Table Of Content(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 1 — LE-TEX
(cid:2) (cid:2)
VPNmitLinux
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 2 — LE-TEX
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 3 — LE-TEX
(cid:2) (cid:2)
Ralf Spenneberg
VPN mit Linux
Grundlagen und Anwendung Virtueller
Privater Netzwerke mit Open Source-Tools
AnimprintofPearsonEducation
München(cid:129)Boston(cid:129)SanFrancisco(cid:129)Harlow,England
DonMills,Ontario(cid:129)Sydney(cid:129)MexicoCity
Madrid(cid:129)Amsterdam
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 4 — LE-TEX
(cid:2) (cid:2)
BibliografischeInformationDerDeutschenNationalbibliothek
DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;
detailliertebibliografischeDatensindimInternetüber<http://dnb.d-nb.de>abrufbar.
DieInformationenindiesemBuchwerdenohneRücksichtaufeineneventuellenPatentschutzveröffentlicht.
WarennamenwerdenohneGewährleistungderfreienVerwendbarkeitbenutzt.
BeiderZusammenstellungvonTextenundAbbildungenwurdemitgrößterSorgfaltvorgegangen.Trotzdem
könnenFehlernichtvollständigausgeschlossenwerden.
Verlag,HerausgeberundAutorenkönnenfürfehlerhafteAngabenundderenFolgenwedereinejuristische
VerantwortungnochirgendeineHaftungübernehmen.
FürVerbesserungsvorschlägeundHinweiseaufFehlersindVerlagundHerausgeberdankbar.
AlleRechtevorbehalten,auchdiederfotomechanischenWiedergabeundderSpeicherunginelektronischen
Medien.
DiegewerblicheNutzungderindiesemProduktgezeigtenModelleundArbeitenistnichtzulässig.
FastalleHardware-undSoftwarebezeichnungenundweitereStichworteundsonstigeAngaben,dieindiesemBuch
verwendetwerden,sindalseingetrageneMarkengeschützt.Daesnichtmöglichist,inallenFällenzeitnahzu
ermitteln,obeinMarkenschutzbesteht,wirddas®SymbolindiesemBuchnichtverwendet.
Umwelthinweis:
DiesesProduktwurdeaufchlor-undsäurefreiemPEFC-zertifiziertenPapiergedruckt.
UmRohstoffezusparen,habenwiraufFolienverpackungverzichtet.
10 9 8 7 6 5 4 3 2 1
12 11 10
ISBN978-3-8273-2515-0
©2010byAddison-WesleyVerlag,
einImprintderPearsonEducationDeutschlandGmbH,
Martin-Kollar-Straße10–12,D-81829München/Germany
AlleRechtevorbehalten
Einbandgestaltung:MarcoLindenbeck,webwoGmbH([email protected])
Lektorat:BorisKarnikowski,[email protected]
Korrektorat:FriederikeDaenecke,Zülpich
Herstellung:MonikaWeiher,[email protected]
Satz:le-texpublishingservicesGmbH,Leipzig
DruckundVerarbeitung:Kösel,Krugzell(www.KoeselBuch.de)
PrintedinGermany
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 5 — LE-TEX
(cid:2) (cid:2)
FürClaudia
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 6 — LE-TEX
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 7 — LE-TEX
(cid:2) (cid:2)
Vorwort zur 2. Auflage
DieersteAuflagedesBucheswareingroßerErfolg.Ichwarsehrüberraschtvondergroßen
Resonanz,dieicherhaltenhabe.AllerdingsistdieersteAuflageinzwischennichtmehrver-
fügbar,undeshabensichauchgroßeÄnderungenundWeiterentwicklungenimVPN-Umfeld
ergeben. So hat OpenVPN als alternative VPN-Lösung inzwischen eine große Bedeutung
erlangt.InKundenprojektenwirdimmerhäufigerauchnachOpenVPNgefragt.Daherwidme
ichOpenVPNeineneigenenTeil(s.u.)amEndedesBuches.AuchimIPsec-Bereichhatsich
viel getan. Das FreeS/wan-Projekt hat sich beendet. Openswan und strongSwan sind wür-
digeNachfolger.BeidewerdenindiesemBuchdahermitihrenMöglichkeitenbetrachtet.Ich
persönlichbevorzugestrongSwan.DiesistauchindeneinzelnenKapitelnimBucherkenn-
bar.DabeikenneichPaulWoutersundKenBantoftvonOpenswangenausogutwieProf.Dr.
AndreasSteffen,derstrongSwanentwickelt.
MitstrongSwanstehtaberaucheineausgereifteIKEv2-ImplementierunginderOpenSource-
WeltzurVerfügung.DiesekannerfolgreichauchmitWindows7-ClientsVPN-Verbindungen
aufbauen.DaherwirddemIKEv2-ProtokollunddessenImplementierungundMöglichkeiten
aucheineigenerTeilindiesemBuchgewidmet.
Die restlichen Teile des Buches wurden gründlich überarbeitet und auf die aktuellen Ver-
sionenabgestimmt.ÜberholteKapitelundAussagenwurdenersatzlosgestrichenunddurch
aktuelle Konfigurationsbeispieleersetzt. So betrachten wir auch den Kernel2.4 mit seinen
ipsecX-Netzwerkkarten nicht mehr,sondern konzentrierenunsauf den Kernel2.6 mitder
Netkey-IPsec-Implementierung.Leser,diesichfürdiealteImplementierungnochinteressie-
ren,aberdiealteAuflagenichtmehrerhaltenkönnen,möchteichaufdieOnline-Versiondes
Buchesunterhttp://www.os-t.de/buecher_new.php hinweisen.Dort findenSieauchdie
ersteAuflagediesesBuchesalsPDF.
