Version 21 (modified by 14 years ago) (diff) | ,
---|
VPN tunnels
Met behulp van VPN is het mogelijk om meerdere vestigingen aan elkaar te koppelen via het internet. Hierdoor ontstaat 1 groot virtueel netwerk:
Doordat er gebruik word gemaakt van IPSEC gaat de informatie tussen de 2 netwerken gecodeerd over het internet. Hierdoor lopen uw gegevens geen gevaar.
Syn-3 VPN
Syn-3 heeft een zeer eenvoudige oplossing voor het opbouwen van VPN tunnels. (iets wat normaal vrij complex is). Bovendien kan Syn-3 tunnels met bepaalde modems en routers automatisch configureren.
Het VPN systeem van Syn-3 werkt ook via routers (NAT). Hiervoor moet dan wel een zogenaamde portforward worden ingesteld op deze router. VPN maakt gebruik van de volgende poorten en protocollen:
- 500 UDP
- 4500 UDP
- Het IPSEC protocol (protocol nummer 50)
Normaal is het forwarden van 500 UDP en 4500 UDP voldoende.
Klik op het help icoontje tijdens het toevoegen van een tunnel voor een praktijk voorbeeld.
Punten van aandacht
- Als u meerdere IPs op de Internet Zone geconfigureerd heeft, dan kunt u alleen het laatste IP gebruiken om een IPSEC verbinding te maken. Het is wel mogelijk dit te doen als u de configuratie handmatig aanpast, zie verderop.
- Sommige ADSL routers bevatten 'intelligente' VPN of ipsec software die conflicten geeft met moderne VPN verbindingen. Raadpleeg uw handleiding of leverancier over het uitschakellen van deze intelligentie.
- Zorg ervoor dat op routers minimaal poort 500 en 4500 UDP doorgestuurd (geforward) zijn naar de Internet server. Soms is het ook nodig IPSEC pakketjes (protocol nummer 50) door te sturen.
- Bij veel modems is het mogelijk een 'default server' of 'DMZ server' in te stellen. Deze server zal dan alle inkomende connecties ontvangen. Deze instelling is aan te bevelen in geval van een internet server.
- Meerdere tunnels die gemaakt zijn voor de zelfde subnetten kunnen met elkaar conflicteren, zelfs als deze uit staan. Ruim bij twijfel "oude" tunnels dus goed op!
- Denk eraan dat u in de firewall van de internet servers uw het verkeer tussen VPN en LAN toestaat.
- Voor versies ouder dan SYN-3 4.4 is het niet mogelijk om de internet server zelf te bereiken via VPN, alleen het subnet achter de server is bereikbaar via de tunnel.
- Voor versies ouder dan SYN-3 4.4 kunt u geen verbindingen vanaf de Syn-3 server zelf door een tunnel maken. Als u dit wilt, volg dan HOWTO: Connecties vanaf VPN server door de tunnels .
Handmatig een IP en/of interface toewijzen
Deze info geldt niet meer vanaf versie 4.4!
Dit is alleen nodig als u meerdere ip-adressen heeft of als u een afwijkende interface gebruikt. (in plaats van eth1)
Hieronder een voorbeeld /etc/ipsec.conf file:
# Syn-3 ipsec configuration (C)DatuX 2005 version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup interfaces="ipsec0=eth1:0" # Debug-logging controls: "none" for (almost) none, "all" for lots. # klipsdebug=all # plutodebug="all" # plutostderrlog=/var/log/ipsec.log nat_traversal=yes #plutoopts="--disable_port_floating" virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 conn %default dpdaction=restart dpddelay=30 dpdtimeout=120 left=1.2.3.4 include /etc/ipsec.d/tunnels/*.conf #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf
Extra informatie
HOWTO: Connecties vanaf VPN server door de tunnels .
HOWTO: ipsec road warrior SERVER configuratie
HOWTO: ipsec road warrior LINUX CLIENT configuratie
HOWTO: VPN ipsec connectie monitoring en herstel
HOWTO: Router/modem met dhcp spoofing, half-bridge instellen. Extern ip op Syn-3
HOWTO: ipsec road warrior Greenbow WINDOWS CLIENT configuratie
IPSEC Roadwarrior met x509 of RSA keys
Tunnels met niet-linux apparaten
Sonicwall. (word wel ondersteund, echter nog geen HOWTO beschikbaar)
HOWTO: VPN Ipsec Cisco 3000 series
Attachments (1)
- vpn.png (14.1 KB) - added by 16 years ago.
Download all attachments as: .zip