Post by BaÅar AlabayPost by Juergen P. MeierPost by BaÅar AlabayAber es gibt doch nur ein Netz?
Nur wenn du ein Layer-2 VPN machst (L2TP). Wenn du L3 VPN machst,
routet dein VPN-GAteway (und trennt dich damit von der heimischem
Bonjour-Wolke).
Also, die FB bietet Cisco-IPSec. OSX und iOS haben das ja. Verbindungen
Das ist dann aber keine vollwertige Cisco-Implementierung, denn Cisco
bietet proprietaere Erweiterungen wie GRE oder VTI.
Multicast und IPSEC (zumindest Version 1) kennen sich naemlich nicht,
IPSEC (IKE v1) ist Unicast only. Erst mit IKEv2 wurde das spezifiziert,
das ist aber noch zu neu um verbreitet zu sein.
iOS 8 wird wohl nativ IKEv2 koennen, das muesstest du "nur noch" deiner
Fritz!box beibringen. :P
Fuer iOS 7 kenne ich nur den Cisco AnnyConnect Client (App), der IKEv2
kann, aber halt auch nur wenn das Gateway auch IKEv2 spricht.
Abseits davon ist IPSEC (IKEv1) ausschliesslich Unicast.
Post by BaÅar Alabayklappen auch problemlos. L2TP habe ich nicht hinbekommen.
Hmm, gerade L2TP ist Aufgrund seiner einfachen Struktur das
unkompliziertere Protokoll (es gilt halt auch der Gegensatz Bequem vs.
Sicher). Auch ware L2TP die aller erste VPN Form die iOS beherrschte.
Post by BaÅar AlabayPost by Juergen P. MeierPost by BaÅar AlabayHm. Gibt es noch andere Möglichkeiten? Ich meine, man kann DHCP ja
sagen, daß die IP-Adressen beibehalten werden sollen, aber es wäre schon
angenehm, wenn die ganzen Programme (!), die *.local Adressen abfragen,
auch wo ankommen ? durch den VPN-Tunnel. Im Router kann ich nix
installieren, auf dem Raspi aber evtl.
Wer terminiert den VPN-Tunnel? Der Router oder der Raspi?
Der Router, eine FB 7170. Der Raspi ist nur dahinter. Der ist halt für
Diesen Fritzboxen scheint wohl jeglicher Multicast-support zu fehlen.
(Suchmaschine "fritzbox 7170 Multicast")
Post by BaÅar AlabayCaldav zuständig (z. B.) Und für Unison rsync Gedöns. Und genau dafür
wollte ich VPN nutzen.
Was ja auch sinnvoll ist.
Post by BaÅar AlabayPost by Juergen P. MeierIm LAN (rapi) einen DNS Server aufsetzen (und den per VPN als DNS verwenden)
http://www.heise.de/netze/artikel/Bonjour-fuer-das-VPN-997853.html
und dem einfach die noetigen service-eintraege beibringen (aufwaendig
auch bei der Pflege - http://www.multicastdns.org/DLLC/ beachtenj)
Ich dachte ja vereinfacht, daß es reichte, beim VPN zu sagen, daß es den
DNS des Routers benutzen soll, da sind die Namen ja auch eingetragen.
Wenn der nichts weis von den Service-Eintraegen (z.B.: _daap._tcp.local)
dann funktioniert bonjour nicht.
Post by BaÅar AlabayAber man kann in OSX für IPSec gar keine gesonderten oder zusätzlichen
DNS eintragen ? warum auch immer.
Bei OSX nicht? Ich muss zugeben ich hab den nativen OSX VPN Client nie
verwendet, div. third-party VPN loesungen biegen auch DNS entsprechend
den Vorgaben des VPN-Gateways um.
Post by BaÅar AlabayAlso, das Problem ist, daß ich nur das Cisco-IPSec nutzen kann
(anscheinend). Das hat damals mit der Uni doch geklappt? Öhm, Götz? Sach
ma, das war doch auch C-IPSec?
Kann es sein, dass das ein Cisco VPN Concentrator oder ne ASA als
Gegenstelle war?
Post by BaÅar AlabayEigentlich hatte ich gedacht, daß die *.local Namen nicht (nur?) via
Bonjour relevant sind und verteilt werden, sondern auch im DHCP-Server
hinterlegt sind. Der ist im Router. VPN terminiert auch im Router. Warum
Nein. DHCP hat mit .local erstmal garnichts zu tun.
Post by BaÅar Alabayhabe ich dann keine Verbindung zu *.local?! Eigentlich müßte es doch nur
Weil .local vorrangig ueber Multicast DNS (mDNS alias Bonjour[tm] alias
Zeroconfig[tm]) aufgeloest wird, und erst wenn mDNS /fehlschlaegt/
(d.h. gar keine Antwort kommt) kommt der Fallback auf Unicast-DNS
gemaess den Resolver-einstellungen (die z.B. via DHCP vorgegeben
werden, oder manuelle eingetragen sind).
Sollte ein mDNS Responder im Netz sein, gibts idR. keine Unicast DNS
anfragen nach *.local - auch wenn du keine sinnvollen Antworten
bekommst.
Post by BaÅar Alabayein kleiner Schritt sein. Wenn ich mich von draußen per VPN reinhänge,
habe ich doch auch eine IP-Adresse in diesem Netz. Zwar nicht vom
Das ist ein Transfernetz. Der VPN-Router stellt ein Layer-3 GAteway zu
deinem LAN dar, routet also alles (Unicast halt, multicast eben genau
nicht weil das die FB 7170 nicht kann).
Post by BaÅar AlabayDHCP-Server vergeben ? man stellt ja vorher die IP Adresse außerhalb der
DHCP-Range ein ? aber im gleichen Netz »zu Hause«.
Wenn deine FB auf VPN seite wirklich eine IP Addresse aus dem LAN
vergibt, dannn NATted sie ueberdies auch noch (Identity NAT in dem
Fall, was quasi einem ARP-Proxy entspricht - denn umgeschrieben muss
ja nix werden), aber sie tut in jedem fall eines: Routen. Auch wenn
das Setup krank ist. Das mag aussehen wie L2, ist aber L3.
Beschwer dich bei AVM fuer diesen Mist.
Da das aber trotz wiedersinnigem Aussehen Layer-3 ist, funktioniert da
kein Multicast. Und Layer-3 ist das wegen IPSEC.
Post by BaÅar AlabayIch meine, wenn dieser Klacks jetzt so kompliziert ist ? wozu gibt es
dann VPN in den Routern? :-/
Wegen der Sicherheit. Ungefaehre Repraesentation:
|[plain]----------------------------[L2TP]-----------[IPSEC]------|
Bequem Sicher
HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)