jbopael
Goto Top

VPN-Server sicher aufsetzen

Die Frage kam zwar schon des öfteren, aber da es viele möglichkeiten gibt würde ich gerne speziell auf unser Netzwerk eingehen.

Also ich habe die Aufgabe bekommen für unsere Außendienstmitarbeiter eine VPN-Verbindung zur verfügung zu stellen. Dabei kommt natürlich die erste Frage wie sieht es mit der Sicherheit aus.

Ich hab mal den Aufbau unseres Netzes gezeichnet:

b5237f1aa6ff1fe4634f6c43f548f9d3-netzaufbau

Die lösung die mir bis jetzt am besten gefallen hat, ist diese hier: http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Ze ...

Aber ist das ausreichend Sicher? Probem ist ja das ich durch die Friewall durch muss, und ich hab bis jetzt immer gelsen das das probleme macht.

Was ist eure meinung dazu? oder habt ihr viellicht bessere vorschläge?

Content-ID: 91527

Url: https://administrator.de/forum/vpn-server-sicher-aufsetzen-91527.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

madlj
madlj 08.07.2008 um 10:26:40 Uhr
Goto Top
Die Lösung ist garnicht so schlecht. Erfordert zwar ein wenig Aufwand aber das lohnt sich. Viel einfacher ist natürlich die PPTP Lösung. Da müsstest du nämlich nur Port 1723 zum VPN Server weiterleiten und das können die meisten Firwalls doch sehr gut. Bei L2TP ist die Frage, ob die Firwall VPN-Passtrough machen kann um die VPN Anforderungen weiterzuleiten... Habt Ihr eine Hardwarefirewall? Wenn ja welche?
JBOpael
JBOpael 08.07.2008 um 10:41:45 Uhr
Goto Top
Hardwarefirewall haben wir nicht, die firewall wird mit FreeBSD realisiert.

also wenn die Firewall das nicht kann, dann kann ich das nicht so realisieren?
madlj
madlj 08.07.2008 um 10:43:53 Uhr
Goto Top
Bei Freebsd sollte es eigentlich kein Problem geben.
Eine Portweiterleitung wirst du wohl machen können, oder? Dann würde ich es einfach mal testen
JBOpael
JBOpael 08.07.2008 um 10:54:30 Uhr
Goto Top
Den FreeBSD Server lassen wir von extern betreuen, ich denk mal das der aber plan genug haben wird das ein zu stellen. ich werde dann die restlichen sachen unter 2003 einstellen.

wo könnten denn da jetzt noch sicherheitslücken auf treten? hab ich das jetzt richtig verstanden das nur zertifizierte clients überhaupt erst benutzername und passwort eingeben können?
madlj
madlj 08.07.2008 um 10:58:48 Uhr
Goto Top
Genau. Das Zertifikat wird zuerst abgefragt. Erst wenn das Zertifikat angenommen wird, kommst du weiter zur Passworteingabe....