slayer1337
Goto Top

Betriebssystem bzw. Software zum erstellen von Site-to-Site VPN verbindungen

Hallo Administrator Gemeinde,

ich habe in der Berufsschule eine Aufgabe bekommen bei der ich ein wenig Hilfe von euch gebrauchen könnte.

Die Aufgabe sieht vor eine Site-to-Site VPN verbindung zwischen 2 Rechnern im Schulnetz aufzubauen, auf jedem Rechner soll ein Virtueller Client (Windows 7) vorhanden sein und eine weitere VM welche mit einem beliebigen Betriebssystem aufgesetzt werden darf welche dann die Site-to-Site Verbindung aufbaut (beide VMs im gleichen Netz) welche der VM Client mit nutzt.

Ich bin nun auf der Suche nach verschiedenen Betriebssystemen welche die Funktion einer Site-to-Site Verbindung mit sich bringen. Da es da ja eine Vielzahl an Betriebssystemen und Softwarelösungen gibt dachte ich mir ich Frage einfach mal euch was Ihr nutzt, bzw. welche Softwarelösungen Ihr kennt um die Aufgabe zu realisieren, damit ich eine kleines "Sammelsurium" an Ideen für mich habe mit denen ich mich anschließend beschäftigen kann und anschließend eine Auswahl treffen kann.

Vielen Dank im voraus

slayer1337

Content-ID: 296528

Url: https://administrator.de/forum/betriebssystem-bzw-software-zum-erstellen-von-site-to-site-vpn-verbindungen-296528.html

Ausgedruckt am: 05.04.2025 um 13:04 Uhr

TlBERlUS
TlBERlUS 17.02.2016 um 11:20:34 Uhr
Goto Top
Hi,

sicher das du die Aufgabe richtig beschreibst?

Site-to-Site
(beide VMs im gleichen Netz)
Das müsste dann eher End-to-End Verbindung sein.
Site-to-Side wird meines Wissens nach nicht über die Betriebssysteme des Rechners gelöst, sondern via Firewall/Router.
chiefteddy
chiefteddy 17.02.2016, aktualisiert am 25.02.2016 um 09:01:33 Uhr
Goto Top
Hallo,

wenn ich das richtig verstehe, hast Du einen Win7-Client (als VM) und einen Router/Firewall/VPN-Server als Software-Lösung (ebenfalls als VM) auf der einen Seite und das gleiche auf der anderen Seite. Zwischen den beiden Router/Firewall/VPN-Servern soll ein Tunnel aufgebaut werden.

Als Basis für diese softwarebasierte Router/Firewall/VPN-Server-Lösung gehen doch fast alle (Server-) Betriebssysteme: Win-Server, Linux. Einige Firewall/UTM-Hersteller bieten auch fertige Appliances (fertige VMs zum Download) für diesen Zweck an.

https://openvpn.net/index.php/access-server/download-openvpn-as-vm.html


Jürgen
slayer1337
slayer1337 17.02.2016 um 12:42:17 Uhr
Goto Top
Ja genau, das ist richtig chiefteddy. Genau wegen dieser Vielfalt frage ich ja womit Ihr persönlich gute Erfahrungen gemacht habt also was ihr mir empfehlen könnt. In meinem Ausbildungsbetrieb nutzen wir dazu Sophos, da ich aber etwas neues Probieren möchte scheidet diese quasi aus.
chiefteddy
chiefteddy 17.02.2016 um 13:52:09 Uhr
Goto Top
Hallo,

durch Deine Festlegung auf eine Software-Lösung schränkst Du die Auswahl aber sehr ein!

Prinzipiell ist ein Standard-Betriebssystem als Unterbau einer Sicherheitslösung immer eine schlechte Wahl. Bei einem "normalen" Betriessystem werden immer eine vielzahl von Funktionen und Diensten mitinstalliert, die für die geplante Funktion einer Sicherheits-Appliance gar nicht notwendig sind. Und jeder Dienst/Funktion, die installiert aber nicht benötigt wird, ist ein Sicherheitsrisiko!
Deshalb gibt es ja auch zB. spezielle, "abgespeckte" Linux-Derivate für diesen Zweck. Man schpricht dann von "gehärteten" Linux-Installationen.

Ich persönlich setze aus diesem und anderen Gründen Hardware-Lösungen ein. Im Konkreten eine Lösung von SonicWall (jetzt bei Dell): TZ 215

Jürgen
slayer1337
slayer1337 17.02.2016 um 14:08:27 Uhr
Goto Top
Okay, da hast du recht chiefteddy habe mich wieder etwas falsch ausgedrückt, entschuldigt! Dann frage ich anderes, was gibt es generell für Lösungen die mit VMs realisiert werden können mit denen ihr/du erfahrung habt oder was gibt es womit ihr keine habt was ich aber ausprobieren könnte, kann auch nachträglich einen kleinen "Testbericht" zur lösung schreiben. Das ganze muss sowieso als Vorbereitung auf das Abschlussprojekt Dokumentiert werden.
chiefteddy
chiefteddy 17.02.2016 um 15:19:33 Uhr
Goto Top
Hallo.

