zool
Goto Top

Fernwartung über einen VPN Tunnel

kennt jemand die SINA (sichere inter- netzwerk architektur)?

moin

wir haben uns entschlossen unsere server fernwarten zu wollen. da wir mit sensiblen daten zu tun haben wollen wir die vom BSI zertifizierte SINA lösung einsetzen. kennt sich vielleicht jemand damit aus oder hat so etwas schon einmal realisiert? besonders würde mich interessieren ob es irgendwelche fallen gibt auf die ich hereinfallen kann.

als zweites hat unser provider zur auflage gemacht das alle zugriffe vom internet auf das netz in das wir auch integriert sind über ein VPN gateway von unserem provider zu erfolgen haben. für diesen zweck ist es notwendig einen vpn tunnel von fernwarter bis zu unserem provider aufzubauen und durch diesen tunnel einen weiteren tunnel zu schicken der von den SINA geräten aufgebaut wird. also vom fernwarter bis zu uns.

deswegen meine frage kann ich so einfach einen VPN tunnel durch einen andren VPN tunnel schicken? oder gibt es da große probleme?

würde mich freuen falls da jemand erfahrungen hat die er mit mir teilen kann.

Content-ID: 5071

Url: https://administrator.de/forum/fernwartung-ueber-einen-vpn-tunnel-5071.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

VNS
VNS 23.12.2004 um 21:50:24 Uhr
Goto Top
Hallo erst einmal,

bitte nivht sauer sein, aber entweder liegt es an der Uhrzeit, oder ich verstehe einfach den Zusammenhang nicht genau. Kannst Du dies bitte etwas genauer beschreiben? Dann kann ich Dir evenutell auch helfen.

Gruß,

Stefan
Zool
Zool 28.12.2004 um 14:54:18 Uhr
Goto Top
ok ich versuchs mal so:

wir befinden uns mit unserem net innerhalb eines anderen netzes (quasi als subnetz)

unsere server sollen ferngewartet werden.
unser provider betreibt das netz in das wir als subnetz integriert sind.

der fernwarter greift über das internet durch das netz unseres providers auf unser netz zu.
vom internet zu unserem provider soll eine vpn lösung geschaltet werden. innerhalb des netzes werden daten unverschlüsselt übertragen. unser provider sieht sein netz als sicher an wir aber nicht.

wir wollen einen vpn tunnel durch den bestehenden vpn tunnel schicken.

also ein tunnel vom fernwarter zu unseren provider damin der in das netzwerk rein kommt und ein tunnel vom fernwarter zu uns (subnetz).

hoffe das macht die sache klarer.

fragen:

kann man einen vpn tunnel durch einen bestehenden vpn tunnel schicken?
hat das schonmal einer gemacht?
gibt es große fallen auf die ich reinfallen kann?

besten dank schonmal im vorraus.
VNS
VNS 28.12.2004 um 20:51:13 Uhr
Goto Top
Ich finde den Weg den Ihr gehen wollt etwas umständlich.
Wäre es denn nicht einfacher z.B. einen ISA-Server vor Euer Subnetz zu schalten?
Dann wären die VPN-Endpunkte Eure "Fernwarter" und Euer ISA-Server.

Falls Euer "Provider" eine Firewall betreibt, muss auf dieser nur der entsprechende Port auf Eure Firewall geforwardet werden.

Alle Dienste etc. befinden sich dann in dem VPN-Tunnel.

Gruß,

Stefan
Zool
Zool 30.12.2004 um 08:37:27 Uhr
Goto Top
ja umständlich schon aber leider nötig weil die SINA lösung die einzige ist die vom BSI für fernwartung zugelassen ist. daran müssen wir uns halten. der 2. vpn tunnel muss leider auch sein weil unser provider keine anderen zugänge erlaubt.

ich weiß das es eine umständliche frickelarbeit ist aber leider ist das die einzige möglichkeit.

hast du schonmal einen vpn tunnel durch einen anderen geschickt?

wie sieht das mit den daten aus? blähen die sich künstlich durch die doppelte kapselung soweit auf das die leitung ständig dicht ist?

mfg

andreas
VNS
VNS 30.12.2004 um 09:23:44 Uhr
Goto Top
@ Andreas

Haben Dein Problem hier gestern mal diskutiert. Und sind generell zu dem Entschluß gekommen:

Geht nicht, gibt es nicht..........

Wir sind gerade dabei in unserem Werkstattbereich ein ähnliches Szenario nachzubauen.
Denn: Prinzipiell sollte es möglich sein einen VPN-Tunnel durch einen anderen zu schicken.
Die Umsetzung wird wohl das Problem sein,....... so viel zum Thema frickelarbeit.

Ich denke aber das, das was ich Dir vorgeschlagen habe (vielleicht auch nicht in dieser Form) einen Teil der Lösung darstellen wird.

Wenn man das ganze mal wie folgt betrachtet (sorry, aber ich komme in diesem Beispiel wieder auf den ISA-Server zurück, aber es ist mich leichter nachzuvollziehen):

Man baut von einem Standort zum anderen Standort (sprich Server zu Server) eine Standort-VPN-Verbindung auf. Damit wären die Tunnelendpunkte die Server.

Warum sollte es also nicht möglich sein, von einem Client hinter dem einen Server eine weitere VPN-Verbindung (in der bestehenden VPN-Verbindung) zu einem Server hinter dem 2.ten Endpunkt aufzubauen?

Persönlich denke ich, das das größte Problem sein wird, das Routing des 2.ten VPN-Tunnels zu handeln.

Was den Datentransfer anbelangt, dürfte sich dieser nicht künstlich vergrößern und somit die Leitung "verstopfen".

Vielleicht könnte man einen Teil Deiner angestrebten Lösung eventuell auch über Zertifikate lösen.

Ich bin auch schon gespannt was hier in unserem Szenario passieren wird. Sollten wir zu einer aktzeptablen Lösung kommen. Werden wir Dir diese sicherlich mitteilen.
Zool
Zool 10.01.2005 um 15:03:35 Uhr
Goto Top
jau besten dank erstmal.

das mit dem routing könnte wirklich zum problem werden. mal sehen wie wir das mit unserem provider regeln können.

Zertifikate sind sowieso unerlässlich um den externen rechner eindeutig zu identifizieren also werden wir wohl damit arbeiten.

so dann noch viel glück mit eurer arbeit an den tunneln.

Andreas