etests
Goto Top

Über VPN 3 Netzwerke verbinden

3 Linuxnetzwerke über Windows VPN miteinander verbinden. Welche Möglichkeiten gibt es? Ist das überhaupt realisierbar?

Hallo zusammen,

ich möchte mit euch erörtern in wie weit ein solches Projekt umsetzbar wäre.

Gegeben sind 3 Standorte. Wovon einer über einen DSL 32000 (2x 16k) und die anderen über DSL Synchron (Upload und Download ca. 1 MBit) verfügen.
In allen Netzwerken sei ein Linuxserver (Suse) vorhanden der User, Mail und Applications verwaltet.

Die Clients jedes Netzwerkes führen eine DBase Anwendung auf ihrem lokalen Server aus. Das soll sich ändern, die Anwendung soll via VPN am Standort mit dem DSL32000 ausgeführt werden.
Hierfür stehen an jedem Standort „UserGate – Server“ (Windows XP Pro und UserGate 5 1) die die VPN Verbindung aufbauen sollen und Clients über WLAN in einem getrennten IP Range den geschützten Internetzugang via UserGate ermöglichen.

Die Frage ist nun: lassen Sie die 3 Windows Kisten so mit VPN verbinden, dass auch die Linuxserver und Clients im gleichen „lokalen“ Netzwerk sind und egal von welchem Standort aus Clients auf dem Applicationserver (Standort mit DSL32k) Ihr Programm ausführen können!? Ohne dass die Linuxserver oder gar Linuxclients eine eigene VPN Verbidnung aufbauen müssen...

Wenn ja ist dies mit den vorhandenen Bordmitteln möglich (XP limitiert ja VPN auf 1 Verbindung) oder gibt es brauchbare Thirdparty-Tools?
Ich bedanke mich im Voraus und freue mich auf eine angenehme Diskussion.
Viele Grüße

Content-ID: 115890

Url: https://administrator.de/contentid/115890

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

maretz
maretz 12.05.2009 um 14:57:47 Uhr
Goto Top
Moin,

klar geht das... bei linux z.B. mittels openswan... (wir haben hier über eine entsprechende Hardware - Astaro Security Gateways) aktuell glaub ich 10 Netzwerke gekoppelt... 3 is also kein thema... face-smile

Du machst nen Tunnel von Standort A -> B , A -> C und B -> C

Wenn jetzt noch A, B & C in verschiedenen Subnetzen liegen is das thema erledigt face-smile
aqui
aqui 12.05.2009, aktualisiert am 18.10.2012 um 18:38:11 Uhr
Goto Top
Oder 3 DSL Router (z.B. Draytek) mit VPN Funktion die dann völlig unabhängig von Servern und Clients die VPNs realisieren.
http://www.draytek.de/Beispiele_html/VPN/LAN-LAN-IPSec.htm

Mit allen Komponenten kann man dann arbeiten als ob alle Netze lokal wären, also letztlich genau das was du willst !
Die Verwendung unterschiedlicher IP Netzen an den Standorten wie maretz bereits angeführt hat ist aber zwingend notwendig bei VPNs.

Kostenfreie Alternativen außer OpenVPN die sich in bestehende Strukturen integrieren lassen sind dann noch Firewall Lösungen wie Monowall oder IPcop...usw. die auch in Kombination miteinander oder anderen IPsec Geräten funktionieren:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Generell ist das ein absolutes Standardszenario in der Vernetzung von Standorten was du machen willst. Nicht besonderes in der Umsetzung und und zigtausendfach im Einsatz.
Technisch ist die Router oder FW Lösung am besten, denn die befreit dich von weiterer Frickelei auf den Servern.
ETESTS
ETESTS 12.05.2009 um 15:14:54 Uhr
Goto Top
Wie schön dass wenigstens in diesem Forum noch KnowHow verbreitet wird und "Unwissende" nicht gleich zu nichte gemacht werden. Ein Lob an diese Community, hier fühlt man sich wohl.

