[SAGE-MUC] VPN-Knoten lösen

[Christian Horn]

On Tue, Jul 01, 2008 at 04:39:27PM +0200, Wolfgang Stief wrote:
> 
> Ich habe ein VPN basierend auf IPsec (sagt der für den
> Kunden zuständige Mensch von $PROVIDER) zwischen einem DSL6000
> (dynamische IP) und einer Zentrale (S-DSL, feste IP). Ist es
> tatsächlich technisch völlig unmöglich, auf der Filialseite IP-Adressen
> aus dem Range des (privaten) Netzes der Zentrale zu haben? 

Es gibt ipsec-software die dies nicht zulaesst, vielleicht habt ihr
sowas laufen. Ist halt das simpelste ein Netzsegment komplett auf
eine Tunnelseite zu routen und keine Ausnahmen zu machen. 
Wird auch nicht uebersichtlicher wenn die software so einzelne 
hostrouten zulaesst (aber ja, bei hysterisch gewachsenen Netzen
sind so Kraempfe manchmal einfacher aufzusetzen als alles andere
glattzuziehen).


> Wenn das tatsächlich so ist, muss ich wohl einige meiner bisherigen
> Annahmen von VPNs debuggen. Aber man kann schließlich nicht alles
> wissen :-)
ipsec ist nur eine von vielen Arten von vpn. Ist ein Protokollstandard der 
sehr breite Interpretation zulaesst, die Einrichtung kann damit schwer
sein, die 2 Tunnelendpunkte aufeinander abgestimmt werden.
OpenVPN z.b. laesst hostrouten und aehnliches zu.


> Meine einzige Konfigurationsmöglichkeit für das VPN ist ein Telefonat
> mit dem Human Interface von $PROVIDER. Was bisher nicht eben mit
> Usability geglänzt hat... "Mal eben" irgendwelche Parameter nachlesen
> oder ändern ist also leider nicht.

Muss man schaun was die jeweilige ipsec-software zulaesst, und in einer
downtime kann man dann schauen ob man das gewuenschte Feature in Zu-
sammenspiel der 2 Tunnelendpunkte konfiguriert bekommt.


Christian