Nochmal: eine Softwarelösung wie von Dir beschrieben, noch dazu als VM auf einem Host, auf dem auch andere VMs sicher betrieben werden sollen, ist für eine Produktiv-Umgebung eigentlich nicht akzeptabel. Das Risiko, das ein potentieller Angreifer aus dem Sicherheitsbereich "ausbricht", ist viel zu groß. Hier sollte man auf dedizierte Hardware-Lösungen orientieren (,deren Firmware häufig ja auch auf Linux basiert).

Um nur das Prinzip zu ergründen geht natürlich eine Lösung mit VMs. Hier reicht doch aber schon ein Linux, das "gehärtet" wird

( http://www.online-tutorials.net/security/ein-sicheres-linux-system-aufs ... ;

https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=we ... ;

http://www.heise.de/ix/artikel/Pinguin-Patrol-506286.html )

und OpenVPN ( https://openvpn.net/ ).

Jürgen
slayer1337
slayer1337 17.02.2016 um 16:25:57 Uhr
Goto Top
Genau darum geht es ja, das ganze wird als Übung in der Berufsschule gemacht, daher das ganze auch als VM, es soll nur zur Demonstration dienen.
chiefteddy
chiefteddy 17.02.2016 um 17:36:23 Uhr
Goto Top
OK.

Dann nimm Linux, "härte" es und installiere/konfiguriere openVPN.

Dann kannst Du Dich "austoben" bis zum Umfallen.


Jürgen

PS: Vom Banana Pi gibt es auch eine Router-Variante. Da könntest Du Dich mit Raspian auch austoben.

https://www.conrad.de/de/banana-pi-router-1-gb-ohne-betriebssystem-banan ...

http://sven-goessling.de/10/02/2015/openwrt-banana-pi-router-bpi-r1-fir ...

http://www.pc-magazin.de/ratgeber/banana-pi-r1-router-anleitung-openwrt ...
slayer1337
slayer1337 18.02.2016 um 08:56:34 Uhr
Goto Top
Vielen Dank Jürgen, den Banana Pi werde ich mir mal für zu Hause bestellen, klingt wirklich interessant das Teil!
the-buccaneer
the-buccaneer 20.02.2016 aktualisiert um 04:19:53 Uhr
Goto Top
Hallo Slayer!

Leider verstehe ich deine Aufgabenstellung nicht wirklich. Da sind m.:E. Widersprüche drin. Das geht so nicht in einem Netz, denn VPN routet ja immer zwischen 2 Netzen.

Aber egal: Es spricht nichts dagegen, das als Testumgebung alles auf VM's einzurichten.

Meine VPN-Router Empfehlung: PfSense. Die lässt sich definitiv virtuell betreiben (und auch produktiv, wie man liest)

Du musst aber 6 Maschinen aufsetzen:

1.: virtueller Router A (Providernetz Schnell-DSL)
2.: virtuellle Aplliance A mit Netz A-C (lokale Einwahl in Providernetz A, lokales Netz C)
3.: virtueller Router B (Providernetz Kabel-ist-schneller)
4.: virtuelle Appliance B mit Netz B-D (lokale Einwahl in Providernetz B, lokales Netz D)
5.: virtueller Client C1 hinter Router A
6.: virtueller Client D1 hinter Router B

So hättest Du eine klassische VPN Einwahl mit Routing über Providernetz nachgebaut und auch die eigentlich letzlich relevante Client Connection von A nach B realisiert.

So würde ich es machen, fände ich mal die Zeit...

Viel Spass! face-wink

Buc
aqui
aqui 23.02.2016 aktualisiert um 11:37:00 Uhr
Goto Top
Beide Ansätze sind richtig !
Die pfSense supportet ja auch OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
In so fern kann man es auch damit lösen. Oder eben OVPN direkt auch auf einer VM mitinstallieren die das dann "nebenbei" realisiert.
Kollege buccaneer hat aber Recht. In der Regel routet man in einem VPN. Das ist aber nur ein kosmetischer Aspekt den man innerhalb des VPNs beachten muss bei der IP Adressierung.
Die Funktion der VPN Kopplung im Schulnetz ist davon nicht beeinflusst und klappt deshalb fehlerlos.
Ein Layer 2 Bridging ist mit OpenVPN generell auch möglich und damit eine L2 Kopplung aber aus Performancegründen sollte man davon immer Abstand nehmen, da auch der gesamte Broad- und Multicast Traffic mit durch den Tunnel muss.
Gut, als Testnetz in einer LAN basierten Infrastruktur ist das Thema performance sicher nicht so relevant aber wenn das über schmalbandigere WAN Netze macht schon.
Es gilt wie immer der goldene Netzwerker Grundsatz: Route where you can, bridge where you must...!
the-buccaneer
the-buccaneer 25.02.2016 um 03:01:40 Uhr
Goto Top
Kollege buccaneer sagt: jau. aber: Wenn denn das Routing eben kein essentieller Bestandteil des VPN ist, warum ist es dann nicht möglich, innerhalb eines /24 Netzes VPN zu betreiben? Warum müssen immer beide Subnetze verschiedene Ranges haben? Weil es routen können muss???