LeserdererstenAuflagewerdensichaberweiterhinindiesemBuchzurechtfinden.DasZiel
desBuchesistesweiterhin,diePlanung,ImplementierungunddenEinsatzvonvirtuellenpri-
vatenNetzwerkenmitLinuxzuunterstützen.Hierbeisetzeichlediglichgrundsätzlicheadmi-
nistrativeKenntnissevoraus.DieeingesetztenProtokolleundProgrammewerdenausführlich
erläutert.
DerTeil1,„Grundlagen“,beginntmiteinerallgemeinenEinführungindieTechnikundGrund-
lagen virtueller privater Netzwerke. Anschließend werden die verschiedenen Verschlüsse-
lungsalgorithmenerklärt,diehierzumEinsatzkommen.IhreKenntnisistbeiderAnwendung
einesVPNsnichtzwingendnotwendig,jedocherlaubtIhneneingewissesGrundwisseneine
EinschätzungIhrerSicherheit.
Schließlich werden die eingesetzten Protokolle der IPsecFamilie betrachtet und analysiert.
AuchdiesesWissenistnichtzwingenderforderlich,umeinVPNzubetreiben.BeieinerFeh-
lersucheistsolchesHintergrundwissenjedochsehrnützlich,wennnichtsogarobligatorisch.
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 8 — LE-TEX
(cid:2) (cid:2)
Vorwortzur2.Auflage
Sollte das entsprechendeGrundwissen bereits vorhanden sein oder sollten Sie ungeduldig
mit dem Aufbau eines VPNs beginnen wollen, so können Sie direkt mit Teil 2 des Buches
beginnen.FürdasVerständnis,diePlanungunddieFehlersucheempfiehltessichjedoch,zu
einemspäterenZeitpunktTeil1nachzulesen.
Teil 2, „Praktische Umsetzung“, beschreibt den Aufbau einfacher virtueller privater Netz-
werkemitdenmomentanzurVerfügungstehendenImplementierungenfürdenLinux-Kernel
2.6mitdemIKE-ProtokollinderVersion1.HierwerdenOpenswan,strongSwan,Racoonund
derIsakmpdbesprochen.AuchdieAnbindungweitererBetriebssystemewieWindowsXPund
CiscokommtzurSprache.
DerTeil3,„IKEv2mitstrongSwan“, betrachtetdenBauvonVPNsmitdemIKEv2-Protokoll.
HierwirdauchdieAnbindungvonWindows7erläutert.
Teil 4, „Fortgeschrittene Konfiguration und Fehlersuche“, beschreibt besondere Eigenhei-
tenderImplementierungenundstelltzusätzlicheFunktionalitätenvor, diefürdieeineoder
andereImplementierungeinzigartigsind.HierwerdenFunktionenwieNAT-Traversal,XAuth
undIKE-Config-Modebesprochen.AuchdieUnterstützungvonHardware-Kryptoprozessoren
zurBeschleunigungderVerschlüsselungwirdhierangesprochen.
InTeil4werdenauchdiewichtigstenWerkzeugezurFehlersuchevorgestellt.
SchließlichwirdinTeil5,„OpenVPN2.x“,dieImplementierungvonVPNsmitOpenVPNvorge-
stellt.OpenVPNnutzteinproprietäres,aufOpenSSLbasierendesProtokollfürdieRealisie-
rungvonvirtuellenprivatenNetzwerken.
Bei der Strukturierung des Buches habe ich versucht, die Aufgabenstellungen beim Auf-
bau eines VPNs in Schritt-für-Schritt-Anleitungen durchzusprechen. Sicherlich wird dabei
nicht jedes Problem geklärt. Um diesem Missstand Rechnung zu tragen, behandelt Teil 4
komplizierteundbesondereFragestellungen.Hierbeiistesjedochnurmöglich,Einblickein
bestimmteProblemezugeben.SiesollenalsAnregungaufgefasstwerdenunddenLösungs-
wegaufzeigen.
Allesinallemhoffeich,dassmireinBuchgelungenist,mitdemSieinderLagesind,denEin-
satzvonvirtuellenprivatenNetzwerkenaufderBasisvonLinuxabzuwägenundumzusetzen.
HoffentlichhabenSiebeidemLesendesBuchesgenausovielSpaßwieichbeimSchreiben
hatte.
8
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 9 — LE-TEX
(cid:2) (cid:2)
Vorwortzur2.Auflage
Kontakt für Rückfragen und Anmerkungen
VirtuelleprivateNetzwerkesindweiterhineinsehraktuellesThema.Diesführtdazu,dassdie
entsprechendenTechnologienundProdukteständigweiterentwickeltwerden.Dieindiesem
BuchbesprochenenThemensinddabeisicherlichkeineAusnahme.WennSiealsozumInhalt
diesesBuchesUpdates,KorrekturenodereinfachAnregungenloswerdenmöchten,können
[email protected] erreichen.IchbietezudiesenThemenauchSchulungenund
Workshops an und berate und unterstütze Sie bei der Planung, Evaluation und Implemen-
tierung von VPN-Lösungen. Dabei können Sie auf meine Erfahrung speziell auch bei der
ImplementierungzahlreicherheterogenerVPN-Lösungenzugreifen.KleinereFragenkönnen
sicherlichauchunkompliziertperE-Mailgestelltundbeantwortetwerden.Unabhängigdavon
werde ich versuchen, unter http://www.spenneberg.com/ Updates und Korrekturen zum
Buchzuveröffentlichen.
9
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 10 — LE-TEX
(cid:2) (cid:2)
(cid:2) (cid:2)
(cid:2) (cid:2)
Description:Die Informationen in diesem Buch werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem.
