Wlan mit OpenVPN schützen

[Anarcho]

Motivation

Da mir persönlich die Verschlüsselung und Sicherheitsfeatures von WLAN zu schwach sind, wollte ich mein WLAN mit OpenVPN absichern. Da dies mittlerweile recht gut funktioniert, möchte ich meine Erkenntnisse mit euch teilen.

Zusammenfassung

Es wird ein AP direkt an einer nur dafür vorgesehenen Netzwerkkarte angeschlossen. Danach wird ein OpenVPN Netzwerk eingerichtet und mit iptables jeder andere Netzwerkverkehr gestoppt. Dadurch ist es nur noch möglich mit gültigen Key aufs Netzwerk zuzugreifen, selbst wenn man es geschafft hat an den WLAN Sicherungen vorbeizukommen.
Die beiden IP-Adressen werden per DHCP übermittelt.


Inhalt

0. Kernel-Vorraussetzungen
1. Konfigurieren der Netzwerkkarten am Server
2. Einrichten von OpenVPN 2.0 Server
3. Einrichten von DHCP am Server
4. Einrichten von OpenVPN am Client (Linux/Windows)
5. Konfigurieren der Netzwerkkarten am Client
6. Abdichten des Servers per iptables


0. Kernel Vorraussetzungen

OpenVPN benutzt das TUN/TAP Modul um ein virtuelles Netzwerkinterface zum tunneln zu erstellen. Dazu benötigt man die Unterstützung für das Universal TUN/TAP Device im Kernel unter Network-Support.
Wenn man es als Modul kompiliert hat, heisst es tun.

1. Konfigurieren der Netzwerkkarten am Server

Es steht mindestens eine Netzwerkkarten zur Verfügung. Ich gehe davon aus das jeder in der lage ist dieser eine IP-Adresse zuzuweisen. Ferner gehe ich davon aus das dieser Server das Gateway zum Internet darstellt und auch dieses schon eingerichtet ist (NAT, MASQUERADING, ...)
Damit sich ein eventuell vorhandes Kabelnetzwerk nicht mit dem WLAN beisst, muss sich beides an einer einzelnen Netzwerkkarte befinden. Um das VPN eindeutig zu kennzeichnen habe ich mich für das eigentliche WLAN für das Netzwerk 192.168.1.0/24 und für das VPN das Netzwerk 10.1.0.0/24 entschieden. Dadurch sind beide Netzwerke sehr einfach von einander zu unterscheiden.
Ich gebe dem Server für das normale WLAN die IP 192.168.1.1, wobei zu sagen ist das der Server ja nicht richtig im WLAN ist sondern es sich dabei nur um die IP Adresse der Netzwerkkarte zum AccessPoint handelt.
Das eventuell vorhandensein von DHCP des AccessPoints ist auszuschalten!
Folgendes haben wir bisher getan: Die Netzwerkkarte des Servers zum AP (z.b. eth1) hat nun die IP 192.168.1.1


2. Einrichten von OpenVPN 2.0 Beta am Server

Ich habe mich für OpenVPN 2.0 entschieden da der Serverbetrieb deutlich verbessert wurde. So ist es nun möglich mehrere Clients über nur 1 Interface anzubinden.
Wer nur einen Client verbinden möchte kann auch OpenVPN 1.5 oder 1.6 nehmen, ich werde an der entsprechenden Stelle auf den Unterschied hinweisen.
Ich empfehle das USE-Flag pthreads zu verwenden da dies die Performance erheblich steigern kann, gerade bei mehreren Clients.

Nach erfolgreicher Installation erstellen wir uns ein neues Verzeichnis in den alle Dateien abgelegt werden sollen:

Code: Select all

mkdir /etc/openvpn/wireless -p

Für die folgende Schritte benötigt ihr OpenSSL, denn nun müssen wir die Zertifikate erstellen.

Als erstes müssen wir eine CA (certificate authority) welche die später erzeugten Schlüssel signiert. Dazu editieren wir als erstes die Datei openssl.cnf. Diese sollte sich bei euch im Verzeichnis /etc/ssl befinden, also

Code: Select all

cd /etc/ssl

Angepasst werden müssen folgende Werte:
- default_days (spezifiziert wie lange das Zertifikat gültig sein soll, 3650 sind 10 Jahre)
- dir (falls ihr ein anderes Verzeichnis nehmen wollt)
- certificate (zu my-ca.crt)
- private_key (zu my-ca.key)
- default_bits (zu 2048 für mehr Sicherheit)

Nachdem wir die Änderungen vorgenommen haben können wir unsere CA erstellen. Wählt eure Angaben selber aus (Firma, Ort, usw.)

Code: Select all

openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650

Dann können wir unsere Server- und Client-Zertifikate erstellen:

Code: Select all

openssl req -nodes -new -keyout server.key -out server.csr
openssl ca -out server.crt -in server.csr
openssl req -nodes -new -keyout client.key -out client.csr
openssl ca -out client.crt -in client.csr

Auch hier solltet ihr sinnvolle Werte selbständig finden.

Zum Schluss noch den DH-Key

Code: Select all

openssl dhparam -out dh2048.pem 2048

Falls ihr nur 1024 in der openssl.cnf gewählt habt, solltet ihr dies hier anpassen.

Nun kopieren wir die eben erstellten Dateien in unser OpenVPN-Verzeichnis von eben.

Code: Select all

cp server.crt server.key client.crt dh2048.pem /etc/openvpn/wireless/

Das Zertifikat der CA wird ebenfalls benötigt, per default befindet es sich in ./demoCA

Code: Select all

cp ./demoCA/my-ca.crt /etc/openvpn/wireless/

Nun können wir ins Verzeichnis /etc/openvpn/wireless wechseln

Code: Select all

cd /etc/openvpn/wireless

Optional

Zusätzlich empfehle ich noch einen weiteren Key hinzuzufügen. Dieser authentifiziert das anmelden und übertragen des eigenen Zertifikats. Dadurch wird die Sicherheit erhöht und mögliche DoS Attacken erschwert.

Code: Select all

openvpn --genkey --secret wireless.key

Nun kommen wir zur eigentlichen Konfiguration von OpenVPN. Wir erstellen die Datei /etc/openvpn/wireless/local.conf mit folgendem Inhalt:

Code: Select all

dev tap
ifconfig 10.1.0.1 255.255.255.0
mode server
tls-server
dh dh2048.pem
ca my-ca.crt
cert server.crt
key server.key
tun-mtu 1500
mssfix 1400
# Kompression
comp-lzo
# Die nächste Zeile ist optional, nur verwenden falls die Datei oben erzeugt wurde
tls-auth /etc/openvpn/wireless/wireless.key 0
# Die nächste Zeile erlaubt mehrere Clients mit gleichem Zertifikat. 
# Das vereinfacht die Sache erheblich.
# Nur mit Version 2.0 Beta verwenden.
duplicate-cn
chroot /etc/openvpn/wireless/newroot
user nobody
group nobody

Dann erstellen wir noch das neue Gefängnis für unseren OpenVPN Server:

Code: Select all

mkdir /etc/openvpn/wireless/newroot

Nun können wir den Server starten und zum default Runlevel hinzufügen.

Code: Select all

/etc/init.d/openvpn start
rc-update add openvpn default

3. Einrichten von DHCP am Server

Ich stelle hier nur kurz eine mögliche dhcpd.conf vor (/etc/dhcp/dhcpd.conf)

Code: Select all

default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
ddns-update-style interim;

# Netzwerk des normalen WLAN
subnet 192.168.1.0 netmask 255.255.255.0
{
        range 192.168.1.12 192.168.1.120;
        # Die Nameserver solltet ihr gegen die eures Providers tauschen, diese hier sind von Arcor.
        option domain-name-servers 145.253.2.203, 145.253.2.171;
        option broadcast-address 192.168.1.255;
}

# Netzwerk des VPN
subnet 10.1.0.0 netmask 255.255.255.0
{
        range 10.1.0.12 10.1.0.120;
        # Die Nameserver solltet ihr gegen die eures Providers tauschen, diese hier sind von Arcor.
        option domain-name-servers 145.253.2.203, 145.253.2.171;
        # Erst hier wird das default Gateway übergeben, da der Verkehr über das normale Device ja geblockt ist
        option routers 10.1.0.1;
        option broadcast-address 10.1.0.255;
}

4. Einrichten von OpenVPN am Client (Linux/Windows)

Da OpenVPN 1.5/1.6 nicht 100% kompatible zu OpenVPN 2.0 ist, benötigen wir hier auch OpenVPN 2.0, für Windows XP SP2 sowieso.

Der Client benötigt folgende Dateien, die möglichst sicher übertragen werden sollten (SSH, Diskette, USB-Stick, etc.)

- client.crt
- client.key
- my-ca.crt
- wireless.key

Linux


Diese sollten sich ebenfalls im Verzeichnis /etc/openvpn/wireless befinden.
Dann erstellen wir die config-Datei: /etc/openvpn/wireless/local.conf

Code: Select all

dev tap
# IP des Servers
remote 192.168.1.1 5000
tun-mtu 1500
mssfix 1400
tls-client
ca my-ca.crt
cert client.crt
key client.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody
# Wichtige Resourcen behalten nach Wechsel zum user nobody
persist-key
persist-tun

Nun nur noch OpenVPN starten und zum default runlevel hinzufügen:

Code: Select all

/etc/init.d/openvpn start
rc-update add openvpn default

Windows

Hier sollten sich die Datein im Config-Verzeichnis des Installationsverzeichnisses befinden. Z.b. C:\Programme\OpenVPN\config

Dort erstellen wir die Datei local.ovpn:

Code: Select all

dev tap
remote 192.168.1.1 5000
tun-mtu 1500
mssfix 1400
# Optional, s.o.
tls-auth wireless.key 1
tls-client
ca my-ca.crt
cert client.crt
key client.key
comp-lzo

OpenVPN installiert unter Windows einen Service(Dienst). Bei diesem solltet ihr die Startart auf "Automatisch" setzen, dann wird er beim hochfahren mit gestartet (falls erwünscht)


5. Konfigurieren der Netzwerkkarten am Client


Linux

Da ich alles per DHCP übertragen lassen müsst ihr einfach in die Datei /etc/conf.d/net folgendes eintragen:

Code: Select all

ifconfig_tap0=( "dhcp" )

Da wir das init-script für tap0 nach openvpn starten müssen, können wir keinen symlink anlegen.
Daher kopieren wir die Datei:

Code: Select all

cd /etc/init.d
cp net.eth0 net.tap0
rc-update add net.tap0 default

Damit net.tap0 auch wirklich nach openvpn gestartet wird editieren wir nun die Datei net.tap0 und fügen unter depend() folgendes hinzu:

Code: Select all

need openvpn

Nun sollte zuerst net.wlan0, dann openvpn und dann erst net.tap0 gestartet werden. Danach habt ihr das default-gateway per DHCP bekommen und könnt lossurfen.

Windows

Hier müsst ihr nichts mehr tun, da Windows automatisch nach einem DHCP Server sucht.


6. Abdichten des Servers per iptables

Auf dem Server wollen wir ja nur noch VPN-verbindungen dulden. Daher führen wir folgendes aus:

Code: Select all

iptables -t filter -A INPUT --protocol udp --dport 5000 -j ACCEPT -i eth1 # eth1 ist das Interface an dem der AP hängt
iptables -t filter -A INPUT -j REJECT -i eth1 #oder -j DROP, je nach Geschmack
/etc/init.d/iptables save

So, das wars schon! Ich hoffe es haben sich keine Fehler eingeschlichen und es ist alles verständlich erklärt.
OK, das Firewall-script ist etwas flach, aber um den Rahmen nicht zu sprengen musste ich es etwas kürzen. Jedenfalls tut es genau das was es soll. Es lässt nur Verbindungen über OpenVPN durch.

Natürlich muss man kein DHCP benutzen, sondern kann auch alle Netzwerkeinstellungen am Client selber setzen. Aber ich persönlich stehe auf DHCP, da es damit alles schön zentral gesteuert wird. Wenn neue Clients hinzukommen hat man zumindest mit der Netzwerkeinstellung weniger zu tun.


Bei Fragen, Kritik und Anregungen bitte ich doch sehr sich hier zu Wort zu melden.

EDIT:

- Universal TUN/TAP Anmerkung hinzugefügt
- OpenVPN 2.0 ist im Portage

[Sonic Lux]

Genial, ich danke dir.

Werde ich dieses WE gleich mal umsetzen.

[Hilefoks]

Echt super,
heute erwarte ich meinen neuen WLAN-Router und siehe da!

Danke

[xces]

Als Ergänzung: Securing an 802.11a/b/g Network with a VPN using Linux 2.6

[unix]

Supi,

Muss ich gleich mal testen

[/dev/blackhawk]

Echt stark!!!
Bei so einem How-To muss man das ganze ja fast ausprobieren!

MFG

/dev/blackhawk

[Sonic Lux]

Hallo,
ich habe jetzt 2 Netze miteinander verbunden, ist etwas anderes aber das Grundprinzip ist ja das selbe.

So und nun mein Problem:

wenn ich "dev tap" in die configs eintrage funktioniert es nicht
bei "dev tun" schon. Wie kommt das ?

[Sonic Lux]

Problem gelöst ....

RTFM

Hierbei arbeitet das tun-Device auf IP-Ebene, das tap-Device auf Ethernet-Ebene (z.B. für Bridging). Anders als die normalen Netwerkinterfaces besitzt das tun- bzw tap-Device ein Devicefile (/dev/tunN, /dev/tapN), so ist es aus dem Userspace nutzbar.

Also für meine Verbindung zwschen 2 Netzen muss ich tun verwenden, alles klar.

[aZZe]

Ich habe versucht bei mir zu Hause auch mein WLAN mit VPN abzusichern.Serverseitig sieht das bei mir so aus:

eth0 : 192.168.1.1 --> internes Netz
eth1 : ppp0 --> DSL Verbindung
eth2 : 192.168.1.2 --> Verbindung zum AP
Dem Access-Point wurde die Adresse 192.168.1.4 zugewiesen welcher direkt mit eth2 am Server verbunden ist. Müsste ja so ok sein oder?

Serverseitig habe ich auch ein device tap0 welches die Adresse 10.1.0.1 hat wie auch im Howto beschrieben. Wenn ich allerdings meinen Client einrichten will bekomme ich kein tap0 hin. Er ordnet dies keiner Netzwerkkarte zu. Normalerweise ist meine WLAN Schnittstelle eth1 auf dem Laptop. Die Fehlermeldung im syslog sieht wie folgt aus:

Code: Select all

Mar 18 14:56:43 t42 dhcpcd[16220]: dhcpStart: ioctl SIOCGIFHWADDR: No such device

Hier noch mal die ganzen Configs:

Auf dem Server /etc/openvpn/wireless/local.conf:

Code: Select all

dev tap
ifconfig 10.1.0.1 255.255.255.0
mode server
tls-server
dh dh2048.pem
ca ca.crt
cert server.crt
key server.key
tun-mtu 1500
mssfix 1400
comp-lzo
tls-auth /etc/openvpn/wireless/wireless.key 0
duplicate-cn
chroot /etc/openvpn/wireless/newroot
user nobody
group nobody

dhcpd.conf auf dem server:

Code: Select all

ddns-update-style interim;
ddns-domainname "dark.lan";
ddns-rev-domainname "1.168.192.in-addr.arpa";
ddns-updates on;

default-lease-time 600;
max-lease-time 7200;
option domain-name-servers 192.168.1.1, 217.237.151.225, 217.237.150.225, 194.25.2.129;
option domain-name "dark.lan";
option broadcast-address 192.168.1.255;
option broadcast-address 10.1.0.255;
option routers 192.168.1.1;
option routers 10.1.0.1;
option subnet-mask 255.255.255.0;
server-name "larry";
allow unknown-clients;
authoritative;

# normales Netzwerk
subnet 192.168.1.0 netmask 255.255.255.0 {
        range 192.168.1.10 192.168.1.50;
        }

# VPN Netzwerk

subnet 10.1.0.0 netmask 255.255.255.0 {
        range 10.1.0.10 10.1.0.50;
        }

key DHCP_UPDATER. {
         algorithm hmac-md5;
         secret "T+Uwruh6uDFNokk310uCJQ==";
         }

zone dark.lan. {
        primary 127.0.0.1;
        key DHCP_UPDATER.;
}

zone 1.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key DHCP_UPDATER.;
}

Auf dem Client /etc/openvpn/wireless/local.conf:

Code: Select all

dev tap
remote 192.168.1.2 1194
tun-mtu 1500
mssfix 1400
tls-client
ca ca.crt
cert laptop.crt
key laptop.key
comp-lzo
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody

Wie gesagt ich bekomme das device tap0 nicht gestartet da ipw2200 auf eth1 läuft und tp0 dadurch keine Netzwerkkarte in dem Sinne besitzt. Aufgrund dessen kann ich auch per DHCP keine Adresse empfangen.
Hat einer eine Idee?

[Anarcho]

Hi,

ich vermute das es daran liegt, das bei dir im Server 2 Netzwerkkarten im gleichen Subnet sind. Daher kann der Server nicht eindeutig routen.
Du solltest für die Netzwerkkarte die zum AP geht ein eigenes Subnet nehmen,

(192.168.x.1 mit x <> 1)

[aZZe]

OK: und der AP logischerweise dann im gleichen Subnet nicht wahr?

[Anarcho]

Klar, wobei du die IP des APs ja nur für die Konfiguration brauchst.

[aZZe]

OK. Kein Problem. Nur wenn ich mein WLAN Modul starte, welches ich ja logischerweise für die VPN brauche startet dieses eth1 auf dem laptop. tap0 kann keiner HW-Adresse zugeordnet werden.

[Anarcho]

tap0 wird von openvpn erzeugt.
Das heisst die Reihenfolge ist wichtig:

Zuerst baust du ganz normal dein eth1 auf, inklusive IP-Adresse.

Dann sollte (wenn die Firewall aus ist) alles funktionieren, insbesondere der Zugriff auf 192.168.x.1, also eth2 vom Server.
Danach startest du openvpn (in der Config natürlich die IP des Servers jetzt ändern) und baust somit eine VPN-Verbindung zum Server auf. Daraufhin wird tap0 erzeugt.
Nun kannst du per dhcpcd dort eine IP-Adresse beziehen.

Ach ja, ich würde in deiner dhcpd.conf die einzelnen Optionen, die Subnet-spezifisch sind, auch dort hineinnehmen und nicht global ganz oben bestimmen.

[aZZe]

Genauso hab ichs gemacht. eth2 am Server hat jetzt die 192.168.0.1. Die Netzwerkkarte im Laptop eth1 hat die 192.168.0.10. Wenn ich danach tap0 starten möchte steht wieder im syslog:

Code: Select all

Mar 18 16:19:11 t42 dhcpcd[27630]: dhcpStart: ioctl SIOCGIFHWADDR: No such device

Er kommt ja noch nicht mal dazu eine dhcp Anfrage zu senden.

[Anarcho]

Klappt denn die VPN Verbindung?
Wird das tap0 device erstellt?

ifconfig -a

Starte auf dem Server openvpn mal aus der Konsole, dann zeigt es verbindungsinformationen an. Gucke dort mal ob eine Verbindung hergestellt wird.

[aZZe]

Auf dem Server scheint es ja zu klappen. Dort hab ich ein tap0 mit der Adresse 10.1.0.1:

Code: Select all

tap0      Protokoll:Ethernet  Hardware Adresse 00:FF:E5:97:2E:55
          inet Adresse:10.1.0.1  Bcast:10.1.0.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[Anarcho]

OK,

da gibt es auch nur selten ein Problem...

Interessanter ist die Client-Seite.

[AustrianCoder]

Tja.. evt kann mir mal jemand helfen. Ich hänge schon bei den ersten Schritten, und zwar beim erstellen der Zertifikate.

openssl ca -out server.crt -in server.csr
--->

Code: Select all

x-factor ssl # openssl ca -out server.crt -in server.csr
Using configuration from /etc/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/my-ca.key
16590:error:02001002:system library:fopen:No such file or directory:bss_file.c:278:fopen('./demoCA/private/my-ca.key','r')
16590:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:280:
unable to load CA private key

Das /etc/ssl Verzechnis sieht so aus:

Code: Select all

drwxr-xr-x  2 root root 1760 Mar 18 15:47 certs
drwxr-xr-x  3 root root  136 Mar 18 15:07 demoCA
drwxr-xr-x  2 root root   48 Nov 20 13:58 lib
drwxr-xr-x  2 root root  216 Mar 13 23:30 misc
-rw-r--r--  1 root root 1281 Mar 19 11:33 my-ca.crt
-rw-r--r--  1 root root 1675 Mar 19 11:33 my-ca.key
-rw-r--r--  1 root root 7789 Mar 18 15:54 openssl.cnf
-rw-------  1 root root 7783 Mar 16 00:45 openssl.cnf.save
drwxr-xr-x  2 root root   48 Nov 20 13:58 private
-rw-r--r--  1 root root  936 Mar 19 11:34 server.csr
-rw-r--r--  1 root root 1675 Mar 19 11:34 server.key

Und hier noch meine openssl.cnf:

####################################################################
[ ca ]
default_ca = CA_default # The default ca section

####################################################################
[ CA_default ]

dir = ./demoCA # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
#unique_subject = no # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs.

certificate = $dir/my-ca.crt
serial = $dir/serial # The current serial number
#crlnumber = $dir/crlnumber # the current crl number must be
# commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/my-ca.key
RANDFILE = $dir/private/.rand # private random number file

Ich weiß echt nicht, warum die Daten nicht in demoCA abgelegt werden

Code: Select all

*  dev-libs/openssl
      Latest version available: 0.9.7e
      Latest version installed: 0.9.7e
      Size of downloaded files: 5,105 kB
      Homepage:    http://www.openssl.org/
      Description: Toolkit for SSL v2/v3 and TLS v1
      License:     as-is

Danke, AC

[Anarcho]

Entweder du verschiebst die Datein:

cd /etc/ssl
mv my-* private demoCA/

oder du editierst die openssl.cnf und änderst ./demoCA in ./

[Neo_0815]

Frage: Welchen Vorteil siehst du, OpenVPN zu nutzen anstatt die native IPSec Implementierung + racoon?

MfG

[Anarcho]

OpenVPN läuft im Userspace und benötigt daher keine Kernelanpassung oder UNterstützung durch andere Betriebssysteme. Es muss sich nur die Software installieren lassen.
Dadurch hat es eine grosse Unabhängigkeit und Skalierbarkeit.
Dazu kommt noch beim Kernel 2.6 IPSec das es mit den Tunneln Probleme im Zusammenspiel mit iptables gibt. Das ist bei OpenVPN nicht der Fall.
Zudem ist es sehr einfach zu installieren und läuft fast überall (Linux, Windows 2000/XP and higher, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Solaris)

Zudem ist es genauso sicher wie IPSec.

[Neo_0815]

OpenVPN läuft im Userspace und benötigt daher keine Kernelanpassung oder UNterstützung durch andere Betriebssysteme. Es muss sich nur die Software installieren lassen.
Dadurch hat es eine grosse Unabhängigkeit und Skalierbarkeit.
Dazu kommt noch beim Kernel 2.6 IPSec das es mit den Tunneln Probleme im Zusammenspiel mit iptables gibt. Das ist bei OpenVPN nicht der Fall.
Zudem ist es sehr einfach zu installieren und läuft fast überall (Linux, Windows 2000/XP and higher, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Solaris)

Zudem ist es genauso sicher wie IPSec.

Was für Tunnel Probleme? Die Anpassungen sind denke ich vertretbar ... aber das ist jedem seine Entscheidung.

MfG

[Anarcho]

Im Linux-Magazin hatten sie geschrieben das IPSec Pakete nur mit erheblichem Aufwand filterbar sind, da das Paket erst nach der Filterung durch iptables ausgepackt wird. Daher hat iptables dann keinen Einfluss mehr darauf.

Das ist bei OpenVPN anders, da dann vom tap0 device aus geroutet wird und somit die Pakete schon entpackt vorliegen und gefiltert werden können.

[Neo_0815]

Den Artikel habe ich gelesen - mal sehn obs noch stimmt .

MfG