justas
Goto Top

VPN mit DD-WRT und Policy Based Routing

Hallo Administratoren,

da ich nur über begrenztes Wissen über VPN-Einrichtung verfüge, hoffe, dass Ihr einige nützliche Tipps für mich habt.

Ist-Situation:
  • Ein Heimnetz mit einer FritzBox als DSL-Router
  • Im Firmennetz „Company A“ laufen einige Services auf dem Server S1 auf unterschiedlichen Ports. Diese sind nur aus dem Intranet erreichbar.
  • Einige Services von www.special-service.abc sind nur von bestimmten Kunden bzw. IP-Adressen erreichbar, aber nicht für normale Internet-User
  • Linux- und OpenSSL-Kenntnisse sind vorhanden, aber kein Profi

a247e1b844979b28440f71722abf470d


Soll-Situation:
Ich arbeite manchmal im Homeoffice und nehme das Notebook N1 mit. Die internen Services vom Server S1 und die vom externen Anbieter müssen auch vom Homeoffice erreichbar sein. Dafür bietet sich VPN an. Es kommt nur eine Hardware-basierte Lösung in Frage, keine VPN-Client-Installation auf dem Notebook (damit ich es nicht unterwegs benutzen kann, sondern nur am definierten Standort). Ich habe eine gute Anleitung gefunden, die einen Teil meiner Anforderungen abdeckt und stelle mir folgende Topologie vor:

df187a935284554c1480224da46e995c

Anforderungen:
  1. Automatisches Routing, keine Passwort-Eingabe, keine Software-Installation auf den PC’s.
  2. Keine Änderungen im Netzwerk der „Company A“ außer der Installation vom VPN-Router.
  3. Im Home-LAN würde ich gerne auch mit möglichst wenigen Änderungen auskommen. Vor allem sollte die FritzBox soweit möglich ihre Aufgaben behalten.
  4. Vom Home-LAN darf nur das Notebook N1 ins VPN geroutet werden, alle anderen Clients müssen weiter direkt über die FritzBox mit der Außenwelt kommunizieren.
  5. Nur die Services vom Server S1 und dem externem Anbieter dürfen ins VPN geroutet werden, sonst muss das Notebook über die FritzBox ins Internet.
  6. Der Drucker und die Samba-Shares im Home-LAN müssen vom Notebook N1 erreichbar sein.

Soweit ich es einschätze, sind die ersten drei Punkte die eigentliche VPN-Einrichtung. Die letzten drei sind die Konfiguration des VPN-Clients, was wohin geroutet wird.
Und nun die Fragen:
  • Ist es so realisierbar?
  • Stimmt die Topologie mit den VPN-Routern?
  • Wenn ja
    • was würdet Ihr empfehlen, OpenVPN oder PPTP?
    • welcher Router übernimmt auf beiden Seiten welche Rolle? Gateway? DHCP-Server? DNS?
    • ändern sich irgendwo die IP-Adressbereiche oder kann man die bestehenden behalten?
  • Wenn nicht, was soll geändert oder worauf soll verzichtet werden damit der Rest realisierbar wird?

Würde mich über Eure Tipps freuen.

Grüße
Justas

Content-ID: 184496

Url: https://administrator.de/forum/vpn-mit-dd-wrt-und-policy-based-routing-184496.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

104286
104286 05.05.2012 um 07:54:47 Uhr
Goto Top
Hallo Justas,

du möchtest den Standort HOME mit dem Standort COMPANY verbinden. Aus HOME soll nur dein Notebook Zugriff auf den Server in COMPANY haben. Weiterhin möchtest du, dass keine Zusatzsoftware auf deinem Notebook installiert wird.
Das Ganze soll mit vertretbarem Aufwand geschehen. Wenn möglich, soll die bereits vorhandene Hardware verwendet werden.

Ist das richtig?

Dazu solltest du erwähnen, ob du administrativen Zugriff auf den Router und gegebenenfalls auf den Server in Company hast und die Typen angeben. Eventuell wäre es noch von Vorteil zu wissen, welche Art Verbindung zwischen COMPANY und dem externen Dienstleister besteht. Dadurch kommst du schneller zu einer geeigneten Lösung.

Mfg
leo
justas
justas 05.05.2012 um 08:53:19 Uhr
Goto Top
Hallo leo,

das Ziel hast Du richtig wiedergegeben. Ich stelle es mir so vor, dass sowohl in HOME als auch in COMPANY zusätzliche Router füs VPN installiert werden. Vorhandene Router sollen Ihre Funktionen behalten und nur VPN auf die neuen Router durchleiten.
Ein administrativer Zugriff auf den vorhandenen Company-Router (Cisco) wird vorhanden sein. Der Admin meinte, wenn es OpenVPN wäre, müßte er nur den Port 1194 umleiten.

Ich möchte nicht unbedingt einen Cisco-Router nach HOME kaufen und administrieren. Denke eher an einen kleinen Linksys oder TP-Link-Router, auf den DD-WRT installiert wird. Wg. VPN-Kompatibilität ist es vermutlich besser auch einen Router mit DD-WRT in der Company zu installieren

Auf den Server (Solaris) gäbe es auch Admin-Zugrifff, aber der Bedarf ist mir nicht klar. Für den Server sollte alles transparent sein, als wäre ich wirklich im Intranet.


Grüße
Justas
104286
104286 05.05.2012 um 09:26:20 Uhr
Goto Top
Jetzt wird es aber kompliziert. Wenn es in COMPANY einen Admin gibt, dann muss er doch festlegen, ob und in welcher Weise er den Zugriff auf das Netzwerk gestattet?

Für den Zugriff auf die Daten im Netzwerk COMPANY gibt es doch zig Möglichkeiten.
justas
justas 05.05.2012 um 09:56:45 Uhr
Goto Top
Es gibt einen Admin (externer Dienstleister), aber kein VPN. Nach langen Gesprächen und Überzeugungsarbeit darf speziell für mich ein externer Zugang eingerichtet werden. Dies sollte aber nichts großartiges im Company-Netz ändern, sondern ich soll einen vorkonfigurierten VPN-Router anschliessen, der Admin würde nur den Port freischalten. Die anderen Mitarbeiter müssen (noch) im Firmennetz arbeiten. Wenn es gut läuft, wäre es vorstellbar, dass die Company dann ein offizielles VPN für Mitarbeiter einrichtet.

Jetzt möchte die Company kein Geld ins VPN inverstieren, es ist meine Initiative. Ich habe versucht, die Situation möglichst einfach darzustellen und einige Details zu sparen. Ich suche nach einer möglichst einfachen Lösung (wie z.B. zwei Router mit DD-WRT), die ich selbst konfigurieren könnte und bei der möglichst wenig externer Leistungen in Anspruch genommen werden.

Grüße
Justas
Pjordorf
Pjordorf 05.05.2012 um 10:23:34 Uhr
Goto Top
Hallo,

Zitat von @justas:
Dies sollte aber nichts großartiges im Company-Netz ändern,
Da wird am Firmennetzwerk eigentlich "nichts" geändert. Das VPN terminiert doch dann am Cisco am Firmenstandort (oder soll es doch komplexer werden?). Weshalb will der Admin dort Ports für das VPN weiterleiten (Portforwarding was du als Umleiten bezeichnet hat)? VPN gehört am Cisco (Router) terminiert.

sondern ich soll einen vorkonfigurierten VPN-Router anschliessen
Du meinst etwas was jemand anderes für dich eingerichtet hat und du stellst es zuhause hin und es geht dann (zusätzlich zur bestehenden Fritzbox oder anstelle der fritzbox)?

der Admin würde nur den Port freischalten.
Warum?

Ihr solltet euch erst mal klar werden welches VP ihr nutzen wollt. dann, wo soll das VPN Terminieren. Danach geht es an die Geräteauswahl. Ihr habt ein Cisco Router in der Firma. Der kann doch bestimmt VPN. Deine Fritzbox daheim kann auch VPN. Könnte hier also schon mal ohne Geldausgeben eine Standort - Standort VPN ans laufen gebracht werden. Einzigst das nur das Firmenlaptop bei dir daheim als einziger Client den VPN Tunnel nutzen darf kannst du mit der Fritzbox nicht einstellen (ist mir nicht bekannt) bzw einschränken. da würde sich dann eine kleine Cisco für daheim schon die bessere wahl sein, zudem es dann später auch so an anderen heimstandorte ebenfalls umgesetzt werden soll. Ansonsten kannst du natürlich die Router gegen DD-WRT und Co. austauschen, ist aber nicht zwingend nötig. Natürlich kannst du daheim am Firmenlaptop auch ohne weiteres das VPN mittels dem installierten OS nutzen. Fast jedes OS beherscht den PPTP VPN welches problemlos hinter einen Router benutzt werden kann. Laptop starten, VPN am Laptop für diesen benutzer starten. Arbeiten. VPN beenden. Erfordert ebenfalls keinen Eingriff ins Firmennetzwerk. Der Firmenrouter sollte dann allerdings PPTP als VPN terminieren können.

Alles was aus der Firma ausgehend ist wird duch das VPN doch sowieso nicht geändert. Warum sollte es (Ja, bei falscher Konfiguration usw. schon möglich)? Somit fallen diese Bauchschmerzen doch auch weg.

Und wenn es nur zum testen ist, kann evtl. einer euere Server ein PPTP für dich Terminieren. (Alles ohne Geld auszugeben für neue Hardware).

Sollte allerdings euerer Externe Dienstleister, euer Admin, von VPN wenig Plan haben, so wird einer sich Einarbeiten müssen. Du oder er. Fragt sich dann allerdings nur ob ein Externer Admin ohne VPN Grundlagen überhaupt der richtige für den Job ist. Die Kosten sind auf jeden Fall. Oder ihr kauft das Wissen ein. Aber auch das Kostet. Wissen gab es noch nie umsomst.

Gruß,
Peter
aqui
aqui 05.05.2012, aktualisiert am 18.10.2012 um 18:50:48 Uhr
Goto Top
@justas
Kollege pjordorf hat ja schon alles relevante gesagt zu dem Thema, deshalb nur ein paar Ergänzungen:
Wenn ihr tatsächlich in der Firma einen Cisco Router habt (im obigen Thread stand aber nix davon) ist es in der Tat am einfachsten einen PPTP VPN Dialin auf dem Cisco einzurichten:
VPNs einrichten mit PPTP
Damit hast du all deine Anforderungen erstmal in 5 Minuten erledigt und bist mit dem Notebook sofort arbeitsfähig im Firmennetz.
Deine andere Konzeptstudie ist aber ebenso richtig und funktioniert natürlich auch.
Du darfst allerdings nicht aus den Augen verlieren das du hier eine LAN zu LAN Kopplung mit dem VPN machst, du verbindest also erstmal das Heim LAN mit dem Firmen LAN.
Bei einem einzigen Laptop solltest du ggf. auch darüber nachdenken NUR ein remote Access VPN mit PPTP oder OVPN zu realisieren. Also letztlich genau das was du auch mit dem Cisco umsetzt nur mit anderen Mitteln.
Danach musst du über Accesslisten oder Firewall dafür sorgen das deine Sicherheitsanforderungen umsetzbar sind. Mit einem einfachen Router ist das nicht ganz so einfach.
Besser ist dann als HW immer eine kleinen [ Firewall] zu verwenden, denn dort kannst du die Zugriffssteuerung mit ein Paar Regeln per Mausklick in einem GUI einfach regeln.
Beide Wege führen also problemlos zum Ziel. Um nur einen einzelnen Laptop aus dem Heimnetz zu bedienen ist ein PPTP Dialin über den Cisco aber ausreichend und erheblich einfacher zu installieren. Gerade wenn deine VPN Vorkenntnisse limitiert sind.
Machbar und richtig sind aber beide Wege...
Pjordorf
Pjordorf 05.05.2012 um 10:49:45 Uhr
Goto Top
Hi aqui,

Zitat von @aqui:
einen Cisco Router habt (im obigen Thread stand aber nix davon)
Musste jetzt doch noch mal genau lesen, und viola, gefundenface-smile Steht in seiner ersten #751368 Antwort "Ein administrativer Zugriff auf den vorhandenen Company-Router (Cisco) wird vorhanden sein" daher habe ich es.

Gruß,
Peter
justas
justas 05.05.2012 um 13:26:12 Uhr
Goto Top
Hi pjordorf,
hi aqui,

vielen Dank für Eure Antworten. Hier spielt nicht nur die technische Lösung eine Rolle, sondern auch die "Politik" bzw. Angst vor unbekanntem Neuland. Damit ich nicht vom Hotel aus oder von unterwegs auf die wichtigen Daten zugreife, muss für VPN eine Hardware-basierte Lösung installiert werden und ich muss unterschreiben, dass der Hradware-VPN-Client nur an einem definierten Standort benutzt wird. Da aber an dem Standort weitere PC's vorhanden sind, die theoretisch auch Zugriff auf die Unternehmensdaten und auf die externen Services hätten, muss der Zugriff limitiert werden. Wenn das nicht gewährleistet ist (und das wird sicherlich getestet), wird der Zugang gar nicht eingerichtet.

Unternehmenseitig sollte auch eine Hardware-Box installiert werden, damit man im Bedarfsfall einfach ein Kabel ausstecken kann, ohne jeglichen Konfig-Aufwand. Dies soll machbar sein, auch wenn der Admin nicht da ist. Das normale Firmenleben muss weiterlaufen, wie bisher, deswegen möglichst wenig Änderungen am Cisco-Router.

Ursprünglich hatte ich die Idee, clientseitig die FritzBox dafür zu nutzen und habe bereits OpenVPN darauf installiert. Es gab aber viele offene Fragen und die Befürchtung, dass ich mit dem Halbwissen die FB ganz lahmlege. Dann kam die Idee mit einem weiteren Router mit DD-WRT. Genau die gleiche Überlegung, wie in der Firma: wenn etwas im LAN nicht geht, entferne ich einfach die Box und habe meine alte Konfig und das LAN wieder, wie vorher.

Wie Ihr seht, wird die ganze Lage jetzt komplizierter. Deswegen wollte ich ursprünglich die Politik draußen lassen und mich nur auf die Technik konzentrieren und habe einen Topologie-Entwurf erstellt.

Deswegen meine Fragen:
- kann es so funktionieren, wie ich es in der Topologie gezeichnet habe?
- Ich könnte mir sowohl OpenVPN als auch PPTP vorstellen (DD-WRT kann beides). Welches von den beiden würdet Ihr für diese Aufgabe nehmen?
- Es ist mir nicht klar, ob zuhause weiter die Fritzbox als DHCP-Server, Gateway etc. funktionieren kann und welche IP-Adressbereiche habe ich wo.

Wenn der Tunnel steht, habe ich dann Zeit die Accesslisten bzw. Client Policy mit Trial and Error zu konfigurieren. Erster Schritt: das richtige Konzept unter Berücksichtigung politischer Faktoren. Und da ist, wie Ihr seht, mir nicht alles klar. Es muss eindeutig klar sein was man wo anschliesst und in welchem Netz sich was ändert, wenn man es so umsetzt. Und was passiert, wenn man die beiden Router wieder entfernt. Bleiben beide Netze funktionsfähig?

Grüße
justas
aqui
aqui 06.05.2012, aktualisiert am 18.10.2012 um 18:50:49 Uhr
Goto Top
Es kann nicht nur so funktionieren es wird auch ganz sicher so funktionieren. Warum auch nicht, denn das ist ein klassisches VPN Design aus dem Bilderbuch.
Du solltest als HW dann aber besser eine Firewall nehmen wie z.B. diese:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit gehst du mit allen Optionen auf Nummer sicher.
Nicht nur das sie alle gängigen VPN Protokolle gleichzeitig supportet (PPTP, OpenVPN, L2TP/IPsec) sowohl als Server als auch als Client bietet sie zudem auch die Option den Traffic Wasserdicht zu regeln.
Damit erschlägst du wasserdicht alle Vorgaben und bist am flexibelsten aufgestellt.