{"id":377,"date":"2009-07-13T22:37:36","date_gmt":"2009-07-13T20:37:36","guid":{"rendered":"http:\/\/www.admindu.de\/wordpress\/?p=377"},"modified":"2011-07-03T14:29:46","modified_gmt":"2011-07-03T12:29:46","slug":"linux-vpn-gateway-fur-iphone-und-ipod","status":"publish","type":"post","link":"https:\/\/www.admindu.de\/wordpress\/?p=377","title":{"rendered":"Linux VPN-Gateway f\u00fcr iOS"},"content":{"rendered":"

Nachdem ich schon eine Weile dar\u00fcber nachgedacht habe die VPN-Funktion meines IPod Touch mal zu testen bin ich nun endlich dazu gekommen ein entsprechendes VPN-Gateway auf Basis von Debian Lenny zu basteln. Das Setup ist sicherlich noch nicht produktionsreif, aber es funktioniert stabil. Ich konnte es mit einem IPod Touch Firmware 2.x und 3.x sowie mit einem IPhone und IPhone 3G, ebenfalls mit Firmware 2.x und 3.x, erfolgreich testen. HINWEIS:<\/strong> Es kommen hier keine Filter zum Einsatz. Der Betrieb des GW, wie hier beschrieben, ist nicht sicher<\/strong>.\u00a0 Siehe auch den Hinweis von Michael B\u00fcrkle am Ende des Posts. Ich habe die Filter-Thematik in diesem Artikel bewusst nicht behandelt, um nicht vom 100ten ins 1000ste zu kommen, aber bisher nicht konkret darauf hingewiesen. <\/em><\/p>\n

<\/p>\n

System vorbereiten<\/strong><\/p>\n

Als Basis verwende ich, wie f\u00fcr alle meine Setups, ein Debian<\/a>. In diesem Fall in der aktuellen Version Lenny. Ich habe mich f\u00fcr die l2tp<\/a>-(over-ipsec)-Version des VPNs entschieden. PPTP ist nicht mehr zeitgem\u00e4\u00df und das native IPSec VPN der Apple-Ger\u00e4te ist nach meinem Gef\u00fchl eher f\u00fcr einen sicheren Zugang zur Infrastruktur (z.B. Campus-WLAN) denn f\u00fcr einen Remote-VPN-Zugang gedacht. So ist z.B. die Verwendung von XAUTH zur Authentifizierung zwingend. Es ist mir nicht gelungen unter Verwendung des reinen IPSec-Modus eine stabile und brauchbare Verbindung aufzubauen. Daher meine Entscheidung f\u00fcr l2tp. Folgende Pakete musste ich nach einer Installation des Standard-Systems nachinstallieren.<\/p>\n

aptitude install openswan xl2tpd<\/p>\n

Openswan<\/a> ist f\u00fcr den IPSec-Teil der Verbindung notwendig w\u00e4hrend der xl2tpd<\/a> den l2tp-D\u00e4mon stellt. Das PPP-Paket ist auch noch notwendig wurde aber bei meiner Installation bereits von obigem Kommando als Abh\u00e4ngigkeit angezogen bzw. war schon vorher bei der Standardsystem-Installation installiert.<\/p>\n

Konfiguration IPSec<\/strong><\/p>\n

Zuerst wenden wir uns der Konfiguration des ipsec zu. Die Authentisierung des IPSec erfolgt \u00fcber ein “Shared Secret”. Dieses ist f\u00fcr alle Ger\u00e4te, die das VPN verwenden gleich. Es dient zum Aufbau des IPSec-Tunnels durch welchen dann sp\u00e4ter die l2tp-Verbindung getunnelt wird. Da der Remote-Peer hier mit der Adresse 0.0.0.0 (any) konfiguriert wird – da die Gegenstelle ja wegen dynamischer Adressvergabe \u00fcber UMTS oder DLS nicht bekannt ist – kann keine weitere Verbindung mir einer “Shared Secret”-basiterten Authentisierung konfiguriert werden. Zertifikatsbasierte Verbindungen sind davon nicht betroffen und k\u00f6nnen auf dem selben Gateway parallel betrieben werden. Es folgen meine Connection-Beschreibung f\u00fcr die Datei \/etc\/ipsec.conf. Wenn es eine frische IPSec-Installation ist, dann kann die Verbindung direkt unterhalb des Kommentars “# Add connections here”<\/em> in der ipsec.conf eingetragen werden. Weitere Parameter f\u00fcr die Datei ipsec.conf k\u00f6nnen der Man-Page entnommen werden. Diese kann auf dem System mit “man ipsec.conf”<\/em> aufgerufen werden. Oder sie findet sich hier<\/a>.<\/p>\n

