mastersp
Goto Top

VPN Client - Verbindung freigeben

Hallo,

habe bei einen Kunden (Software-Entwickler) das Problem, dass diese zu mehreren Firmen per VPN eine Verbindung aufbauen müssen.
Leider "bekriegen" sich diese Clients unter einander und sind nicht miteinander auf einer Maschine kompatibel. (Dell SonicWall / OpenVPN / FortiClient / Cisco / ...)

Nun bin ich auf einer Lösungssuche und hatte eine meiner Meinung nach gut umsetzbare Idee.
Verschiedene VMs
jeweils ein VPN Client
Diese Netzwerkkarte des Clients wird freigegeben, sodass dieser Client quasi als Router fungiert
Ich setze dann Routing Einträge für diese diversen Netze und verteile das dann über diesen Rechner

Meine erste Versuchs-VM habe ich mit den Dell Sonic Wall Client ausgestattet.
Internet-Freigabe funktioniert, allerdings wird der IP-Bereich nicht über den VPN Tunnel am Client geroutet.
Die zusätzliche Netzwerkkarte welcher vom Client angelegt wird, ist ebenfalls permanent deaktiviert (VPN funkt. trotzdem -> kA für was es diesen gibt)

Wäre euch hierfür eine Software oder Ähnliches bekannt?

Danke im Voraus

Content-ID: 517107

Url: https://administrator.de/contentid/517107

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

aqui
aqui 20.11.2019 aktualisiert um 11:53:48 Uhr
Goto Top
Leider "bekriegen" sich diese Clients unter einander
Das ist so nicht richtig und sollte man als Netzwerker auch wissen ! Jedenfalls der OpenVPN Client "bekriegt" sich ganz sicher nicht mit den IPsec Clients, da er mit SSL ein völlig anderes Verfahren nutzt. Der kann also immer völlig unproblematisch koexistieren.
Das Problem ist der Zoo der IPsec Clients. Dort kann es in der Tat zu Inkompatibilitäten kommen.
Es ist aber auch meist sinnfrei immer dedizierte Clients zu nutzen zumal Windows und besonders MacOS und Linux alle Clients schon von sich aus an Bord haben.
Man kann also auch alle VPN Verbindungen so gut wie immer mit dem Windows eigenen IPsec Client bedienen. Siehe auch HIER mal als Beispiel wie man es richtig macht.

Eine weitere Option ist einen universellen Client zu verwenden wie z.B. den kostenlosen Shrew Client, der so gut wie alle IPsec VPN Verbindungen zu fast allen Herstellern universell bedienen kann:
https://www.shrew.net/support/Main_Page
Dort kann man dann alle Verbindungen mit einem simplen Mausklick in einem einzigen Client abfrühstücken wenn man unbedingt externe SW nutzen will und nicht die bordeigene vom OS selber.
Wie du siehst muss man es nur etwas intelligent handhaben statt sinnfrei für jeden Hersteller eine meist überflüssige Software zu nutzen. Besonders wenn alle VPN Verbindungen auf IPsec Standard basieren.

Auch sollte der Kunde mal überlegen ob es nicht sinnvoller ist einen VPN Router oder FW zu nutzen und dann eine Site to Site Verbindung zu den Firmen aufzubauen. Dann erübrigt sich diese Frickelei mit dem VPN Client so oder so grundsätzlich.
Hängt aber natürlich dann auch von der Security Policy dieser Firmen ab. Sinnvolle Lösungen für diese Anforderungen gibt es aber viele wie du oben sehen kannst.
mastersp
mastersp 20.11.2019 um 13:05:44 Uhr
Goto Top
Hallo,

das Problem ist, dass der Kunde sämtliche externe Firmen Softwaretechnisch betreut.
Diese Verbindungen bekommt er bei Projektabschluss von der jeweiligen IT & sämtliche Forderungen scheitern - teilweise bei große "Namhafte" Betriebe.
Das heißt wir haben keinen Einfluss wie die Gegenseite konfiguriert werden soll - sonst wäre auch mein Vorschlag IPSec Verbindungen via Site2Site.
Wäre mir das liebste, so könnte man dies auf seinen vorhandenen VPN Router anlegen.

