Internet über VPN

Hallo,

da muss ich zustimmen, so richtig verstehe ich es auch nicht! Aber gut!
So wie ich das verstanden habe, stellst Du eine Verbindung her, mit einem Rechner, auf dem ein VPN - Server läuft. Dieser ist mit Access - Point verbunden und dient als Router in die große Wolke? Hast Du auch das IP - Forwarding angeschaltet?
Da musst Du natürlich entsprechend auch den VPN - Server als Standardgateway eintragen in der VPN - Verbindung. Mit Proxy hat das eigentlich wenig zu tun. Ich vermute mal, dass es am routing liegt.
Es gibt viele Firewalls die das können. Aber sieh Dir mal IP - Cop an. Brauchst zwar einen extra Rechner aber ich denke, dass ist das was Du willst.
Dann vergess auch mal am besten die Sache mit VPN. Dazu ist es nämlich nicht gedacht und verringert auch die Bandbreite. Gescheit mit WPA verschlüsselt, SSID ausgeschaltet und dem AP sagen, dass er nur bestimmte MAC - Adressen akzeptieren darf. Dann ist gut!

gruß

Dominik

Hast du Routing auf dem XP Rechner per Registry eingeschaltet ??? Sonst geht es nicht !

Hier:

Routing mit 2 Netzwerkkarten

steht was du machen musst mit so einem Szenario....
Ob ein zusätzliches VPN sinnvoll ist sei mal dahingestellt. WPA2 mit PSK gilt als sehr sehr sicher. Bis heute sind keine Kompromitierungen des Protokolls bekannt.
Durch den zusätzlichen VPN Overhead drückst du die Netto Datenrate auf dem WLAN Link noch weiter. Realistisch kannst du da dann mit ca. 5 Mbit/s rechnen. Wenn du mehr WLAN Clients aktiv hast wird diese Datenrate im Durchschnitt noch weiter sinken !
Ob das wirklich Sinn macht solltest du dich mal in einer stillen Stunde fragen....

sorry, aber auch ich kann diese "Topologie" nicht ganz nachvollziehen
... also wo das der tiefere Sinn liegt.

normalerweise wird so wie Du es beschreibst ein Rechner mit 2 NICs als Router ( eventuell mit Proxy)
eingesetzt. Aber ich nehme mal an das Dein AP auch gleichzeitig ein Router ist und wenn Du über
diesen per WLAN direkt ins Internet gehst umgehst Du ja quasi auch schon Deinen Server ...der ja wahrscheinlich
als Router diesen sollte.

DEnnoch solltest Du diesen Server auch in der konfiguration erreichen können da er ja auch in diesem Netzwerk
präsent ist.

Wenn du mit anderen REchnern über den Router ins www willst dann musst Du mind. auf diesen Rechner als Standardgateway die IP servers im LAN eintragen (Karte 1 ) und auch dem Server als Standardgateway die IP
deiner AP bzw. Routers der mit dem www verbunden ist ( DNS Konfig auch nicht vergessen)

MfG
Moe

Der Vorteil ist das er LAN und WLAN getrennt hat. Clients aus dem WLAN ist es dann bei entsprechender Konfig nicht so leicht möglich auf Rechner im LAN zuzugreifen oder diese zu attackieren. Wenn der AP auch gleichzeitig Internet Router ist hat er somit auch das Internet Segment zum LAN abgetrennt und könnte auf dem Server einen Proxy fürs LAN laufen lassen. In dieser Hinsicht ist das schon ein gängiges und sinnvolles Design....

den ansatz kann ich schon irgenwie nachvoll ziehen

Aber er will ja AUCH mit den WLAN Clients auf das LAN zugreifen und kann dieses deshalb nicht wirklich
sicher abschotten.

Selbst wenn er einen Proxy auf dem Server installiert könnte er damit nicht die WLAN Clients über den Proxy schicken diese würden nach wie vor direkt via Gateway ins www gehen ...

Sinn machen würde es m.E. nur wenn er wirklich eine strikte Trennung zwischen WLAN und LAN vornimmt und mit den WLAN Clients nicht auf das LAN zugreifen würde aber wie gesagt ...genau das will er ja !

MfG
Moe

Beim XP Rechner kannst ja ganz einfach ICS aktivieren, und den AP an der zweiten Netzkarte anschliessen. Da wird IP-Forwarding automatisch aktiviert.

WPA reicht doch dicke aus - wozu noch mit VPN rumfummeln. Ich kapier es nicht welchen Sinn das machen soll.
Weshalb den AP nicht einfach an nen Swich hängen im LAN, WPA mit langem key, und der Käse ist gegessen? Das knackt doch kein mensch! Vor allem nicht in deiner nachbarschaft - er muss schliesslich in Funkreichweite sein.
Es geht schliesslich um ein privates Netz, wo man bissi WLAN möchte um auch auf dem Sofa oder im Garten auf Internet und paar Files zuzugreifen. Ich würde das nicht überdimensionieren, zumal dann der XP Rechner ja auch noch ständig laufen muss, obwohl man nur mit dem Notebook bissi surfen will um mails zu lesen etc.

