cbx555
Goto Top

VPN Verbindungen von mehreren Benutzern routen

Hi,
Ich weiß nicht so recht ob mein Problem dem Titel entspricht, da ich das nicht genau in einem Satz erklären kann.

Erst einmal:
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.

Wir bekommen via Glasfaser Internetzugang vom Uni-Netz. Die 70 Bewohner bekommen dann über Switches ihren Anschluss an die Dose in ihrer Wand.
Soweit so gut. Bis vor kurzem hatten wir einen lokalen DHCP Server und keine sonderbaren Port-Sperrungen.

Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.

Die Nutzer können nun viele Dienste wie VoIP, Steam, XBOX nicht mehr nutzen.
Man kann das Problem über ein Workaround umgehen indem sich der Student nun in das Uni-VPN (Cisco AnyConnect) einwählt. Dort sind die Restriktionen nicht vorhanden.

Das ist jedoch sehr umständlich und für den Laien unzumutbar wenn er andere Geräte außer dem PC nutzen möchte, wie z.B. das Smartphone im eigenen WLAN (Router auf dem Zimmer vorausgesetzt) WhatsApp Anrufe tätigen oder mal etwas auf der XBOX online daddeln.

Nun könnte man ja den Server (SUPERMICRO, bis jetzt nur als Webserver und MailingList) für eine VPN Verbindung nutzen und den Bewohnern zur Verfügung stellen. Doch ich möchte meine LoginDaten nicht für 70 Leute hinterlegen.

Gibt es eine Möglichkeit, dass die Bewohner sich auf einem Switch/Router/Server einloggen mit ihren Daten und sie ihre exklusive VPN Verbindung auf ihr Zimmer bekommen?
Also theoretisch könnte man ja für Jeden Nutzer einen Router hinstellen, das ist natürlich nicht klug.

Geht das evtl. mit VLANs oder bestimmten Routern? Hardware kann notfalls hinzugekauft werden.

Ich hoffe es ist verständlich.

Liebe Grüße und schöne Feiertage
cbx555

Content-ID: 324661

Url: https://administrator.de/contentid/324661

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

BirdyB
BirdyB 24.12.2016 um 00:08:54 Uhr
Goto Top
Hm, im Moment fällt mir nur ein, für jeden User ein eigenes VLAN und ein eigener Linux-Container mit OpenConnect.
Dann den ganzen Traffic über den jeweiligen Container routen...

Beste Grüße!


Berthold
aqui
aqui 24.12.2016 um 12:47:49 Uhr
Goto Top
Nein, das wäre konfigtechnischer Blödsinn und löst das Problem des restriktiven Uni Netzes nicht.
Fakt ist ja das sofern du das Studi Netz nutzt dort Accesslisten bestehen die nicht zu überwinden sind. Es würde also rein gar nichts nützen hier zu segmentieren oder sowas, denn du bist ja auf diese IP Adressen verhaftet. Keine Chance also. Solltest du als Student der Cybersicherheit ja aber wohl auch wissen ?!!

Wie du selber richtig schreibst ist deine einzige Chance ein VPN, denn du musst einen Tunnel schaffen der außerhalb dieser mit Accesslisten bewehrten Studi Netze liegt um deren IP Accesslisten oder Firewall zu überwinden.
Folglich hast du 2 Optionen:
  • Eben den zentralen VPN Server für alle der selber einen Tunnel ins offene Uni Netz unterhält
  • Oder du kennst einen der einen kennt der eine öffentliche IP hat und plazierst dort einen kleinen VPN Server
Auf beide Systeme greifst du dann entweder mit kleinen WLAN Breitnandroutern zu die VPN fähig sind oder eben mit entsprechenden VPN Clients.
Eine andere Chance hast du nicht.
Aber all das weiss man doch eigentlich als Cybersicherheits Student ?! Denn du solltest ja auch alle bösen Workarounds kennen für Sicherheitskonzepte. Sonst wäre bei dir die Bezeichnung Cybersicherheit ja reine Makulatur.
Spirit-of-Eli
Spirit-of-Eli 26.12.2016 um 18:38:40 Uhr
Goto Top
Jo wenn man das schon studiert sollte man wissen worum es geht.

