Re: VPN

To: debian-user-german@lists.debian.org
Subject: Re: VPN
From: Joerg Zimmermann <j.zimmermann@xsiteing.de>
Date: Wed, 12 Apr 2006 19:59:53 +0200
Message-id: <[🔎] 443D4019.8080802@xsiteing.de>
In-reply-to: <[🔎] 443D33AD.7050804@rald.info>
References: <[🔎] 443D33AD.7050804@rald.info>

Hi,

Harald Tobias wrote:
> Moin liebe Debianer,
> 
> ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran:
> 
> In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht
> ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst
> werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte
> hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein
> Subnetz. An jedem Subnetz hängt eine andere Firma.
> 
> Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter
> via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c.
> und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil
> 
> a) der Kunde will das so, weil

würde ich als Kunde auch wollen.

> b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso
> vorhanden ist.
> 
> OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen.
> 
> Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal
> gemacht? Über jeden Tipp würde ich mich freuen.

IPSec ist der Standard für sowas und in komplexeren Umgebungen
allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und
eignet sich gut für kleinere Umgebungen. Allerdings skaliert es
nicht so gut wie IPSec und unterliegt gewissen Beschränkungen.
Aber das ist ja auch nicht gewünscht.
Da der Router ja schon ein BSD ist, wäre interessant welches.

Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es
gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es
aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war
allerdings ein 2.6.(8?)'ter Kernel.

Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine.
OpenBSD kann alles out of the Box was Du benötigst.
Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die
alten ini-Dateien von Windows.
Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig.
Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool,
FWBuilder.
Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann
NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu
konfigurieren.
Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt.
Für genauere Infos melde Dich einfach nochmal.

-Jörg

Reply to:

Follow-Ups:
- Re: VPN
  - From: Harald Tobias <h@rald.info>

References:
- VPN
  - From: Harald Tobias <h@rald.info>

Prev by Date: Re: OT: Feste IP zu DSL Anschluss
Next by Date: Re: Nach APT::Force-LoopBreak=yes werden eth und USB Geräte nicht mehr erkannt
Previous by thread: Re: VPN
Next by thread: Re: VPN
Index(es):
- Date
- Thread