Die Clients bekriegen sich untereinander definitiv, ich sag ja nicht der OpenVPN. Meist sind es so Hersteller wie FortiNet & Cisco (oder Dell).
Das Protokoll ist auch nicht immer IPSEC, kann auch SSL-VPN sein.

Den Shrew Client kenne ich nicht, werde ich mir anschauen. Habe nur von Greenbow gelesen, doch dieser ist auch nicht "universal" wie ich feststellen musste.

Danke für jeden weiteren Tipp!

liebe Grüße
Visucius
Visucius 20.11.2019 um 13:58:07 Uhr
Goto Top
Und wenn er für die verschiedenen Kunden evtl. einfach virtuelle Maschinen einsetzt? Wäre das eine Idee?
mastersp
mastersp 20.11.2019 um 14:08:23 Uhr
Goto Top
Das wäre die Notlösung, Problem ist nur das dann auf jeder sämtliche Entwickler-Tools und sonstiges installiert werden muss.

Mir wäre eine VM pro VPN Hersteller das liebste.
Mittels OpenVPN konnte ich den angelegten Netzwerkadapter freigeben und verwende, hier klappt es.
Bei SonicWall klappt es ganz und gar nicht.
aqui
aqui 20.11.2019 um 14:22:10 Uhr
Goto Top
für die verschiedenen Kunden evtl. einfach virtuelle Maschinen einsetzt?
Mit Kanonen auf Spatzen. Aber richtig...warum einfach machen wenn es umständlich auch geht.
Ohne Worte....
Visucius
Visucius 20.11.2019 aktualisiert um 14:26:49 Uhr
Goto Top
Hm, ich glaube ja konsequenter wäre es mit einem "Standardimage" in dem "alle" SW-Standard-Pakete enthalten sind und das für jeden Kunden getrennt arbeitet. Weil Du dann beim Fenster schließen den "Statusquo" einfrierst. Zudem liegen alle "Kundendaten" sauber getrennt vor.

Aber das muss letztlich der User entscheiden (und die Lizenzbedingungen)
mastersp
mastersp 20.11.2019 um 14:40:46 Uhr
Goto Top
Zitat von @aqui:

für die verschiedenen Kunden evtl. einfach virtuelle Maschinen einsetzt?
Mit Kanonen auf Spatzen. Aber richtig...warum einfach machen wenn es umständlich auch geht.
Ohne Worte....

Was wäre deiner Meinung nach "einfach" ?
Es könnte mit Standardvorgaben an die jeweiligen Firmen einfacher sein.
Aber jede IT - Abteilung tickt hier etwas anders und geht nicht auf die Bedürfnisse "kleiner" Betriebe ein.
Das haben wir schon mehrmals versucht durchzusetzen.
Visucius
Visucius 20.11.2019 aktualisiert um 15:15:27 Uhr
Goto Top
Komisch, wenn hier aber 4-5 Virtualisierung mit Domäne, ADS, File und sogar Userdesktops - für 2(!) Mitarbeiter empfohlen werden, dann hat das wahnsinnig viele Vorteile, weil die Backups so einfach sind, die Lizenzkosten explodieren und wir die Fatclients jetzt Thinclients nennen face-wink

Spaß beiseite. Ich arbeite viel mit Parallels und finde das irgendwie auch ziemlich charming. Man hat alles für einen Kunden beisammen (PW, Dokumente, Einstellungen, ...) und kann sich die Fenster mit ausreichend Fläche auch nebeneinander legen. Eigentlich auch nix anderes als andere mit Remote ... nur schneller. Und dann die Möglichkeit schnell mal den Status quo einzufrieren/kopieren .... Der einzige Haken ... ggfs. Speicherplatz!

Aber es war ja auch nur eine Idee! Soll jeder machen, wie er lustig ist.