Und warum ist der Beitrag gelöst, ohne, dass eine Lösung markiert, oder beschrieben ist? Weil mal wieder ein kleiner Azubi hier die Lösung für seine Hausaufgabe wollte und wir drauf reingefallen sind?

Mann, slayer: Etwas Feedback. Bitte. Oder ewige Verdammnis. (Wir machen das doch eigentlich gern)

Buc
slayer1337
slayer1337 25.02.2016 um 08:28:25 Uhr
Goto Top
Hi buccaneer,
das Routing ist kein Bestandteil der Aufgabe, es wäre höchstens ein netter Zeitvertreib für mich. Die beiden Hardware Maschinen stehen im gleichen Netz, in diesem Fall quasi das WAN. Die Firewall VM und die Client VM bilden jeweils ein eigenes Netz, sprich ich habe 2 sich nicht sehende und auch nicht kennende Netze. Allerdings muss dieses nicht geroutet werden. Da ich in der Firewall jeweils eine Ziel IP eintrage. Diese Ziel IP ist die IP des Hardware Client. Also in dem Fall quasi eine Feste externe IP im WAN. Lediglich in der Firewall wird geroutet da das Grundprinzip von VPN ja die sichere Verbindung 2er Verschiedener Netze über das unsichere WAN ist. Also nein, es wird keine Router VM aufgesetzt.

Das ganze wurde als gelöst markiert weil ich einfach nur ein paar Lösungsansätze haben wollte sprich einfach ein paar Firewalls genannt bekommen wollte welche ich nutzen kann um das ganze zu Realisieren. Ich wollte weder eine Lösung haben noch irgend welche vorkonfigurierten Firewalls. Das ganze jetzt so dar zu stellen als ob ihr meine Hausaufgaben macht finde ich nicht okay. Ich wollte lediglich konstruktive Vorschläge für eine Firewall haben. Diese wurden mir schon zu beginn von Chiefteddy gegeben, aus diesem Grund habe ich die Frage als gelöst Markiert.

Ich verstehe auch nicht was du mit Feedback meinst, alles was im diesem Thread steht hilft mir, ich kann nicht sagen das nur einer von euch mir geholfen hat. Außerdem hatte ich die letzten Tage wenig Zeit mich mit dem Thema zu befassen.
aqui
aqui 25.02.2016 aktualisiert um 13:49:33 Uhr
Goto Top
Hier findest du ein paar Lösungen aus der Praxis die genau dein Testumfeld als Basis haben:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
slayer1337
slayer1337 25.02.2016 um 14:07:19 Uhr
Goto Top
Danke aqui, werde mir das ganze mal anschauen und mich dann entscheiden. Mein Ausbilder hätte gerne das ich die Sophos UTM XG nehme damit ich mit dem neuen OS umgehen kann, meinte aber das es kein muss ist. Also mal sehen!
aqui
aqui 25.02.2016, aktualisiert am 26.02.2016 um 17:17:43 Uhr
Goto Top
Neues OS ??? Diese Teile haben doch alle nur noch ein Klicki Bunti Interface für Winblows Knechte...
Das OS was da drunter werkelt bekommst du gar nicht zu Gesicht. Da fehlt dem Ausbilder wohl der Durchblick...?!
Und Ausbildung an einem kommerziellen Produkt hat ja auch ein "Geschmäckle"...aber egal.
slayer1337
slayer1337 26.02.2016 um 08:18:59 Uhr
Goto Top
Ich weiß was du meinst aqui. Ich denke da genauso würde lieber mit einem Terminal arbeiten, aber egal. Kommerziell ist bei dieser Firewall allerdings relativ, es gibt ja das angebot der Sophos XG Home, die Softwarelösung für Privathaushalte, dort ist die Lizenz kostenlos verfügbar man muss eben seine Daten angeben. Dann ist natürlich auch ein gewisser Beigeschmack dabei.

Neues OS war etwas schlecht ausgedrückt, eher neue GUI.