Ne weitere Möglichkeit den Mechanismus auszuhebeln wäre ein Proxy Server auf den man noch vor der Geschichte ohne Restriktion zugreifen kann.
Diesen dann ins Uni Netz einwählen und alle anderen Nutzen den Proxy.


Darf man so nen Vorschlag hier überhaupt schreiben? ggf. PN
cbx555
cbx555 03.01.2017 um 21:24:55 Uhr
Goto Top
Nun nagelt mich doch nicht darauf fest dass ich Cybersicherheit studiere.
Wie gesagt, ich "studiere" es noch und habe keinen Master darin - muss also einiges lernen. Man weiß nicht einfach so Sachen nur weil man es studiert, ohne sich damit zu beschäftigen oder sich Rat von Leuten zu holen die es möglicherweise wissen könnten.

Und Erfahrung kann man nun mal nicht aus Büchern lernen.

Möglich dass du meinen Post nicht richtig verstanden hast. Ich weiß dass man diese Accesslisten nicht überwinden kann....außer man benutzt ein VPN. Diesen haben auch alle Studenten. Und zwar personalisiert via Uni-Kennung.
Deine beiden Optionen sind eben diese die ich (auch vorher schon) in betracht gezogen habe bzw. die einzige Möglichkeit.

Meine Frage war eher die Umsetzung solch einer Verbindung, verteilt auf mehrere Nutzer die sich ggf. über den Router mit ihren VPN Daten einloggen. Ob es dafür eine euch bekannte (Hardware)Lösung gibt in Form von Router/Switches.
Ich möchte eben nicht mit nur einem VPN alle Nutzer bedienen. Das wäre ja ein klax.
Außerdem brauche ich Bandbreite.
Spirit-of-Eli
Spirit-of-Eli 04.01.2017 um 00:27:17 Uhr
Goto Top
Na die Frage ist und bleibt immer noch ob du das darfst??
Die Unis, die ich kenne verbieten dies Strickt!

Die ganze Geschichte kannst du dir selbst auf Linux Basis mit einfachen mitteln zurecht stricken oder nutzt zum Teil bsp. PfSense.
aqui
aqui 04.01.2017 um 12:04:13 Uhr
Goto Top
Wie gesagt, ich "studiere" es noch und habe keinen Master darin
Na ja solche Allerwelts Binsenweisheiten von heute weiss aber auch der pfiffige Schüler von nebenan schon...
Rat von Leuten die es wissen findet man doch gerade an der Uni wo sie es vanderen vermitteln. Wenn nicht da wo sonst ?? Erfahrungen lernt man dort in Praktikas....
Diese deine Logik entspricht aber nicht gerade akademischem Denken, sorry.
Wie man es mit einem zentralen oder einzelnen VPNs löst findest du ja oben hinreichend beschrieben.
Jetzt musst du nur noch machen...
cbx555
cbx555 05.01.2017 um 20:00:06 Uhr
Goto Top
@aqui
Sorry aber du veranstaltest ein bashing ohne anscheinend mein Problem richtig verstanden zu haben.
Ich lerne sehr viel dort! Aber Kryptographie, SML und Programmierung im allgemeinen bringt mir da auch nicht viel bei dieser speziellen Aufgabe.
Praktika gibt's natürlich auch. Ich kann dir einen Wolf erzählen über die verschiedenen Network Layer, Bufferoverflows, SQL Injection und sogar Datenschutzrecht etc.

Aber tut mir leid, dass die Uni ja soo inkompetent ist und mir bisher genau das nicht vermittelt hat.
Ich versuche mich hier schlau zu machen und suche niemanden der mich aufgrund von 10 Zeilen Text zu beurteilen, weil er/sie meint mich zu kennen und mein "akademisches Denken" kritisiert. Das macht man nicht.

JEDER Student hat einen legalen VPN Zugang zum Uni-Netz. Diese Verbindungen sind ohne weitere/störende Restriktionen.
Man kann sich via CISCO AnyConnect dort einloggen. Das ist das Workaround welches nun praktiziert wird - beim Rechenzentrum nachgefragt bzw. sie haben es mir sogar ebenfalls empfohlen.