conn L2TP-PSK
\nrekey=no
\nauthby=secret
\npfs=no
\nkeyingtries=0
\nleft=%defaultroute
\nleftprotoport=17\/1701
\nright=%any
\nrightprotoport=17\/%any
\nrightsubnetwithin=0.0.0.0\/0
\nauto=add<\/p>\n

Anschliessend muss noch in der Datei \/etc\/ipsec.secrets folgende Eintrag gesetzt werden. Dabei muss der Platzhalter “gateway.external.ip”<\/em> durch die externe IP des VPN-Gateways ersetzt werden.<\/p>\n

gateway.external.ip %any: PSK “clients”<\/p>\n

Nach einem Neustart des IPSec Subsystems ist damit die Konfiguration des IPSec-Teils abgeschlossen. Also wenden wir uns dem l2tp-Part des Setups zu.<\/p>\n

Konfiguration L2TP<\/strong><\/p>\n

Die Konfiguration des l2tp-D\u00e4mons findet in der Datei “\/etc\/xl2tpd\/xl2tpd.conf”<\/em> statt. Es folgt meine Version dieser Datei. In der Sektion “global”<\/em> werde allgemeine Parameter beschrieben. Hier muss wiederrum der Platzhalter “gateway.external.ip”<\/em> durch die externe IP des VPN-Gateways ersetzt werden. Mit dem Port-Parameter kann der Listen-Port definiert werden. Da auf dem IPhone keine abweichende Konfiguration des Ports m\u00f6glich ist muss hier der Defaul f\u00fcr l2tp beibehalten werden. Weitere Parameter k\u00f6nnen sind in der Man-Page des xl2tpd beschrieben. Diese kann auf dem System mit “man xl2tpd.conf”<\/em> aurgerufen werden. Oder sie findet sich hier<\/a>.<\/p>\n

[global]
\nlisten-addr = gateway.external.ip
\nport = 1701<\/p>\n

In der folgenden Sektion wird die eigentliche Verbindung beschrieben. Nat\u00fcrlich k\u00f6nnen die Parameter “ip range”<\/em> und “local ip”<\/em> angepasst werden. Wichtig ist hier, dass der Parameter “local ip”<\/em> aus dem selben Netz-Segment ist, wie die IP-Range. Der Parameter “local ip”<\/em> beschreibt die Adresse die das PPP-Interface in Richtung Clients auf dem VPN-Gateway haben wird. Der Parameter hat nichts mit der externen IP des Gateways zu tun, die wir weiter oben bereits gesetzt haben. Der Parameter “IP-Range”<\/em> beschreib den Adress-Bereich aus dem den Clients IP-Adressen zugewiesen werden. Es ist auch m\u00f6glich bestimmten Usern feste IP-Adressen zuzuweisen, dazu sp\u00e4ter mehr. Hier die von mir im Test verwendete Konfiguration:<\/p>\n

[lns default]
\nip range = 10.10.11.10-10.10.11.100
\nlocal ip = 10.10.11.253
\nrequire chap = yes
\nrefuse pap = yes
\nrequire authentication = yes
\nname = LinuxVPNserver
\nppp debug = yes
\npppoptfile = \/etc\/ppp\/options.l2tpd
\nlength bit = yes<\/p>\n

