VPN Verbindungen von mehreren Benutzern routen
Hi,
Ich weiß nicht so recht ob mein Problem dem Titel entspricht, da ich das nicht genau in einem Satz erklären kann.
Erst einmal:
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.
Wir bekommen via Glasfaser Internetzugang vom Uni-Netz. Die 70 Bewohner bekommen dann über Switches ihren Anschluss an die Dose in ihrer Wand.
Soweit so gut. Bis vor kurzem hatten wir einen lokalen DHCP Server und keine sonderbaren Port-Sperrungen.
Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.
Die Nutzer können nun viele Dienste wie VoIP, Steam, XBOX nicht mehr nutzen.
Man kann das Problem über ein Workaround umgehen indem sich der Student nun in das Uni-VPN (Cisco AnyConnect) einwählt. Dort sind die Restriktionen nicht vorhanden.
Das ist jedoch sehr umständlich und für den Laien unzumutbar wenn er andere Geräte außer dem PC nutzen möchte, wie z.B. das Smartphone im eigenen WLAN (Router auf dem Zimmer vorausgesetzt) WhatsApp Anrufe tätigen oder mal etwas auf der XBOX online daddeln.
Nun könnte man ja den Server (SUPERMICRO, bis jetzt nur als Webserver und MailingList) für eine VPN Verbindung nutzen und den Bewohnern zur Verfügung stellen. Doch ich möchte meine LoginDaten nicht für 70 Leute hinterlegen.
Gibt es eine Möglichkeit, dass die Bewohner sich auf einem Switch/Router/Server einloggen mit ihren Daten und sie ihre exklusive VPN Verbindung auf ihr Zimmer bekommen?
Also theoretisch könnte man ja für Jeden Nutzer einen Router hinstellen, das ist natürlich nicht klug.
Geht das evtl. mit VLANs oder bestimmten Routern? Hardware kann notfalls hinzugekauft werden.
Ich hoffe es ist verständlich.
Liebe Grüße und schöne Feiertage
cbx555
Ich weiß nicht so recht ob mein Problem dem Titel entspricht, da ich das nicht genau in einem Satz erklären kann.
Erst einmal:
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.
Wir bekommen via Glasfaser Internetzugang vom Uni-Netz. Die 70 Bewohner bekommen dann über Switches ihren Anschluss an die Dose in ihrer Wand.
Soweit so gut. Bis vor kurzem hatten wir einen lokalen DHCP Server und keine sonderbaren Port-Sperrungen.
Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.
Die Nutzer können nun viele Dienste wie VoIP, Steam, XBOX nicht mehr nutzen.
Man kann das Problem über ein Workaround umgehen indem sich der Student nun in das Uni-VPN (Cisco AnyConnect) einwählt. Dort sind die Restriktionen nicht vorhanden.
Das ist jedoch sehr umständlich und für den Laien unzumutbar wenn er andere Geräte außer dem PC nutzen möchte, wie z.B. das Smartphone im eigenen WLAN (Router auf dem Zimmer vorausgesetzt) WhatsApp Anrufe tätigen oder mal etwas auf der XBOX online daddeln.
Nun könnte man ja den Server (SUPERMICRO, bis jetzt nur als Webserver und MailingList) für eine VPN Verbindung nutzen und den Bewohnern zur Verfügung stellen. Doch ich möchte meine LoginDaten nicht für 70 Leute hinterlegen.
Gibt es eine Möglichkeit, dass die Bewohner sich auf einem Switch/Router/Server einloggen mit ihren Daten und sie ihre exklusive VPN Verbindung auf ihr Zimmer bekommen?
Also theoretisch könnte man ja für Jeden Nutzer einen Router hinstellen, das ist natürlich nicht klug.
Geht das evtl. mit VLANs oder bestimmten Routern? Hardware kann notfalls hinzugekauft werden.
Ich hoffe es ist verständlich.
Liebe Grüße und schöne Feiertage
cbx555
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324661
Url: https://administrator.de/contentid/324661
Ausgedruckt am: 08.11.2024 um 13:11 Uhr
13 Kommentare
Neuester Kommentar
Nein, das wäre konfigtechnischer Blödsinn und löst das Problem des restriktiven Uni Netzes nicht.
Fakt ist ja das sofern du das Studi Netz nutzt dort Accesslisten bestehen die nicht zu überwinden sind. Es würde also rein gar nichts nützen hier zu segmentieren oder sowas, denn du bist ja auf diese IP Adressen verhaftet. Keine Chance also. Solltest du als Student der Cybersicherheit ja aber wohl auch wissen ?!!