Machen wir's mal so:

Haupstandort DSL32k --> A
Synchron DSL 1 --> B
Synchron DSL 2 --> C

Anwendungen sollen an A ausgeführt werden.

Hardwareanschaffungen sollten sich in Grenzen halten.

Wenn ich nun die Windows Kisten an allen drei Standorten (Windows 2003 Lizenz wäre eventuell sogar vorhanden) verbinde:

B --> A
C --> A

Sollen die Clients in Netz B und C auf den Serevr in (A) zugreifen können ohne dass diese eine eigene VPN Verbindung aufbauen müssen. Nehme an da kommt Windows XP Pro an seine Grenzen? Am I right?
aqui
aqui 12.05.2009 um 15:30:14 Uhr
Goto Top
Ja, XP kann nur in der Pro Version einen einzigen PPTP Tunnel betreiben:

http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Damit wirst du definitiv nichts !!! Also gleich vergessen zumal PPTP nicht das allersicherste ist !

2k3 wäre eine Alternative. Da die Server aber vermutlich hinter einem NAT Router stehen musst du absolut sicherstellen das die Router VPN Passthroug bzw. ein Portforwarding für dein verwendetes VPN Protokoll supporten was auch immer das denn ist PPTP, IPsec, SSH usw.
Können die das nicht hast du ein Problem oder müsstest die Win Server direkt im Internet exponieren wovon man dir aus bekannten Gründen nur dringenst abraten kann !
Weiterer Nachteil ist das die Funktion deiner Standortvernetzung (VPNs) von der Verfügbarkeit der Server und all seiner Komponenten abhängt. Von den Stromkosten mal ganz abgesehen...
Ein Umstand den ein simpler VPN Router nicht hat !

Preiswerte Alternative sind dann die Linux Server mit OpenVPN z.B. aber auch da benötigst du ein o.a. Port Forwarding sollten sich NAT Router davor befinden !
Ebenso besteht wieder die VPN Abhängigkeit von Servern.

Wie gesagt: Technisch ist eine FW oder Routerlösung am einfachsten zu realisieren !
Arch-Stanton
Arch-Stanton 12.05.2009 um 16:43:40 Uhr
Goto Top
Dem kann man nur zustimmen. Ich habe gerade für ein "günstiges" Projekt drei LancomRouter (1711-Serie) ersteigert und dafür um die 600 EURO ausgegeben. Das Vernetzen ist damit ein Kinderspiel, wenn man ein wenig Anleitung bekommt.

Die Versuche mit Windows und VPN und server (liegen preislich ja weit darüber) würde ich mir heute nicht mehr antun. Ich habe in den Anfängen auch viel mit MonoWall/ipCop gearbeitet, hat alles ganz gut funktioniert, aber mit vernünftigen Hardwareroutern geht es einfach schneller und sieht auch besser aus.

Gruß, Arch Stanton
ETESTS
ETESTS 12.05.2009 um 17:14:32 Uhr
Goto Top
Danke für die prompte Unterstützung.

Also fasse ich mal zusammen:

Ich könnte es mit Win2k3 realisieren, müsste aber an den Standleitungen den Server ungeschützt an die DMZ hängen, was clevererweise unterlassen werden sollte. Da an den Standleitungen die Telekom die Router vorschreibt, könnte ich hier ein Problem mit dem Tausch bekommen, würde es ebenso funktionieren einen VPN-Router (zum Bsp. einen guten Draytek) an den DMZ Anschluss mit eigener fester IP ins Netz zu stellen?

Banal gesagt, kaufe ich 3 schöne VPN Router, tasuche die vorhandenen aus und alle 3 Standorte finden sich im gleichen Netzwerk?

