Einen Router bauen
arrow.gif Entwicklungsumgebung
arrow.gif Hardware Plattformen
arrow.gif Slackware Router
arrow.gif Downloads
   
Weiterentwicklung
arrow.gif Tasks pending
arrow.gif Bugs
   
Informationen
arrow.gif Security
arrow.gif FAQ
arrow.gif Links
 
Slackware Linux Router
Prev Next

14. VPN Zugriff auf Macintosh OS X Server >=10.4.5

14.1 Hintergrund

Macintosh OS X Server verfügt über eine integrierte VPN Lösung, bei der L2TP ( Layer 2 Tunneling Protocol ) mittels IPsec gesichert wird. ( OS X Client-Versionen besitzen keine VPN Server-Fähigkeiten. )

14.2 Übersicht

Die hier Skizzierte Lösung ist dann sinnvoll, wenn mobile Endgeräte per «L2TP over IPSec» auf einen Mac OS X Server im LAN zugreifen sollen. ( Zugriff via Windows Clients werden an dieser Stelle nicht berücksichtigt. ) 

  +------------------+
  |                  |
  | OS X-VPN-Server  |
  |                  |
  |                  |
  |------------------|
  |   10.10.10.20    |
  +------------------+
          |
          |
          |   LAN  10.10.10.0/24
    ----------------------------	
             |
             |
           eth0
    +------------------+
    |   10.10.10.10    |
    |------------------|                      +------------------+
    |              |   |                      |   10.10.10.x     |
    |              |   |                      |------------------|
    | Linuxrouter  |eth1------/INTERNET/------|                  |
    |              |   |                      |------------------|
    |              |   |                      |  Mobile Client   |
    +------------------+                      +------------------+
 

14.3 Port Forwarding Regeln

Da sich der VPN Server hinter einem NAT-Router befindet, muss für «L2TP over IPSec» ein Port Forwarding ( NAT-T ) auf die folgenden UDP Ports der OS X Maschine eingerichtet werden ( «IPsec Passthrough» bei kommerziellen Heim-Routern. ):

IKE UDP Port 500 ( IKE = IPSec Key Exchange )
IPsec NAT-T UDP Port 4500 ( NAT-T = NAT Traversal )
L2TP UDP Port 1701 ( Bei Verbindungsabbruch sendet der Client Pakete direkt an den UDP Server Port 1701 )
 

14.4 Client Regeln

Die Security Einstellungen des Netzes, in dem der VPN Client angesiedelt ist, müssen zulassen, dass der Client neue ausgehende Verbindungen zum Zielserver und zu den Ports 500, 4500 und 1701 aufbauen kann.

14.5 Macintosh Konfiguration

Für Details zur OS X Server- und -Client Konfiguration siehe beispielsweise: OS X VPN OS X VPN NAT-T

14.6 Notizen zu NAT-Traversal

NAT-T bedeutet, dass der IPSec-Traffic vom VPN Server in ein UDP-Paket gepackt wird, dessen Header nicht durch das ESP ( Encapsulated Security Payload ) verändert wird. Diese Art des UDP-Tunnelns erlaubt es, dass Quellport und -adresse durch das NAT-Gerät geändert werden und keine Änderungen am ESP-Paket durchgeführt werden müssen. Wenn ein solches Paket nun am VPN Server ankommt, wird der UDP-Header entfernt und das IPSec-Paket kann ganz normal bearbeitet werden. Der VPN Server führt eine Prüfung durch ob es sich bei ankommenden Packeten um IPsec oder IPsec NAT Traversal (Überquerungs) Paket handelt. Die benötigten Parameter für IPsec NAT Traversal werden zwischen Client und Server durch das NAT Traversal Protokoll ausgehandelt. Siehe: NAT-Traversal

14.7 Notizen zu L2TP over IPsec

Das L2TP Paket, bestehend aus Payload und L2TP-Header, wird in ein UDP Paket verpackt. Point-to-Point Protokoll Sessions werden üblicherweise in mit Hilfe eines L2TP Tunnels aufgebaut. Da L2TP weder die Vertraulichkeit noch eine starke Authentisierung sicherstellt, wird IPsec verwendet, um die Authentizität, die Vertraulichkeit und die Integrität der übermittelten Daten zu gewährleisten. Siehe: L2TP over IPsec

 

Prev Home Next
L2TP/IPSec Server und Android Content Ethernet Bridging