: 21 Oct 2003
Posts: 8

PostPosted: Wed Apr 13, 2005 3:43 am    Post subject: Reply with quote

@Anarcho:
Wie siehts eigentlich aus, wenn bei deiner config das tap device mal verschwindet? Wenn ich die OpenVPN Doku richtig verstehe könnte das ja passieren, wenn OpenVPN-Server und -Client sich mal nicht mehr verstehen (einfach zu triggern, indem man die Uhrzeit mal deutlich verstellt bzw den Dienst auf dem Server einfach mal neu startet). Schonmal Probleme gehabt oder funktioniert das immer sauber?

Ich hab das so ähnlich aufgesetzt wie du (bin zu spät auf deine FAQ gestoßen), hab aber dazu auf dem Server das WLAN mit dem LAN als bridge zusammengeführt. Das funktioniert auch recht gut, nur hab ich auf den clients keine init-scripte für tap0 sondern lasse das als route-up script vom openvpn aus starten.
Das hat bei mir den Vorteil, dass ich mit dem Notebook sowohl aus dem LAN als auch WLAN dieselbe IPV4-Adresse habe (die er vom LAN-dhcp bezieht).

Bei Interesse kann ich die configs mal posten.
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Wed Apr 13, 2005 9:17 am    Post subject: Reply with quote

Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.

Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.

Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
AcheronH
n00b
n00b


Joined: 21 Oct 2003
Posts: 8

PostPosted: Thu Apr 14, 2005 5:30 am    Post subject: Reply with quote

Neo_0815 wrote:
Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.

Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.

Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...

MfG


Mein Post bezog sich auch weniger auf dein Problem. Nach deiner Aussage nehme ich an, dass du das Problem jetzt aber gelöst hast. Ansonsten fällt mir nur noch eine recht hässliche Lösung ein: man könnte z.B. in der Konfigurationsdatei vom OpenVPN-Client im "up" oder "route-up" script ein flagfile (bzw. flagdirectory, mkdir=atomar?) setzen lassen, worauf dann die folgenden initscripte testen könnten. Aber solche Kapriolen sollte man soweit möglich vermeiden.
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Thu Apr 14, 2005 7:43 am    Post subject: Reply with quote

Komisch,

@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.

Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Thu Apr 14, 2005 11:43 am    Post subject: Reply with quote

Auf dieses Howto sollte in "Dokumentationen & Tipps & Tricks" gelinked werden.


Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
Squiddle
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jan 2004
Posts: 141

PostPosted: Thu Apr 14, 2005 11:50 am    Post subject: Reply with quote

kommt das auch ins wiki? www.gentoo-wiki.com
_________________
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Thu Apr 14, 2005 12:22 pm    Post subject: Reply with quote

Werde das mal ins WIKI stellen, wenn ich zeit habe.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Thu Apr 14, 2005 6:40 pm    Post subject: Reply with quote

Anarcho wrote:
Komisch,

@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.


Naja das Deviceinit Script ist zu fix an der Reihe, da ist OpenVPN noch am Erzeugen ... daher ist es nicht da.

Gruß
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Squiddle
Tux's lil' helper
Tux's lil' helper


Joined: 27 Jan 2004
Posts: 141

PostPosted: Thu Apr 14, 2005 6:54 pm    Post subject: Reply with quote

Ich hab mal angefangen, ich hoffe das ist ok.
http://de.gentoo-wiki.com/Wlan_mit_OpenVPN_sch%C3%BCtzen
_________________
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Apr 15, 2005 7:54 am    Post subject: Reply with quote

Sieht doch schon ganz gut aus.
Ich habe noch den Eintrag zu den Kernelvorraussetzungen geändert, denn bei neueren Kerneln braucht man support für das Universal TUN/TAP Device.

Ich meine das ich das damals nicht gebraucht habe, werde aber nochmal nen alten Kernel testen.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
AcheronH
n00b
n00b


Joined: 21 Oct 2003
Posts: 8

PostPosted: Fri Apr 15, 2005 3:52 pm    Post subject: Reply with quote

Anarcho wrote:

[...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.


Man sollte einfach nicht so früh am Tag ins Forum schreiben, da hapert es immer mit dem Nachdenken. ;)
Ich sehe den Unterschied in unseren Konfigurationen: du erstellst das tap device auf den clients per Init-Script, bei mir wird das jeweils von openvpn verwaltet. Daher wirst du client-seitig keine Probleme damit haben, denn das tap-device startet sich ja auch beim boot aus dem suspend per initscript wieder einen dhcpcd (?).
Was mich aber immer noch interessiert ist, was passiert wenn du den openvpn-server neu startest. Läuft es dann auch problemlos weiter? Der dhcpcd, der auf dem tap-device läuft, ist dann vermutlich schon weg und würde sich keine neue Adresse holen oder liege ich da falsch?

Ausserdem: ich sehe, dass du in deiner Server-Config kein client-to-client keyword hast. Sollen sich deine WLAN-clients nicht gegenseitig sehen? Tun sie es auch ohne das keyword (bei mir nicht...)?

Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?

Fragen über Fragen... :)
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Sun Apr 17, 2005 10:41 am    Post subject: Reply with quote

AcheronH wrote:
Anarcho wrote:

[...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.


Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?

Fragen über Fragen... :)


Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
AcheronH
n00b
n00b


Joined: 21 Oct 2003
Posts: 8

PostPosted: Mon Apr 18, 2005 11:29 pm    Post subject: Reply with quote

Neo_0815 wrote:
AcheronH wrote:

Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?

Fragen über Fragen... :)


Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.

MfG


Warum willst du dafür ip-routing bemühen - das wäre doch ein ziemlich krasser Umweg?
Mir gehts auch unter anderem um direkten Zugriff im Ethernet, nicht auf IP-Ebene.
Für den Fall, dass man mal D**m übers Netz zocken will, ohne dass man lange vorbereiten müsste. ;)
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Tue Apr 19, 2005 6:33 am    Post subject: Reply with quote

Da müsste ich mal ethereal anwerfen wie Client-to-Client Traffic verläuft.
Aber mir ist Client-to-Client Traffic egal, denn bei mir geht es nur um den Server (Fileserver und Router)
und das neustarten des Servers halte ich für unwahrscheinlich bzw. noch aus anderen Gründen für sehr schlecht, daher würde mir im Falle des neustarten des Servers sowieso ein wenig Handarbeit nicht erspart.
Wenn dein Server ständig neustartet, machst du was falsch :twisted:
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3, 4, 5  Next
Page 2 of 5

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum