Im Auslieferungszustand sind für den VPN-Server keine Keys drauf, d.h. wenn es geht und der VPN-Server läuft sind die Keys auch ganz sicher frisch

Ansehen ist auch kein Problem, da muss aber die ssh-Konsole ran:
Von diesen Keys gibts es keine Kopien oder Backups (ausser selbst per Webif erstellte natürlich und die wiederum werden automatisch GPG(PGP) hochsicher verschlüsselt abgelegt. Mit zwei Keys: eins auf dem lokalen Wiregate (ebenfalls lokal beim Anwender erstellt!) und einem Recovery-Key bei uns, damit im Falles eines Ausfalls/HW-Tauschs ein restore möglich ist)

P.S.: Es dauert übrigens bei weitem keine Stunde mehr sondern eher 2 Minuten, ein überbleibsel in der Doku..

Makki

Mal eine ganz banale Frage: Hab mein neues Wiregate heute in Betrieb genommen und nach dem ersten Einschalten, wie beschrieben, über 1h laufen lassen, damit die VPN schlüssel generiert werden konnten.

Wie kann ich den jetzt sehen, daß das auch geklappt hat und z.B. nicht irgendwelche Default Schlüssel verwendet werden? Auf dem zeitweise angeschlossenen Monitor hab ich keine entsprechende Meldung gesehen, vielleicht hab ich es aber auch überlesen?!.

Full Ack,
openvpn ist ziemlich mächtig, kann server und client sein, clients gibt es für alle plattformen (um dich z.b. mit einer windows-büchse bequem ins heimnetz einzuwählen) und ist gut supportet
ABER: mann muss sich schon mit IP-Routing auseinandersetzen (und nicht nur seine Netzwerkkabel hinter einen NAT-Router setzen).
Ich selbst setze Openvpn mit LAN-to-LAN-Kopplung mit ca. 10 Kumpels ein - damit ich deren Rechner mit Supporten kann und einige private sachen privat bleiben
Howtos gibts ne menge - wenns nach deren Studieren noch Fragen gibt helfe ich auch gerne mal weiter (wenn es Zeit & know-how zulassen)

Gruß
Thorsten

1) Die saubere Lösung ist ganz klar die statische Route am Default-Gateway/Router.
Für alles andere (statische routen auf einzelnen Hosts) muss einem ein vernünftiger Netzwerkadmin eigentlich sofort beide Hände abhacken und ich mir selbst alleine für den Vorschlag
Es wird da übrigens in einem der nächsten Updates noch eine konfigurierbare Variante mit einfachstem Bridging für die VPN-Clients geben (d.h. die statischen Routen entfallen komplett - aber ebenso die Möglichkeiten für Firewall/Filter).


IT-Security, Netzwerke und VPN's sind ja unser eigentliches Kerngeschäft..
Mit dem WireGate(-VPN) versuchen wir da einen kleinen Spagat zwischen "einfach" was das Thema per se nicht ist - und "sicher" - was im Detail sehr schwierig ist.

2) können technisch mit einzelnen statischen Routen ja, aber ein Sicherheitsgewinn findet da nicht wirklich statt.
Man kann auch Firewall-Regeln erstellen (Als root am Webif anmelden, links Netzwerk->Linux-Firewall), das Zubehör ist auf der Box alles drauf, aber das ist in allen Konstellationen nicht mit zwei oder zwanzig Sätzen zu erklären.
Das liegt primär daran, das die Thematik nunmal kompliziert ist.. Da könnte ich jetzt alleine mehrseitige Aufsätz drüber schreiben (wenn z.B. jemand root-Zugriff auf das WireGate im LAN hat, kommt er nunmal - wenn er wirklich will - unabhängig jeglicher Massnahmen ausser einer sep. DMZ überall im LAN auch hin)

Im Einzelfall sollte man das dann jedenfalls in erster Linie mit dem dortigen Netzwerkadmin absprechen, ein kurzes Telefongespräch kann da auch sehr, sehr sinnvoll sein!
Das kenne ich aus eigener Erfahrung (auf der Gegenseite), wenn ein gewisses Vertrauen besteht, dass der "fremde Eindringling" halbwegs weiss, was er tut ist das gut fürs Klima

Wenn es richtig gemacht würde und ernsthafte Sicherheitsbedenken seitens des Betreibers bestehen, muss er es eh in eine DMZ packen oder ein eigenes VPN+Firewall liefern..
(oder gar ein ernsthaftes Netzwerk-Sicherheitskonzept existiert - das auch eingehalten wird - sowas sieht man in freier Wildbahn aber wirklich nur äusserst selten)


3) Das VPN (so wie es ausgeliefert wird und einfach eingerichtet werden kann) ist erstmal rein für den Client-Zugriff gedacht.
In sicher und einfach (in genau dieser Reihenfolge, da kann ich nicht anders), möglichst ohne den Anwender mit allzuviel Routing, Bridging,Firewall,IP,X.509 Zertifikaten usw. zu langweilen

Heisst Client wählt sich ein und greift zu, nicht umgekehrt (wobei das natürlich auch geht - solange er eingewählt ist).
Das was Du willst ist eine LAN-to-LAN Verbindung; auch das geht selbstverständlich, da läuft ein Full-blown OpenVPN allerdings landen wir da schon wieder halb auf der Konsole (zum einrichten, nicht zum Betrieb!).
Es gibt an der Stelle eigentlich kaum limitationen (die HW kann locker 100MBit AES-128 ), es steht alles offen nur "beschränkt" sich der normale Support für sowas eben auf Forum und die Hilfe von ein paar vielen Millionen anderer (Linux-)Anwender.
Aber es wird, das liegt in der Natur der Sache, eben auch hübsch schnell kompliziert..


Konkrete config kann ich im Einzelfall natürlich gerne posten aber man muss sich dann schon etwas damit auseinandersetzen. Soll jetzt nicht negativ klingen, ich will damit nur sagen dass halt ein gewisses Grundwissen über IP usw. bei solchen Vorhaben vonnöten ist..

Wenn das jemand will&macht, sind umgekehrt hier natürlich gerne Howtos, Lösungsansätze und Beispiele gesehen, die man dann für optimale Einbindung kommentieren kann!

Falls nicht, gibt es seit vorgestern zur einfachen Abwicklung einen neuen Artikel im Shop Kundenspezifische Programmierung - WireGate


Makki

Hallo Makki,

Jetzt gehen beide Varianten, Fehler war bei mir, dass der lokale WEB-Server die Änderung des Standardgateways erst nach Neustart übernommen hatte.

Noch ein paar Fragen:

1 Wo liegen nun Vor- und Nachteile beider Varianten?

2. Kann ich mit beiden Varianten den VPN-Tunnel auf "meine Geräte" beschränken? Ich bin mit meinen GLT-Geräten nur "Gast" in einem größeren lokalem Netzwerk.

3. Wie ist das nun, wenn der Tunnel nicht aufgebaut ist, meine Geräte aber eine Verbindung nach außen aufbauen wollen (z.B. email verschicken oder mit SecureCopy Dateien verschicken)

Viellen Dank nochmal für den schnellen und wirksamen Support, Super !

Gruß Micha

Hallo EPIX, hallo Makki

mit der Reaktion hätte ich eigentlich rechnen müssen, deshalb nehme ich die Bemerkung restlos zurück.

Wie auf meinem Avatar zu erkennen ist, sehe ich eine moderne Elektroinstallation schon in der Synthese von 230V und IP, allerdings bin ich mit meinen Fachbüchern und Makkis Doku an diesem Punkt nicht wirklich weiter gekommen. Nun wirds wohl werden !

Ich gelobe: Ich stelle keine blöden Fragen mehr

Gruß Micha

Gibt eigentlich keine blöden Fragen
Gateway: interne (LAN) IP-Adresse des WireGate (vermutlich dann 192.168.x.y)
Beachten: Das WireGate ggfs. mit einer statischen IP-Adresse einrichten da die von einem DHCP-Server zugewiesene sich ändern könnte (dann kann und muss man auch das Gateway & DNS-Server eintragen!)

IP Adresse: in diesem Fall: 172.24.254.0
(das, was für die Clients vergeben wurde - siehe Screenshot, das ist der Default-Wert )

Netzwerk(vermutlich = Netzmaske):
in diesem Fall: 255.255.255.0

oder je nach Router, andere Schreibweisen
172.24.254.0/255.255.255.0
172.24.254.0/24

Wenns probleme gibt, Screenshot ..

Makki

WAS soll DAS bedeuten??

Das Elektriker ein Synonym für Hilflosigkeit ist??
Normalerweise ist ELEKTRIKER eine andere Umschreibung für Leute die über die Grenzen der Gewerke sehen und die abgeschotteten Teile zu einem Ganzen zusammenfügen und verbinden...

Du meinst vielleicht:
oder
oder
Soetwas wolltest du doch sagen, oder?

Alternative Variante geht beim ersten probieren nicht, kann das daran liegen, dass im wiregate das Feld "Standard-Gateway leer ist, und sich auch nicht beschreiben läßt?

Andere Möglichkeit: Mein Router kann eine statische Route eintragen

IP Adresse:
Netzwerk:
Gateway:

Was muß ich eintragen (Ich weiß blöde Frage, aber ich bin Elektriker)

Gruß Micha

Es müsste am Standard-Gateway (Fritzbox, DSL-Router whatever) eine statische Route zurück zu dem für die VPN-Clients verwendeten Netz eingetragen werden, die auf die LAN-IP des WireGate zeigt.

Alternative (nicht so schön, geht aber auch): WireGate an den anderen Hosts als Default-Gateway einstellen und nur am WireGate das "richtige" Gateway einstellen.

Makki