Viele Grüße
aqui
aqui 12.05.2009 um 17:23:07 Uhr
Goto Top
Nicht ganz....
Unterschiedliche IP Netze benötigst du schon in den Standorten, ansonsten ist ein VPN nicht möglich !
Es verhält sich dann aber mit VPN so als ob du lokal routest. Auf den Endgeräten ist lediglich ein Default gateway anzugeben und gut ist.

Etwas unklar ist deine Internetanbindung.....
  • Hast du vom Provider Router gestellt bekommen ??
  • Stellen die ein transparentes öffentliches Subnetz in den Standorten zur Verfügung ???
  • Mit NAT oder ohne ??
  • ...oder hast du lediglich normale DSL Anschlüsse (Splitter Modem etc.

Wenn du Router hast die dir ein Subnetz zur Verfügung stellen und eine Ethernet Schnittstelle ins Internet, dann benötigst du VPN Router ohne ein integriertes DSL Modem !!
ETESTS
ETESTS 12.05.2009 um 17:36:33 Uhr
Goto Top
nicht ganz, ist nicht gut...

aqui, unterschiedliche IP-Netze stellen das kleinste Problem dar. Wenn alle Netzwerke verbunden sind, erfolgt das Routing über den VPN-Router? Dann könnten in (B) und (C) die lokalen Server wegfallen oder als Backup-Variante genutzt werden.

Es liegen unterschiedliche Verbindungen an. Da es sich um gemeinnützige Einrichtungen handelt, ist die Änderung der Internetzugänge kaum realisierbar.

Am Serverstandort (A) wird über 2 DSL Anschlüsse (je 16k) und mit einem Router, der sich über 2 T-Online-Modems (und auch 2 Splitter) einwählt eine Internetverbindung aufgebaut. Hier ist NAT vom Router mit dabei.

An den Standorten (B) und (C) liegen jeweils Synchron-DSL Anschlüsse mit fester IP Adresse an. Die dort verwendetetn Router (leider nocht nicht genauer bestimmt) bieten an LAN 1 - 3 normale Routerfunktionen inkl. NAT und an LAN 4 die sogenannte DMZ, die den dort angeschlossenen Server direkt mit eigener IP ins Internet stellt und alle Anfragen ungebremst zu ihm weiterleitet.

Ich hoffe es ist nun mehr licht im dunkel, bezüglich der Anbindungen.

Vielen Dank!
aqui
aqui 13.05.2009 um 17:14:56 Uhr
Goto Top
Ja...
Standort A: Draytek-2910 mit 2 Ports als Load Balancing Router mit gegenseitigem Failover.
Standorte B und C: Draytek-2700 oder Draytek-2200 je nachdem ob dort ein DSL Modem vorhanden ist oder nicht.

Oder eben alternative VPN DSL Router.
Damit ist deine VPN Vernetzung der 3 Standorte gelöst !
ETESTS
ETESTS 15.05.2009 um 15:36:34 Uhr
Goto Top
Hallo aqui,

super und vielen Dank für das genaue Herraussuchen der Router. Bin im VPN-Bereich wirklich frischling, und mache das nur nebenbei, eben alles gemeinnützig. Erlaubt mir noch eine Frage.

Sehe ich das richtig, dass alle Netzwerke lokal in einem anderen IP-Range sein müssen? Sie aber dann durch das VPN im gemeinsamen Netz platziert werden, sodass Clients entfernter Standorte auf (A) ohne Weiteres Zugriff bekommen (korrekte Rechte vorrausgesetzt).
Arch-Stanton
Arch-Stanton 15.05.2009 um 15:50:55 Uhr
Goto Top
Das ist korrekt, also niemals gleiche Subnetze verwenden. Der Router routet die Netzwe zusammen, sozusagen.

Gruß, Arch stanton
ETESTS
ETESTS 15.05.2009 um 16:37:35 Uhr
Goto Top
Super. Klingt verhälltnismäßig einfach. face-smile

Abschließend vielen vielen Dank.