wiki:help/scc/vpn/listtunnels

Version 18 (modified by Edwin Eefting, 15 years ago) (diff)

--

VPN tunnels

Met behulp van VPN is het mogelijk om meerdere vestigingen aan elkaar te koppelen via het internet. Hierdoor ontstaat 1 groot virtueel netwerk:

Doordat er gebruik word gemaakt van IPSEC gaat de informatie tussen de 2 netwerken gecodeerd over het internet. Hierdoor lopen uw gegevens geen gevaar.

Syn-3 VPN

Syn-3 heeft een zeer eenvoudige oplossing voor het opbouwen van VPN tunnels. (iets wat normaal vrij complex is). Bovendien kan Syn-3 tunnels met bepaalde modems en routers automatisch configureren.

Het VPN systeem van Syn-3 werkt ook via routers (NAT). Hiervoor moet dan wel een zogenaamde portforward worden ingesteld op deze router. VPN maakt gebruik van de volgende poorten en protocollen:

  • 500 UDP
  • 4500 UDP
  • Het IPSEC protocol (protocol nummer 50)

Normaal is het forwarden van 500 UDP en 4500 UDP voldoende.

Klik op het help icoontje tijdens het toevoegen van een tunnel voor een praktijk voorbeeld.

Punten van aandacht

  • U kunt geen verbindingen vanaf de Syn-3 server zelf door een tunnel maken. Als u dit wilt, volg dan HOWTO: Connecties vanaf VPN server door de tunnels .
  • Als u meerdere IPs op de Internet Zone geconfigureerd heeft, dan kunt u alleen het laatste IP gebruiken om een IPSEC verbinding te maken. Het is wel mogelijk dit te doen als u de configuratie handmatig aanpast, zie verderop.
  • Sommige ADSL routers bevatten 'intelligente' VPN of ipsec software die conflicten geeft met moderne VPN verbindingen. Raadpleeg uw handleiding of leverancier over het uitschakellen van deze intelligentie.
  • Zorg ervoor dat op routers minimaal poort 500 en 4500 UDP doorgestuurd (geforward) zijn naar de Internet server. Soms is het ook nodig IPSEC pakketjes (protocol nummer 50) door te sturen.
  • Bij veel modems is het mogelijk een 'default server' of 'DMZ server' in te stellen. Deze server zal dan alle inkomende connecties ontvangen. Deze instelling is aan te bevelen in geval van een internet server.
  • Het is niet mogelijk om de internet server zelf te bereiken via VPN, alleen het subnet achter de server is bereikbaar via de tunnel.
  • Denk eraan dat u in de firewall van de internet servers uw het verkeer tussen VPN en LAN toestaat.

Handmatig een IP en/of interface toewijzen

Dit is alleen nodig als u meerdere ip-adressen heeft of als u een afwijkende interface gebruikt. (in plaats van eth1)

Hieronder een voorbeeld /etc/ipsec.conf file:

# Syn-3 ipsec configuration (C)DatuX 2005


version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces="ipsec0=eth1:0"
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=all
        # plutodebug="all"
        # plutostderrlog=/var/log/ipsec.log
        nat_traversal=yes
        #plutoopts="--disable_port_floating"
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12


conn %default
        dpdaction=restart
        dpddelay=30
        dpdtimeout=120
        left=1.2.3.4

include /etc/ipsec.d/tunnels/*.conf

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Extra informatie

HOWTO: Connecties vanaf VPN server door de tunnels .

HOWTO: ipsec road warrior SERVER configuratie

HOWTO: ipsec road warrior LINUX CLIENT configuratie

HOWTO: VPN ipsec connectie monitoring en herstel

HOWTO: Router/modem met dhcp spoofing, half-bridge instellen. Extern ip op Syn-3

IPSEC Roadwarrior met x509 of RSA keys

Tunnels met niet-linux apparaten

Sonicwall. (word wel ondersteund, echter nog geen HOWTO beschikbaar)

HOWTO: VPN Ipsec Cisco 3000 series

Cisco PIX 525

thompson 780 wli

HOWTO: VPN Ipsec Zyxel routers.

HOWTO: VPN Ipsec Draytek routers.

Attachments (1)

Download all attachments as: .zip