IPsec 4to6 Tunnel mit Debian/Ubuntu vServer

[gromta]

Moin, ich bin gerade der Community beigetreten und möchte nun direkt mit einem kleinem Projekt durchstarten.

Unity und andere Anbieter arbeiten mit Dual-Stack Lite, sodass man die IPv4 Ports nicht mehr ansprechen kann und nur mit einer IPv6 die Endgeräte erreichen kann. Um wieder nach Hause zu kommen bleibt natürlich noch die Möglichkeit ein Tunnel Broker zu nehmen.

Da ich aber gerne alles selber mache und ungern irgendwelche Anbieter benutzen will und eh schon einen vServer mit statischer IPv4 und IPv6 habe, möchte ich mir nun einen 4to6 Tunnel einrichten. Die einfachste Möglichkeit wäre wohl ein OpenVPN Tunnel zu nehmen. Da einfach jeder kann und ein IPsec Tunnel noch Sicherheitsfeatures mit sich bringt, soll der Tunnel mit IPsec aufgebaut werden.

Mein Ziel ist es meinen ESXi Host von außen über meinen vServer anzusprechen und per Tunnel meine IPv4 Pakete nach Hause zu transferieren.

Ich suche nun nach Projektpartner die sich schon mit dem IPsec verfahren auskennen. Mein Ziel ist eine Anleitung zur Verfügung zu stellen die es jedem einfach ermöglicht einen Tunnel zu erstellen der sicher ist, zudem sollen die Verfahren genau definiert sein. Diese Anleitung soll dann kostenlos für jeden zur Verfügung gestellt werden, damit jeder das Dual-Stack Lite verfahren leicht umgehen kann und zudem noch genau weiß wie ein IPsec Tunnel aufgebaut ist.

Wer Lust hat kann sich gerne bei mir melden.

Viele Grüße Gromta

[TRex]

Ich hab mal gehört (tm), dass IPSec hundskompliziert sein soll. Lohnt sich der Aufwand denn dafür? Ich hab ein tinc-Setup für den gleichen Zweck (allerdings kein 1:1 mapping für den Zugriff auf den v6 Host).

[gromta]

Ja ist kompliziert, aber ich denke das sich der Aufwand lohnen wird.
Es gibt verschiedene Sicherheitsfeatures:
Client/Host Cert
User/PW Authentifizierung
neuen Key generieren nach Zeit X und damit werden dann die Pakete neu verschlüsselt
anderer Header mit Gateway IP

Eigentlich kann man mit der Sophos ziemlich einfach einen Tunnel erstellen, leider sieht es auf einem Linux Server wieder anders aus ^^
Wie gesagt man kann es auch einfach lösen mit OpenVPN.

Also nur vorab meine Anleitung soll sich um ein Site to Site VPN drehen und die anderen Varianten sollen nur erläutert werden.

[catdog2]

Wenn du dir IPsec antun willst… Sicherer als OpenVPN ist es auch nicht nur komplizierter.

Da ich aber gerne alles selber mache und ungern irgendwelche Anbieter benutzen will und eh schon einen vServer mit statischer IPv4 und IPv6 habe, möchte ich mir nun einen 4to6 Tunnel einrichten. Die einfachste Möglichkeit wäre wohl ein OpenVPN Tunnel zu nehmen. Da einfach jeder kann und ein IPsec Tunnel noch Sicherheitsfeatures mit sich bringt, soll der Tunnel mit IPsec aufgebaut werden.

Oder gar keine crypto. Wenn der Traffic sowieso im öffentlichen Netz landet ist es auch fast egal ob das Stückchen bis zu deinem Server nochmal besonders gesichert ist.

[gromta]

ach man, naja ok wenn trotzdem noch jemand bock hat das zu machen der kann sich gerne melden.
Dann werde ich wohl vorerst auf openvpn alles laufen lassen.

[dufty2]

In der Theorie ist IPsec schon stärker.

Anyway, hier eine mögliche Beschreibung für Dein Vorhaben:
https://www.strongswan.org/uml/testresu ... ip6-ikev2/

[catdog2]

In der Theorie ist IPsec schon stärker.

Inwiefern?

[dufty2]

Key renewing gab es schon länger, wenn ich mich nicht täusche.
Und 'Encrypt-then-MAC' auch. Jenes ist bei HTTPS/SSH erst "hinzugefriemelt" worden.

[catdog2]

Mag sein, dass es vor vielen Jahren in der Hinsicht mal besser war als andere Lösungen wir leben ja heute.

[bluestar]

Hey,
das ganze hört sich für mich nach zwei unterschiedlichen Wünschen an - erst einmal möchtest du einen IPSEC-Tunnel über IPv6 zwischen deinem Server und zu Hause einrichten, das zweite ist ein IPv4 Tunnel über IPv6 - Hier habe ich die fertige Konfiguration am Start.

