[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: VPN

Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias:

Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich 
einfach auf ipcop gegriffen
vgl. www.ipcop.org

dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder 
presharedkey.

gruß matze.


> Joerg Zimmermann schrieb:
> > Hi,
> >
> > Harald Tobias wrote:
> >>Moin liebe Debianer,
> >>
> >>ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran:
> >>
> >>In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht
> >>ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst
> >>werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte
> >>hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein
> >>Subnetz. An jedem Subnetz hängt eine andere Firma.
> >>
> >>Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter
> >>via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c.
> >>und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil
> >>
> >>a) der Kunde will das so, weil
> >
> > würde ich als Kunde auch wollen.
> >
> >>b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso
> >>vorhanden ist.
> >>
> >>OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen.
> >>
> >>Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal
> >>gemacht? Über jeden Tipp würde ich mich freuen.
> >
> > IPSec ist der Standard für sowas und in komplexeren Umgebungen
> > allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und
> > eignet sich gut für kleinere Umgebungen. Allerdings skaliert es
> > nicht so gut wie IPSec und unterliegt gewissen Beschränkungen.
> > Aber das ist ja auch nicht gewünscht.
> > Da der Router ja schon ein BSD ist, wäre interessant welches.
>
> Ich bin mir fast sicher, daß es OpenBSD ist.
>
> > Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es
> > gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es
> > aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war
> > allerdings ein 2.6.(8?)'ter Kernel.
> >
> > Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine.
> > OpenBSD kann alles out of the Box was Du benötigst.
> > Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die
> > alten ini-Dateien von Windows.
> > Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig.
> > Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool,
> > FWBuilder.
> > Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann
> > NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu
> > konfigurieren.
> > Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt.
> > Für genauere Infos melde Dich einfach nochmal.
>
> Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und
> das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[
>
> Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD
> beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann
> *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch.....
>
> Was tut man nicht alles für Geld.
>
> Gruß - Harald

-- 
Wie fängt man ein Kaninchen?
Man setzt sich ins Gebüsch und macht das Geräusch einer wachsenden Möhre
nach!
Reply to: