Hi,
Harald Tobias wrote:
Moin liebe Debianer,
ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran:
In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht
ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst
werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte
hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein
Subnetz. An jedem Subnetz hängt eine andere Firma.
Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter
via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c.
und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil
a) der Kunde will das so, weil
würde ich als Kunde auch wollen.
b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso
vorhanden ist.
OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen.
Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal
gemacht? Über jeden Tipp würde ich mich freuen.
IPSec ist der Standard für sowas und in komplexeren Umgebungen
allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und
eignet sich gut für kleinere Umgebungen. Allerdings skaliert es
nicht so gut wie IPSec und unterliegt gewissen Beschränkungen.
Aber das ist ja auch nicht gewünscht.
Da der Router ja schon ein BSD ist, wäre interessant welches.
Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es
gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es
aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war
allerdings ein 2.6.(8?)'ter Kernel.
Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine.
OpenBSD kann alles out of the Box was Du benötigst.
Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die
alten ini-Dateien von Windows.
Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig.
Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool,
FWBuilder.
Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann
NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu
konfigurieren.
Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt.
Für genauere Infos melde Dich einfach nochmal.