Routing Exkursion<\/strong><\/p>\n

An dieser Stelle m\u00f6chte ich noch auf eine Problematik eingehen, die im Rahmen der VPN-Nutzung bei den meisten Administratoren entstehen wird. Im Grunde ist das l2tp-Konzept darauf ausgelegt Adressen aus dem selben Adress-Bereich, der auch im internen LAN verwendet wird, zu tunneln. Dazu kommen dann z.B. Techniken wie Proxy-Arp<\/a> zum Einsatz. In g\u00f6sseren Installation ist ein solches Konzept unpraktisch und es w\u00e4re w\u00fcnschenswert die Clients bzw. das f\u00fcr die Clients gedachte Subnetz stattdessen \u00fcber Routing einzubinden. Das ist nat\u00fcrlich auch m\u00f6glich aber es gibt dabei einiges zu beachten. Da auf dem IPhone\/IPod ohne weiteres keine Routen f\u00fcr die l2tp-Verbindung definiert werden k\u00f6nnen gibt es nur zwei M\u00f6glichkeiten ein solches Setup zu realisieren. Zum einen kann auf dem IPod\/IPhone bei der Einrichtung des VPN der Schalter “F\u00fcr alle Daten”<\/em> zu aktivieren. Dann setzt der Client eine Default-Route durch das VPN wenn dieses aktiv ist. D.h. es werden alle Daten zu VPN-Gateway gesendet. Das hat allerdings den Nebeneffekt, dass bei aktivem VPN auch alle Anfragen zu Webseiten oder z.B. dem I-Tunes Store \u00fcber das VPN zum Firmennetz geleitet werden. Auch ist es dann notwendig dem Client einen internen DNS-Server mitzugeben, damit noch eine erfolgreichen Namesaufl\u00f6sung erfolgen kann. Dies ist im Rahmen des PPP-Verbindungsaufbau m\u00f6glich. Mehr dazu sp\u00e4ter. Generell ist es mit entsprechender Freischaltung in der ggf. existierenden Firewall und einem richtig konfigurierten, internen DNS ohne Probleme m\u00f6glich mit dem Client auch \u00fcber die VPN-Verbindung zu surfen oder bei I-Tunes oder im App-Store einzukaufen. Allerdings leidet die Geschwindigkeit der Verbindung etwas darunter. Der Vorteil ist, dass alle Zugriff, auch auf alle privaten Netze nach RFC1918<\/a>, beim VPN-Gateway ankommen und dort entsprechend geroutet bzw. gefilter oder \u00fcberwacht werden k\u00f6nnen.<\/p>\n

Ist der Schalter “F\u00fcr alle Daten”<\/em> nicht gesetzt sendet das IPhone nur manche Anfragen in den VPN-Tunnel. So gehen z.B. alle Anfragen an \u00f6ffentliche IP-Adressen am VPN vorbei direkt \u00fcber die entsprechende Anbindung. Leider werden dann auch nicht alle Anfragen an RFC1918 Netze, sonder nur eine Submenge, \u00fcber das VPN geroutet. Soweit ich es bisher testen konnte wird jeweils der komplette RFC1918 Netzblock aus dem die Adressen im Parameter “ip range”<\/em> stammen durch das Tunnel gesendet. Also bei meinem Beispiel der komplette 10.0.0.0\/8 Block, nicht aber z.B. der Bereich 192.168.0.0\/16 oder 172.16.0.0\/12. Kommen im Firmennetz also mehrere RFC1918 Netzbereiche zum Einsatz kann das ein Problem darstellen.<\/p>\n

Konfiguration PPP<\/strong><\/p>\n

So, jetzt aber genug der Routing-Exkursion. Um ein lauff\u00e4higes Setup zu bekommen muss noch der PPP<\/a>-Bereich entsprechend konfiguriert werden. Im oben besprochenen Abschnitt der l2tp-Verbindung finden wir einen Verweis auf die folgenden Konfigurationsdatei “\/etc\/ppp\/options.l2tpd”<\/em>. Diese Datei enth\u00e4lt die notwendigen Parameter f\u00fcr den pppd der sich um den Aufbau der Verbindung, die Authentifizierung und die Zuweisung von IP-Adressen und z.B. DNS oder WINS Server k\u00fcmmert. Bei mir sieht der Inhalt der Datei wie folgt aus:<\/p>\n

ipcp-accept-local
\nipcp-accept-remote
\nnoccp
\nms-dns ip.interner.dns
\nauth
\ncrtscts
\nidle 1800
\nmtu 1410
\nmru 1410
\nnodefaultroute
\ndebug
\nlock
\nconnect-delay 5000<\/p>\n

Der pppd bietet eine F\u00fclle an Optionen zur Konfiguration. Daher m\u00f6chte ich nur auf die wichtigstens kurz eingehen. Weitere Optionen sind in der Man-Page des pppd beschriebe. Diese kann auf dem System mit “man pppd”<\/em> aufgerufen werden. Oder man findet sie hier<\/a>. Ich m\u00f6chte auch noch sagen, dass ich wahrlich kein PPP-Spezialist bin und diese Settings auch aus dem Link im Anhang \u00fcbernommen habe. Mit diesen Einstellungen war in meinen Tests ein stabiler Betrieb m\u00f6glich. Ob die immer das Gelbe vom Ei sind kann ich allerdings nicht garantieren.<\/p>\n

Wichtig waren bei mir die Einstellungen “mtu”<\/em> und “mru”<\/em>. Wenn diese nicht bzw. auf einen zu hohen Wert gesetzt sind, dann hatte ich \u00fcber UMTS Probleme bei der Verbindung. Das \u00e4ussert sich dahingehend, dass beim Abruf von z.B. Bildern in Webseiten die Verbindung einfach h\u00e4ngen bleibt. Mit den Werten “1410”<\/em> habe ich sowohl \u00fcber UMTS als auch \u00fcber WLAN keine Probleme mehr gehabt. Der “idle”-Parameter beschreibt, nach welcher Zeit eine VPN-Verbindung \u00fcber die keine Daten \u00fcbertragen werden getrennt wird. Ich habe mich hier f\u00fcr 1800 Sekunden entschieden. Ohne diese Option hatte ich manchmal Probleme das VPN von einem IPod Touch wieder aufzubauen, nachdem dieser in den Standby-Modus gefallen war. Dieser Parameter kann sicherlich nach eigenen Anforderungen angepasst werden. Spannend ist dann noch der Parameter “ms-dns”<\/em>. Damit kann dem Client ein DNS-Server zugewiesen werden, der w\u00e4hrend der aktiven VPN-Verbindung gilt. Die Option kann auch zwei mal gesetzt werden um einen Prim\u00e4ren und eine Sekund\u00e4ren DNS-Server zu definieren. Bitte hierbei beachten, dass der DNS-Server auch externe Adressen aufl\u00f6sen muss, da sonst w\u00e4hrend einer aktiven VPN-Verbindung kein Zugriff auf normale Webseiten oder I-Tunes bzw. App-Store m\u00f6glich ist. Siehe dazu auch den Abschnitt “Routing Exkursion” weiter oben. Der Vollst\u00e4ndigkeit halber sei noch erw\u00e4hnt, dass es auch den Parameter “ms-wins”<\/em> gibt, mit dem Wins-Server definiert werden k\u00f6nnen. Bei IPhone und IPod scheint das keinen Effekt zu haben. Aber wer auf Windows als Client anbinden m\u00f6chte kann die Option ggf. gut gebrauchen. Der Parameter “auth”<\/em> legt fest, dass ein User sich zum Aufbau einer L2TP-Verbindung authentifizieren muss. Weiter oben haben wir in der xl2tpd.conf durch die Parameter “require chap = yes”<\/em> und “refuse pap = yes”<\/em> bereits definiert, dass eine Authentifizierung via CHAP<\/a> stattfinden muss. Somit kommen wir auch zum letzten Schritt der Konfiguration indem wir die Username und Passw\u00f6rter der Accounts sowie die zuzuweisende IP-Adresse festlegen.<\/p>\n

Dies geschieht in der Datei “\/etc\/ppp\/chap-secrets”. Hier ein Beispiel mit einigen Accounts, dass ich in meinem Test verwendet habe:<\/p>\n

# Secrets for authentication using CHAP
\n# client server secret IP addresses
\nkurt * “test” 10.10.11.11
\n* kurt “test” 10.10.11.11
\notto * “knurps” 10.10.11.12
\n* otto “knurps” 10.10.11.12
\nhans * “foobar” 10.10.11.13
\n* hans “foobar” 10.10.11.13<\/p>\n

Ich denke Inhalt und Syntax der Datei ist selbsterkl\u00e4rend. Ich habe noch nicht getestet wie es sich auswirkt, wenn dort z.B. auch ein DSL-Account (vie PPPoE) oder andere PPP-Accounts konfiguriert sind. Solange dort nur die Accounts f\u00fcr das VPN eingetragen sind klappt es jedenfalls ohne Probleme. Der Client bekommt die in der letzten Spalte zugewiesene IP-Adresse und kann auch anhand dieser z.B. in einer Firewall gefilter werden.<\/p>\n

Konfiguration auf IPhone oder IPod-Touch<\/strong><\/p>\n

Auf dem Client wird das VPN dann wie folgt konfiguriert.<\/p>\n