Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Fernwartung über einen VPN Tunnel

Mitglied: Zool

kennt jemand die SINA (sichere inter- netzwerk architektur)?

moin

wir haben uns entschlossen unsere server fernwarten zu wollen. da wir mit sensiblen daten zu tun haben wollen wir die vom BSI zertifizierte SINA lösung einsetzen. kennt sich vielleicht jemand damit aus oder hat so etwas schon einmal realisiert? besonders würde mich interessieren ob es irgendwelche fallen gibt auf die ich hereinfallen kann.

als zweites hat unser provider zur auflage gemacht das alle zugriffe vom internet auf das netz in das wir auch integriert sind über ein VPN gateway von unserem provider zu erfolgen haben. für diesen zweck ist es notwendig einen vpn tunnel von fernwarter bis zu unserem provider aufzubauen und durch diesen tunnel einen weiteren tunnel zu schicken der von den SINA geräten aufgebaut wird. also vom fernwarter bis zu uns.

deswegen meine frage kann ich so einfach einen VPN tunnel durch einen andren VPN tunnel schicken? oder gibt es da große probleme?

würde mich freuen falls da jemand erfahrungen hat die er mit mir teilen kann.

Content-Key: 5071

Url: https://administrator.de/contentid/5071

Ausgedruckt am: 05.12.2021 um 21:12 Uhr

Mitglied: VNS
VNS 23.12.2004 um 21:50:24 Uhr
Goto Top
Hallo erst einmal,

bitte nivht sauer sein, aber entweder liegt es an der Uhrzeit, oder ich verstehe einfach den Zusammenhang nicht genau. Kannst Du dies bitte etwas genauer beschreiben? Dann kann ich Dir evenutell auch helfen.

Gruß,

Stefan
Mitglied: Zool
Zool 28.12.2004 um 14:54:18 Uhr
Goto Top
ok ich versuchs mal so:

wir befinden uns mit unserem net innerhalb eines anderen netzes (quasi als subnetz)

unsere server sollen ferngewartet werden.
unser provider betreibt das netz in das wir als subnetz integriert sind.

der fernwarter greift über das internet durch das netz unseres providers auf unser netz zu.
vom internet zu unserem provider soll eine vpn lösung geschaltet werden. innerhalb des netzes werden daten unverschlüsselt übertragen. unser provider sieht sein netz als sicher an wir aber nicht.

wir wollen einen vpn tunnel durch den bestehenden vpn tunnel schicken.

also ein tunnel vom fernwarter zu unseren provider damin der in das netzwerk rein kommt und ein tunnel vom fernwarter zu uns (subnetz).

hoffe das macht die sache klarer.

fragen:

kann man einen vpn tunnel durch einen bestehenden vpn tunnel schicken?
hat das schonmal einer gemacht?
gibt es große fallen auf die ich reinfallen kann?

besten dank schonmal im vorraus.
Mitglied: VNS
VNS 28.12.2004 um 20:51:13 Uhr
Goto Top
Ich finde den Weg den Ihr gehen wollt etwas umständlich.
Wäre es denn nicht einfacher z.B. einen ISA-Server vor Euer Subnetz zu schalten?
Dann wären die VPN-Endpunkte Eure "Fernwarter" und Euer ISA-Server.

Falls Euer "Provider" eine Firewall betreibt, muss auf dieser nur der entsprechende Port auf Eure Firewall geforwardet werden.

Alle Dienste etc. befinden sich dann in dem VPN-Tunnel.

Gruß,

Stefan
Mitglied: Zool
Zool 30.12.2004 um 08:37:27 Uhr
Goto Top
ja umständlich schon aber leider nötig weil die SINA lösung die einzige ist die vom BSI für fernwartung zugelassen ist. daran müssen wir uns halten. der 2. vpn tunnel muss leider auch sein weil unser provider keine anderen zugänge erlaubt.

ich weiß das es eine umständliche frickelarbeit ist aber leider ist das die einzige möglichkeit.

hast du schonmal einen vpn tunnel durch einen anderen geschickt?

wie sieht das mit den daten aus? blähen die sich künstlich durch die doppelte kapselung soweit auf das die leitung ständig dicht ist?

mfg

andreas
Mitglied: VNS
VNS 30.12.2004 um 09:23:44 Uhr
Goto Top
@ Andreas

Haben Dein Problem hier gestern mal diskutiert. Und sind generell zu dem Entschluß gekommen:

Geht nicht, gibt es nicht..........

