Fernwartung über einen VPN Tunnel
kennt jemand die SINA (sichere inter- netzwerk architektur)?
moin
wir haben uns entschlossen unsere server fernwarten zu wollen. da wir mit sensiblen daten zu tun haben wollen wir die vom BSI zertifizierte SINA lösung einsetzen. kennt sich vielleicht jemand damit aus oder hat so etwas schon einmal realisiert? besonders würde mich interessieren ob es irgendwelche fallen gibt auf die ich hereinfallen kann.
als zweites hat unser provider zur auflage gemacht das alle zugriffe vom internet auf das netz in das wir auch integriert sind über ein VPN gateway von unserem provider zu erfolgen haben. für diesen zweck ist es notwendig einen vpn tunnel von fernwarter bis zu unserem provider aufzubauen und durch diesen tunnel einen weiteren tunnel zu schicken der von den SINA geräten aufgebaut wird. also vom fernwarter bis zu uns.
deswegen meine frage kann ich so einfach einen VPN tunnel durch einen andren VPN tunnel schicken? oder gibt es da große probleme?
würde mich freuen falls da jemand erfahrungen hat die er mit mir teilen kann.
moin
wir haben uns entschlossen unsere server fernwarten zu wollen. da wir mit sensiblen daten zu tun haben wollen wir die vom BSI zertifizierte SINA lösung einsetzen. kennt sich vielleicht jemand damit aus oder hat so etwas schon einmal realisiert? besonders würde mich interessieren ob es irgendwelche fallen gibt auf die ich hereinfallen kann.
als zweites hat unser provider zur auflage gemacht das alle zugriffe vom internet auf das netz in das wir auch integriert sind über ein VPN gateway von unserem provider zu erfolgen haben. für diesen zweck ist es notwendig einen vpn tunnel von fernwarter bis zu unserem provider aufzubauen und durch diesen tunnel einen weiteren tunnel zu schicken der von den SINA geräten aufgebaut wird. also vom fernwarter bis zu uns.
deswegen meine frage kann ich so einfach einen VPN tunnel durch einen andren VPN tunnel schicken? oder gibt es da große probleme?
würde mich freuen falls da jemand erfahrungen hat die er mit mir teilen kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5071
Url: https://administrator.de/forum/fernwartung-ueber-einen-vpn-tunnel-5071.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
6 Kommentare
Neuester Kommentar
Ich finde den Weg den Ihr gehen wollt etwas umständlich.
Wäre es denn nicht einfacher z.B. einen ISA-Server vor Euer Subnetz zu schalten?
Dann wären die VPN-Endpunkte Eure "Fernwarter" und Euer ISA-Server.
Falls Euer "Provider" eine Firewall betreibt, muss auf dieser nur der entsprechende Port auf Eure Firewall geforwardet werden.
Alle Dienste etc. befinden sich dann in dem VPN-Tunnel.
Gruß,
Stefan
Wäre es denn nicht einfacher z.B. einen ISA-Server vor Euer Subnetz zu schalten?
Dann wären die VPN-Endpunkte Eure "Fernwarter" und Euer ISA-Server.
Falls Euer "Provider" eine Firewall betreibt, muss auf dieser nur der entsprechende Port auf Eure Firewall geforwardet werden.
Alle Dienste etc. befinden sich dann in dem VPN-Tunnel.
Gruß,
Stefan
@ Andreas
Haben Dein Problem hier gestern mal diskutiert. Und sind generell zu dem Entschluß gekommen:
Geht nicht, gibt es nicht..........
Wir sind gerade dabei in unserem Werkstattbereich ein ähnliches Szenario nachzubauen.
Denn: Prinzipiell sollte es möglich sein einen VPN-Tunnel durch einen anderen zu schicken.
Die Umsetzung wird wohl das Problem sein,....... so viel zum Thema frickelarbeit.
Ich denke aber das, das was ich Dir vorgeschlagen habe (vielleicht auch nicht in dieser Form) einen Teil der Lösung darstellen wird.
Wenn man das ganze mal wie folgt betrachtet (sorry, aber ich komme in diesem Beispiel wieder auf den ISA-Server zurück, aber es ist mich leichter nachzuvollziehen):
Man baut von einem Standort zum anderen Standort (sprich Server zu Server) eine Standort-VPN-Verbindung auf. Damit wären die Tunnelendpunkte die Server.
Warum sollte es also nicht möglich sein, von einem Client hinter dem einen Server eine weitere VPN-Verbindung (in der bestehenden VPN-Verbindung) zu einem Server hinter dem 2.ten Endpunkt aufzubauen?
Persönlich denke ich, das das größte Problem sein wird, das Routing des 2.ten VPN-Tunnels zu handeln.
Was den Datentransfer anbelangt, dürfte sich dieser nicht künstlich vergrößern und somit die Leitung "verstopfen".
Vielleicht könnte man einen Teil Deiner angestrebten Lösung eventuell auch über Zertifikate lösen.
Ich bin auch schon gespannt was hier in unserem Szenario passieren wird. Sollten wir zu einer aktzeptablen Lösung kommen. Werden wir Dir diese sicherlich mitteilen.
Haben Dein Problem hier gestern mal diskutiert. Und sind generell zu dem Entschluß gekommen:
Geht nicht, gibt es nicht..........
Wir sind gerade dabei in unserem Werkstattbereich ein ähnliches Szenario nachzubauen.
Denn: Prinzipiell sollte es möglich sein einen VPN-Tunnel durch einen anderen zu schicken.
Die Umsetzung wird wohl das Problem sein,....... so viel zum Thema frickelarbeit.
Ich denke aber das, das was ich Dir vorgeschlagen habe (vielleicht auch nicht in dieser Form) einen Teil der Lösung darstellen wird.
Wenn man das ganze mal wie folgt betrachtet (sorry, aber ich komme in diesem Beispiel wieder auf den ISA-Server zurück, aber es ist mich leichter nachzuvollziehen):
Man baut von einem Standort zum anderen Standort (sprich Server zu Server) eine Standort-VPN-Verbindung auf. Damit wären die Tunnelendpunkte die Server.
Warum sollte es also nicht möglich sein, von einem Client hinter dem einen Server eine weitere VPN-Verbindung (in der bestehenden VPN-Verbindung) zu einem Server hinter dem 2.ten Endpunkt aufzubauen?
Persönlich denke ich, das das größte Problem sein wird, das Routing des 2.ten VPN-Tunnels zu handeln.
Was den Datentransfer anbelangt, dürfte sich dieser nicht künstlich vergrößern und somit die Leitung "verstopfen".
Vielleicht könnte man einen Teil Deiner angestrebten Lösung eventuell auch über Zertifikate lösen.
Ich bin auch schon gespannt was hier in unserem Szenario passieren wird. Sollten wir zu einer aktzeptablen Lösung kommen. Werden wir Dir diese sicherlich mitteilen.