Du brauchst
* AAAA = IPv4 Adresse die du nach Hause weiterleiten willst
* BBBB = IPv4 Adresse deines Servers
* CCCC = IPv6 Adresse deines Servers
* DDDD = IPv6 Adresse von zu Hause

Auf deinem Server /etc/network/interfaces

Code: Alles auswählen

auto v4tunnel
iface v4tunnel inet static
	pre-up		/sbin/ip -6 tunnel add v4tunnel mode ip4ip6 local CCCC  remote DDDD
	up			/sbin/sysctl -w net.ipv4.ip_forward=1
	address		BBBB
	pointopoint	AAAA

Zu Hause /etc/network/interfaces

Code: Alles auswählen

auto v4tunnel
iface v4tunnel inet static
	pre-up		/sbin/ip -6 tunnel add v4tunnel mode ip4ip6 remote DDDD local CCCC
	address		AAAA
	pointopoint	BBBB
	up			/sbin/ip route add default via BBBB table 201
	up			/sbin/ip rule add from AAAA lookup 201

Die letzten beiden Zeilen sind speziell für's Routing, so das dein Server zu Hause allen Traffic von der IP AAAA über den Tunnel ins Netz zurückroutet.

[dufty2]

Du brauchst
* AAAA = IPv4 Adresse die du nach Hause weiterleiten willst
* BBBB = IPv4 Adresse deines Servers
* CCCC = IPv6 Adresse deines Servers
* DDDD = IPv6 Adresse von zu Hause

Möglicherweise wird eine NAT benötigt.
Vermutlich hat er seine öffentliche IPv4 Adresse seines Servers schon im Gebrauch für was anderes und
bei diesen "billigen" vServern-Angeboten ist nicht so einfach eine 2. IPv4 zu bekommen für den Server, anders als etwa bei einem dedicated Server.
Und vermutlich will er zu Hause auch seinen ESXi (respektive die VM darin) über eine - vermutliche - RFC-IPv4 ansprechen können und nicht via die öffentliche.

[Lolek]

Moin gromta,

was ist eigentlich Dein Ziel? Eine Anleitung für IPSEC zu schreiben, was ich für ein sportliches Vorhaben für einen Einsteiger halte, oder deine IPv4 Pakete zu tunneln?

Wenn Du schon Erfahrung mit OpenVPN hast, dann würde ich zu OpenVPN raten. Wenn man OpenVPN richtig konfiguriert werden die Schlüssel auch automatisch gewechselt. Authentifizierung mit Zertifikaten ist auch möglich.

Eine weitere Möglichkeit ist ein SSH Tunnel mit ppp Interface oder wenn der Tunnel nicht verschlüsselt sein muß dann wäre auch GRE eine Möglichkeit.

[gromta]

Hey Zusammen,
vielen Dank für eure zahlreichen Antworten. Da ich etwas verhindert war kann ich leider jetzt erst Antworten. Also nochmal zur Erklärung was ich machen will.

Ich habe Zuhause einen ESXi Host den ich zu Testzwecken benutze( Windows VM, Exchange, Webserver usw.), zudem habe ich einen Debian vServer den ich für produktive Sachen benutze.
Da Unitymedia über Dual Stack Lite arbeitet und ich nur ein IPv6 Subnet erhalte will ich nun von außen an meinen Server kommen wie gewohnt über eine IPv4 + Ports. Um das zu realisieren bleiben mir drei Möglichkeiten:
- Portmapper
- Über IPv6 arbeiten (Unity behält sich aber das Recht vor jederzeit das Subnetz zu ändern was natürlich nicht andauernd passiert)
- IP4to6 Tunnel zum Debian Server (selbe wie ein Portmapper, aber es wird kein 3ter Server verwendet)
Natürlich kann ich inzwischen genauso gut OpenVPN nehmen, da es fast denselben Funktionsumfang wie IPsec bietet. Ich würde dennoch gerne IPsec nehmen, weil es noch sehr oft benutzt wird und es immer als „hohe“ Kunst angesehen wird.

Ich würde die den Vorgang gerne dokumentieren und anderen Leuten, insbesondere diesem Forum, zur Verfügung stellt. Natürlich kann man zudem noch auf andere Tunnelprotokolle eingehen und die Vorteile aufzeigen.
Wie gesagt wenn jemand Lust dazu hat kann er sich gerne beteiligen, ich habe die IPsec.conf soweit fertig und werde wahrscheinlich heute Abend die Tests machen. Mal hoffen es klappt und ich habe nichts übersehen

[Lolek]

Hallo Gromta,

was ist denn nun mit deinem IPSEC Tunnel raus gekommen? Hat es funktioniert?