# VPN kontrollieren/testen



## mc_gyver (19. Juli 2004)

Hi Leute,

Ich habe nun endlich mein IPSEC VPN zwischen meinem Win-XP-Clinet und dem Linux-FreeS/Wan Server laufen, zumindest glaube ich das!
Wenn ich das VPN von Clienten starte kann ich den Server nicht mehr anpingen, da steht dann immer IP-Sicherheit wird verhandelt, ins Internet kann ich jedeoch pingen. Das ist mein einziger anhaltspuntk das alles funktioniert, wie kann ich nun testen ob wirklich alle Daten über das VPN laufen?


----------



## TheNBP (20. Juli 2004)

Du solltest Dir einen Netzwerksniffer installieren. Kann ethereal empfehlen. (http://www.ethereal.com/). Damit kann das Interface abgehört werden über das das VPN läuft.

Die Ausgabe von ethereal sieht dann in etwa so aus wie in dem Screenshot. ESP ist IPsec Traffic. Dieser sollte eigentlich nur zwischen dem VPN Gateway und dem VPN Client auftreten.


----------



## mc_gyver (20. Juli 2004)

mh, alles sehr komisch,
der sniffer zeigt rege Kommunikation über das ISAKMP Protokoll an, auf der Linux Seite regt sich aber unter tcpdump -i ipsec0 gar nix.

ipsec auto --status gibt aber seinerseits folgendes aus:
#7: "wlan"[2] 192.168.23.5 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2721s; newest ISAKMP

was doch eigentlich heißt das ein tunnel existiert, oder?


----------



## TheNBP (21. Juli 2004)

> _Original geschrieben von mc_gyver _
> *mh, alles sehr komisch,
> der sniffer zeigt rege Kommunikation über das ISAKMP Protokoll an, auf der Linux Seite regt sich aber unter tcpdump -i ipsec0 gar nix.*


ISAKMP ist das Protokoll zur Schlüsselverwaltung. Traffic darüber sollte eigentlich nur vor Aufbau des Tunnels und danach eventuell in regelmässigen Intervallen (geschätzt grösser 10min) stattfinden. Nutzdaten werden in ESP Pakete verschlüsselt verpackt.



> _Original geschrieben von mc_gyver _
> *ipsec auto --status gibt aber seinerseits folgendes aus:
> #7: "wlan"[2] 192.168.23.5 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2721s; newest ISAKMP
> 
> was doch eigentlich heißt das ein tunnel existiert, oder? *


Hmm also dazu kann ich Dir nichts sagen, ich selbst kenne nur Windows VPN Gateways. Das eindeutigste Zeichen für die Existenz des Tunnels ist das Dir WinXP die VPN Verbindung in der Task Leiste anzeigt 
Die Frage ist nur ob der WinXP Client den Tunnel auch benutzt und ob auch tatsächlich mit IPsec verschlüsselt wird.

Arbeite doch einfach mal mit dem WinXP Rechner im Netzwerk und lass ethereal den Traffic eine Weile lang mitschneiden. Wenn ethereal nur ESP und ISAKMP Pakete anzeigt und diese nur zwischen dem Client und dem Server ausgetauscht werden, dann behaupte ich mal das die Sache funktioniert.


----------



## mc_gyver (21. Juli 2004)

Mh na gut dann existiert der Tunnel ja doch noch nicht, das ist schonmal gut zu wissen, 

Da habe ich evt. doch noch ein kleines Grundsatz Problem. Oder Problem mit meiner Testumgebung.
Ich sitze momentan nur im Lan.
Linux ist die 192.168.1.254 / 255.255.255.0
und Windows-XP 192.168.1.5 / 255.255.255.0
Es wird doch sicherlich möglich sein, dazwischen einen Tunnel zu errichten, oder?
Im Endeffekt, wollte ich damit nämlich mein WLAN verschlüsseln. 
Na gut ich danke dir, für deine Hilfe, werd noch mal weiter probieren. THX


----------



## TheNBP (21. Juli 2004)

Klar ist das möglich. Solange Du mit "Tunnel" eine VPN Verbindung meinst.
Du musst am WinXP Rechner diese VPN Verbindung aber manuell aufbauen.

Wenn Du noch keine eingerichtet hast, kannst Du diese Anleitung als Anhaltspunkt nehmen:
http://nbp.staticip.de/nbp/sites/vpnmanual/
Deine Einwahladresse ist dann eben 192.168.1.254 und als VPN Typ darf nicht PPTP-VPN sondern L2TP ausgewählt sein.
Und "Standardgateway für das Remotenetzwerk verwenden" muss unbedingt eingeschaltet sein.


----------

