VPN kontrollieren/testen

mc_gyver

Mitglied
Hi Leute,

Ich habe nun endlich mein IPSEC VPN zwischen meinem Win-XP-Clinet und dem Linux-FreeS/Wan Server laufen, zumindest glaube ich das!
Wenn ich das VPN von Clienten starte kann ich den Server nicht mehr anpingen, da steht dann immer IP-Sicherheit wird verhandelt, ins Internet kann ich jedeoch pingen. Das ist mein einziger anhaltspuntk das alles funktioniert, wie kann ich nun testen ob wirklich alle Daten über das VPN laufen?
 
Du solltest Dir einen Netzwerksniffer installieren. Kann ethereal empfehlen. (http://www.ethereal.com/). Damit kann das Interface abgehört werden über das das VPN läuft.

Die Ausgabe von ethereal sieht dann in etwa so aus wie in dem Screenshot. ESP ist IPsec Traffic. Dieser sollte eigentlich nur zwischen dem VPN Gateway und dem VPN Client auftreten.
 

Anhänge

  • screen.gif
    screen.gif
    67,9 KB · Aufrufe: 84
mh, alles sehr komisch,
der sniffer zeigt rege Kommunikation über das ISAKMP Protokoll an, auf der Linux Seite regt sich aber unter tcpdump -i ipsec0 gar nix.

ipsec auto --status gibt aber seinerseits folgendes aus:
#7: "wlan"[2] 192.168.23.5 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2721s; newest ISAKMP

was doch eigentlich heißt das ein tunnel existiert, oder?
 
Original geschrieben von mc_gyver
mh, alles sehr komisch,
der sniffer zeigt rege Kommunikation über das ISAKMP Protokoll an, auf der Linux Seite regt sich aber unter tcpdump -i ipsec0 gar nix.
ISAKMP ist das Protokoll zur Schlüsselverwaltung. Traffic darüber sollte eigentlich nur vor Aufbau des Tunnels und danach eventuell in regelmässigen Intervallen (geschätzt grösser 10min) stattfinden. Nutzdaten werden in ESP Pakete verschlüsselt verpackt.

Original geschrieben von mc_gyver
ipsec auto --status gibt aber seinerseits folgendes aus:
#7: "wlan"[2] 192.168.23.5 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2721s; newest ISAKMP

was doch eigentlich heißt das ein tunnel existiert, oder?
Hmm also dazu kann ich Dir nichts sagen, ich selbst kenne nur Windows VPN Gateways. Das eindeutigste Zeichen für die Existenz des Tunnels ist das Dir WinXP die VPN Verbindung in der Task Leiste anzeigt :)
Die Frage ist nur ob der WinXP Client den Tunnel auch benutzt und ob auch tatsächlich mit IPsec verschlüsselt wird.

Arbeite doch einfach mal mit dem WinXP Rechner im Netzwerk und lass ethereal den Traffic eine Weile lang mitschneiden. Wenn ethereal nur ESP und ISAKMP Pakete anzeigt und diese nur zwischen dem Client und dem Server ausgetauscht werden, dann behaupte ich mal das die Sache funktioniert.
 
Mh na gut dann existiert der Tunnel ja doch noch nicht, das ist schonmal gut zu wissen, :-)

Da habe ich evt. doch noch ein kleines Grundsatz Problem. Oder Problem mit meiner Testumgebung.
Ich sitze momentan nur im Lan.
Linux ist die 192.168.1.254 / 255.255.255.0
und Windows-XP 192.168.1.5 / 255.255.255.0
Es wird doch sicherlich möglich sein, dazwischen einen Tunnel zu errichten, oder?
Im Endeffekt, wollte ich damit nämlich mein WLAN verschlüsseln.
Na gut ich danke dir, für deine Hilfe, werd noch mal weiter probieren. THX
 
Klar ist das möglich. Solange Du mit "Tunnel" eine VPN Verbindung meinst.
Du musst am WinXP Rechner diese VPN Verbindung aber manuell aufbauen.

Wenn Du noch keine eingerichtet hast, kannst Du diese Anleitung als Anhaltspunkt nehmen:
http://nbp.staticip.de/nbp/sites/vpnmanual/
Deine Einwahladresse ist dann eben 192.168.1.254 und als VPN Typ darf nicht PPTP-VPN sondern L2TP ausgewählt sein.
Und "Standardgateway für das Remotenetzwerk verwenden" muss unbedingt eingeschaltet sein.
 
Zurück