Ich bin auf der Suche nach einer Lösung, dass man dieses Einloggen/Verbinden nicht über eine App auf dem Client direkt tätigt, sondern zentral über einen Router/Switch, welche diese verschiedenen Tunnel auf die jeweiligen LAN-Ports auf ihre Zimmer verbindet.
Weder suche ich nach einer illegalen Möglichkeit es zu umgehen oder sonst was. Ich versuche es den Leuten nur komfortabler zu machen.

Vielen Dank.
Spirit-of-Eli
Spirit-of-Eli 05.01.2017 aktualisiert um 20:42:11 Uhr
Goto Top
Na die Lösung liegt doch schon auf der Hand da du genau weist was du brauchst.
Das einzige Problem ist, dass alle über einen Login ins Netz gehen würden. Ist dies okay?

Setz auf na kleinen Kiste nen CISCO AnyConnect Client auf und bau z.b. nen Proxy der auf den Connecter geroutet wird. Alle anderen müssen dann noch Zugriff auf den Proxy bekommen. Bums Lösung.


//Ich kenne keine Büchse, die nen CISCO AnyConnect Client habt, daher selbst bauen.
cbx555
cbx555 05.01.2017 um 21:10:17 Uhr
Goto Top
Das einzige Problem ist, dass alle über einen Login ins Netz gehen würden. Ist dies okay?

Genau darum geht es leider :/ Das würde ich gerne umgehen. Wie gesagt - wäre ja gelacht wenn ich das nicht könnte und völlig fehl am Platz.
Will nur nicht meinen Account für alle anderen Opfern.

Das mit den Containern ist evtl keine schlechte Idee. VPNC kann ja auch IPSec.
Es ist ja auch kein Problem auf einem dd-wrt router oder dem Server vpnc laufen zu lassen, bloß bräuchten das 20+ Leute die sich individuell einloggen könnten.

Als Übergang habe ich freifunk eingerichtet, ist aber nicht das gelbe vom Ei.
BirdyB
BirdyB 05.01.2017 um 21:19:18 Uhr
Goto Top
Probier es mal mit Docker...
Alex94G
Alex94G 05.01.2017 um 22:16:31 Uhr
Goto Top
Erst einmal:
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.

Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.

Als "Netzwerkadmin" solltest du doch eigentlich zum Kreis der "Verantwortlichen vom Rechenzentrum" gehören? Hast du mit den Kollegen schon mal gesprochen und eine gemeinsame Problemlösung in Betracht gezogen?
Spirit-of-Eli
Spirit-of-Eli 05.01.2017 um 23:03:20 Uhr
Goto Top
Wie ist denn das, ich nutze den CISCO kram nicht. Braucht man dort nen Client oder läuft das über ein Captive-Portal?

Wenn Client --> dann ist es ja eh egal und muss installiert werden
Wenn Portal --> dann ist es doch mega entspannt und man muss nur ein bisschen am Netz spielen.
cbx555
cbx555 06.01.2017 aktualisiert um 01:44:09 Uhr
Goto Top
Ich gehöre zum Studentenwohnheim und übe dort "intern" das Amt aus. Die vom Rechenzentrum der Uni sind leider nicht besonders kooperativ.
Das Wohnheim bekommt dort, wie ich es mitbekommen habe, auch nur aus Nettigkeit einen (kostenlosen) Anschluss.
Wir sind keine Institution und haben anscheinend keine hohe Priorität.

Die Sperrungen erfolgten z.B. von einen Tag auf den anderen ohne jegliche Vorwarnung...An einem Freitagnachmittag.
Da durfte ich erstmal das Wochenende schauen was/wie/warum passiert war :D

Wie ist denn das, ich nutze den CISCO kram nicht. Braucht man dort nen Client oder läuft das über ein Captive-Portal?

Es läuft über den Client mit der jeweiligen Applikation.
Ein Captive-Portal wäre nice, dass man sich einloggt mit seinen Daten und bekommt dann auf die Buchse im Zimmer den VPN-Tunnel.

Wäre super wenn der "Client" jedoch eine als Router funktioniert. Aber je mehr ich darüber nachdenke desto aussichtsloser kommt es mir vor :P