Der Extranet Group Work Server wird mit mit Unterstützung von VPN IPSEC ausschliesslich für eine Verbindung mit ihm selbst ausgeliefert. Er dient nicht dazu ein VPN zwischen zwei entfernten Netzwerken zu erstellen. IPSEC ist hier mit L2TP verbunden, was es den Benutzern erlaubt Ihre VPN Verbindung einfach mit einem Windows Assistenten einzurichten, genau so wie sie es mit einer PPTP Verbindung tun würden.



Bei einer L2TP/IPSEC Verbindung, so wie sie von Microsoft implementiert wurde, wird jedes IP Paket in PP verpackt, das wiederum in L2TP verpackt wird, welches dann noch IPSEC verschlüsselt ist. Die Authentifizierung erfolgt auf zwei Ebenen: IPSEC (mit "shared secret" oder X509 Zertifikat, siehe unten) und PPP (Mit Login/Passwort wie bei PPTP).

Die beiden mit IPSEC verwendbaren Authentifizierungsmodi sind folgende:

• Shared secret: Dies basiert darauf dass die Benutzer des VPN ein gemeinsames nur ihnen bekanntes Passwort teilen. Diese Lösung ist in Sicherheitsbelangen als beschränkt anzusehen, aber einfach zu implementieren. Dies ist die Lösung auf die wir in dieser Hilfe haupsächlich eingehen.

• X509 Zertifikat: Sehr sichere aber aufwendig zu implementierende Lösung. Es muss nämlich eine Certification Autority (CA) eingerichtet werden um die Zertifikate zur Authentifizierung zu erstellen. Diese CA muss dann ein Zertifikat für jede mit dem VPN zu verbindende Maschine erstellen.

Hinweis: Um fortfahren zu können müssen Sie über grundlegende Kenntnisse mit der Kommandozeile von Linux verfügen (SSH Verbindung, eine Datei editieren...).

• Verbinden Sie sich per SSH als Benutzer "root" mit Ihrem Server
• Editieren Sie die Datei /etc/ipsec/ipsec.secrets. Diese Datei enthält zwei Zeilen: eine zur Authentifizierung per Zertifikat und eine zur Authentifizierung per shared secret (Pre-Shared-Key oder PSK)
• In der Zeile : PSK "xxxxxx" ersetzen Sie xxxxxx durch ein Passwort Ihrer Wahl. Zögern Sie nicht ein sehr komplexes Passwort zu wählen (Gross-/Kleinschreibung, Ziffern, Sonderzeichen...), dies muss nämlich nur einmal vom Benutzer bei der Einstellung seiner Verbindung angegeben werden (danach verwenden diese immer ihr Easy Group Work Passwort wenn sie sich verbinden).
• Sichern Sie die Datei und starten Sie den IPSEC Dienst (Openswan) neu: /etc/init.d/ipsec restart
• Testen Sie die Verbindung wie in der Rubrik IPSEC in folgender hilfe beschrieben: OvpnIpsec