So wie Du es jetzt beschreibst macht das ganze schon wesentlich mehr sinn !

Allerdings brauchst Du in Deinem Router dann 3 NICs (oder einen zusätzlichen Router )
denn Dein Server muss sich ja dann gleichzeitig in 3 Netzen befinden um entsprechend vermitteln zu können.
1. Internet
2. LANSegment
3. WLANSegment

Preiswertere und flexiblere Variante wäre sicherlich die mit den 3 NICs aber dennoch würde ich Dir zu einem Router raten (den Du vielleicht ja sogar schon hast). Den Router konfigurierst Du so das er nur Verbindungen
von der IP / MAC-Adress Deines Servers annimmt, damit stellst Du sicher das auch die Rechner im LAN brav über den Proxy gehen müssen. Und konfigurierst Du Deinen Proxy auf dem Server so das er auf beiden Netzwerksegmenten lauscht (LANSegmanet und WLANSegment).

Zusätzlich solltest Du dann alle Ports auf der Firewall mind. für das WLANSegment schliessen ausgenommen der Port für den Proxy.. eventuell musst Du natürlich für den geplanten Gameserver dann nachträglich noch bestimmte Ports öffnen.

Bei der Variante mit den 3 NICs würde Dein Server dann noch den Router ersetzen.
Welche Variante für Dich die beste ist musst Du natürlich selbst entscheiden.

Viel Erfolg !
Moe

[img] http://img257.imageshack.us/img257/7085/wlanlaninternetvz0.png [/img]

Da dein WLAN AP kein Router ist, muesste der XP Rechner die Routingfunktion übernehmen, wenn Du unbedingt getrennte Netze für WLAN und LAN haben willst. Da der XP Rechner selber aber im LAN hängt, wird das garnicht so einfach. Die Pakete aus dem WLAN müssen ja auf jeden Fall durchs private LAN geleitet werden - in dieser Konstellation wirkt das recht sinnfrei.
Vielleicht kann man mit statischen Routen auf dem XP REchner deichseln, dass Pakete aus dem WLAN Netz NUR ins Internet dürfen (sowie Rückrouten). Dann ist aber eine Kommunikation von WLAN-PCs mit dem LAN erschwert.

Wiso den AP nicht ins Netz hängen und die privaten LAN Rechner mit lokalen Firewalls schützen? Des weiteren statische ARP Einträge auf den LAN PCs machen (Gateway=DSL Router MAC) so dass auch Man-in-the-Middle-Attacken ausgeschlossen sind.
VPN für deinen Einsatzzweck erscheint mir recht überdimensioniert.
Mein definitiver Vorschlag wäre demnach (gesundes Verhältnis zwischen Aufwand, Handhabbarkeit u. Sicherheitsbedarf):

-AP ins lokale Netz hängen, mit WPA absichern
-personal Firewalls auf den privaten PCs im LAN
-statische ARP Einträge auf den privaten PCs im LAN

Dann wären all Deine Erwartungen an die Lösung erfüllt, meines Erachtens.
Und der XP Rechner mit den zwei Karten müsste nicht ständig laufen, wenn mal einer ins Internet per WLAN will. Und weniger Fehlerquellen durch Einfachheit erhöhen bekanntlich die Verfügbarkeit (ausser du verbringst gerne deine Zeit mit Fehlersuche - dann würd ich freilich die Sache noch deutlich komplizierter machen, damit man ja davon ausgehen kann oft genug Probleme zu haben )

Hehe - quasi durch die Brust ins Auge!

Soll jetzt jeder deiner Kumpel, der aufs LAN zugreifen dürfen soll, nen VPN Client starten müssen?
Muss nun jeder deiner Kumpel, der einfach nur ins Internet will über dein WLAN, deinen WPA KEY UND noch deinen Proxy in seinem Browser einstellen? Du tunnelst VPN noch mal in WPA. Da kannst dich ja jedesmal wenn mal einer zu Besuch kommt erstmal auf ne halbstündige Client-Configurations Session einstellen.
Und der XP Rechner muss immer laufen und Strom fressen, obwohl man meist nur bissi WLAN braucht.

Vielleicht ist die Lösung auch Geschmackssache - ich liebe halt das einfache, das den Zweck erfüllt und vermeide das komplizierte, das Arbeit macht, fehleranfällig ist und auch den Zweck erfüllt.

Als Firewall soll Sygate oder Kerio ok sein und kosten nix.

Doch jetzt genug davon - ich gugg gleich Boxen.