Wir sind gerade dabei in unserem Werkstattbereich ein ähnliches Szenario nachzubauen.
Denn: Prinzipiell sollte es möglich sein einen VPN-Tunnel durch einen anderen zu schicken.
Die Umsetzung wird wohl das Problem sein,....... so viel zum Thema frickelarbeit.

Ich denke aber das, das was ich Dir vorgeschlagen habe (vielleicht auch nicht in dieser Form) einen Teil der Lösung darstellen wird.

Wenn man das ganze mal wie folgt betrachtet (sorry, aber ich komme in diesem Beispiel wieder auf den ISA-Server zurück, aber es ist mich leichter nachzuvollziehen):

Man baut von einem Standort zum anderen Standort (sprich Server zu Server) eine Standort-VPN-Verbindung auf. Damit wären die Tunnelendpunkte die Server.

Warum sollte es also nicht möglich sein, von einem Client hinter dem einen Server eine weitere VPN-Verbindung (in der bestehenden VPN-Verbindung) zu einem Server hinter dem 2.ten Endpunkt aufzubauen?

Persönlich denke ich, das das größte Problem sein wird, das Routing des 2.ten VPN-Tunnels zu handeln.

Was den Datentransfer anbelangt, dürfte sich dieser nicht künstlich vergrößern und somit die Leitung "verstopfen".

Vielleicht könnte man einen Teil Deiner angestrebten Lösung eventuell auch über Zertifikate lösen.

Ich bin auch schon gespannt was hier in unserem Szenario passieren wird. Sollten wir zu einer aktzeptablen Lösung kommen. Werden wir Dir diese sicherlich mitteilen.
Mitglied: Zool
Zool 10.01.2005 um 15:03:35 Uhr
Goto Top
jau besten dank erstmal.

das mit dem routing könnte wirklich zum problem werden. mal sehen wie wir das mit unserem provider regeln können.

Zertifikate sind sowieso unerlässlich um den externen rechner eindeutig zu identifizieren also werden wir wohl damit arbeiten.

so dann noch viel glück mit eurer arbeit an den tunneln.

Andreas
Heiß diskutierte Beiträge
question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 1 TagFrageE-Mail14 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Einstreuung - Fremdspannung im Netzwerkkabel kompensieren2U1C1D3Vor 1 TagFrageNetzwerkgrundlagen14 Kommentare

Hallo zusammen! Ich muss bei einer Netzwerkinstallation zu einem Client ein Spezialkabel mit einbinden. Die vollständige Installation ist CAT6, 1000BaseT, das Spezialkabel ist aber nur ...

general
Downloadportal gesuchtdeethreeVor 23 StundenAllgemeinCloud-Dienste4 Kommentare

Guten Morgen, hat jemand eine kostenfreie / kostenfplichtige Empfehlung für diese Anforderung: Im Zuge von Corona müssen wir pro Kunde zwei Dokumente bereitstellen und dieser ...

question
Namen für Patchfeld Jacks als Kupplung gesucht gelöst StefanKittelVor 19 StundenFrageNetzwerke5 Kommentare

Hallo, bei einem Kunden kommt man bei einem 19" NetzwerkSchrank weder über die Rückseite noch üer die Seiten an die Rückseite der Geräte. Nun suche ...

general
Ticket System Open Source SolutionmannixdVor 1 TagAllgemeinWebentwicklung4 Kommentare

Hallo zusammen, ich stehe vor folgendem Problem, bzw. hätte gern ein paar Ratschläge. Unser Kunde möchte ein Ticket-System (Help-Desk) Solution. Das ganze möchte der Kunde ...

question
WLAN Lösung mit 2 APs gesuchtEDVMan27Vor 11 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo, sorry, wenn das schon wieder Jemand fragt Welche WLAN Lösungen mit Roaming gibt es? Der Router soll eine PFSense werden. Switche folgen dem WLAN-Konzept. ...

general
Empfehlung Voip ProviderdeethreeVor 23 StundenAllgemeinInformationsdienste7 Kommentare

Guten Morgen, hat jemand eine Empfehlung für einen guten Voip Anbieter ? Ich möchte meinen bestehenden DSL Vertrag bei Vodafone lösen und ggf. zu Pyur ...

question
Docker: php: entrypoint not foundUmschuelerThsVor 21 StundenFrageApache Server9 Kommentare

Moin zusammen, ich bastle gerade an einem Custom Image für Processwire und habe das Problem, wenn ich meinen Container Builde, dass der Web Container mit ...