8.5. Virtual Private Networks (virtuelle private Netzwerke)
Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und sicher über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Benutzern oder Hosts und Methoden, um die Struktur des privaten Netzwerks zu verstecken.
Debian enthält etliche Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können:
FIXME: Update the information here since it was written with FreeSWAN in mind. Check Bug #237764 and Message-Id: <200412101215.04040.rmayr@debian.org>.
Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allen zusammenarbeiten kann, die das IP-Security-Protokoll IPsec (RFC 2411) benutzen. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt.
8.5.1. Point-to-Point-Tunneling
Wenn Sie einen tunnelnden Server für eine gemischte Umgebung (sowohl Microsofts Betriebssystem als auch Linux-Clients) zur Verfügung stellen wollen und IPsec keine Möglichkeit ist (da es nur in Windows 2000 und Windows XP enthalten ist), können Sie PoPToP (Point to Point Tunneling Server) verwenden. Er wird vom Paket pptpd bereitgestellt.
Wenn Sie Microsofts Authentifikation und Verschlüsselung mit dem Server verwenden wollen, die im Paket
ppp enthalten sind, sollten Sie Folgendes aus der FAQ beachten:
Sie müssen nur dann PPP 2.3.8 einsetzen, wenn Sie zu Microsoft kompatible MSCHAPv2/MPPE-Authentifikation und Verschlüsselung haben wollen. Der Grund dafür ist, dass der aktuelle MSCHAPv2/MPPE-Patch (19990813) gegen PPP 2.3.8 erstellt wurde. Wenn Sie keine zu Microsoft kompatible Authentifikation und Verschlüsselung brauchen, können Sie jede PPP-Quelle mit der Version 2.3.x verwenden.
Allerdings müssen Sie auf den Kernel einen Patch anwenden, der im Paket kernel-patch-mppe enthalten ist. Er stellt das Module pp_mppe für den pppd zur Verfügung.