Wie du selber richtig schreibst ist deine einzige Chance ein VPN, denn du musst einen Tunnel schaffen der außerhalb dieser mit Accesslisten bewehrten Studi Netze liegt um deren IP Accesslisten oder Firewall zu überwinden.
Folglich hast du 2 Optionen:
Eine andere Chance hast du nicht.
Aber all das weiss man doch eigentlich als Cybersicherheits Student ?! Denn du solltest ja auch alle bösen Workarounds kennen für Sicherheitskonzepte. Sonst wäre bei dir die Bezeichnung Cybersicherheit ja reine Makulatur.
Fakt ist ja das sofern du das Studi Netz nutzt dort Accesslisten bestehen die nicht zu überwinden sind. Es würde also rein gar nichts nützen hier zu segmentieren oder sowas, denn du bist ja auf diese IP Adressen verhaftet. Keine Chance also. Solltest du als Student der Cybersicherheit ja aber wohl auch wissen ?!!
Wie du selber richtig schreibst ist deine einzige Chance ein VPN, denn du musst einen Tunnel schaffen der außerhalb dieser mit Accesslisten bewehrten Studi Netze liegt um deren IP Accesslisten oder Firewall zu überwinden.
Folglich hast du 2 Optionen:
- Eben den zentralen VPN Server für alle der selber einen Tunnel ins offene Uni Netz unterhält
- Oder du kennst einen der einen kennt der eine öffentliche IP hat und plazierst dort einen kleinen VPN Server
Eine andere Chance hast du nicht.
Aber all das weiss man doch eigentlich als Cybersicherheits Student ?! Denn du solltest ja auch alle bösen Workarounds kennen für Sicherheitskonzepte. Sonst wäre bei dir die Bezeichnung Cybersicherheit ja reine Makulatur.
Jo wenn man das schon studiert sollte man wissen worum es geht.
Ne weitere Möglichkeit den Mechanismus auszuhebeln wäre ein Proxy Server auf den man noch vor der Geschichte ohne Restriktion zugreifen kann.
Diesen dann ins Uni Netz einwählen und alle anderen Nutzen den Proxy.
Darf man so nen Vorschlag hier überhaupt schreiben? ggf. PN
Ne weitere Möglichkeit den Mechanismus auszuhebeln wäre ein Proxy Server auf den man noch vor der Geschichte ohne Restriktion zugreifen kann.
Diesen dann ins Uni Netz einwählen und alle anderen Nutzen den Proxy.
Darf man so nen Vorschlag hier überhaupt schreiben? ggf. PN
Wie gesagt, ich "studiere" es noch und habe keinen Master darin
Na ja solche Allerwelts Binsenweisheiten von heute weiss aber auch der pfiffige Schüler von nebenan schon...Rat von Leuten die es wissen findet man doch gerade an der Uni wo sie es vanderen vermitteln. Wenn nicht da wo sonst ?? Erfahrungen lernt man dort in Praktikas....
Diese deine Logik entspricht aber nicht gerade akademischem Denken, sorry.
Wie man es mit einem zentralen oder einzelnen VPNs löst findest du ja oben hinreichend beschrieben.
Jetzt musst du nur noch machen...
Na die Lösung liegt doch schon auf der Hand da du genau weist was du brauchst.
Das einzige Problem ist, dass alle über einen Login ins Netz gehen würden. Ist dies okay?
Setz auf na kleinen Kiste nen CISCO AnyConnect Client auf und bau z.b. nen Proxy der auf den Connecter geroutet wird. Alle anderen müssen dann noch Zugriff auf den Proxy bekommen. Bums Lösung.
//Ich kenne keine Büchse, die nen CISCO AnyConnect Client habt, daher selbst bauen.
Das einzige Problem ist, dass alle über einen Login ins Netz gehen würden. Ist dies okay?
Setz auf na kleinen Kiste nen CISCO AnyConnect Client auf und bau z.b. nen Proxy der auf den Connecter geroutet wird. Alle anderen müssen dann noch Zugriff auf den Proxy bekommen. Bums Lösung.
//Ich kenne keine Büchse, die nen CISCO AnyConnect Client habt, daher selbst bauen.
Erst einmal:
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.
Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.
Ich studiere Cybersicherheit, bin seit ca. einem halben Jahr Netzwerkadmin in einem Studentenwohnheim und stehe vor folgendem Problem.
Vor kurzem haben die Verantwortlichen vom Rechenzentrum unser Subnetz nun wie ein öffentliches Netz deklariert (vorher konnte man nur mit einer registrierten MAC Internetzugang haben).
Nun gibt es diese Einschränkung nicht. Dafür wurden aber haufenweise Ports, vor allem UDP und fast alles über 10.000 gesperrt.
Als "Netzwerkadmin" solltest du doch eigentlich zum Kreis der "Verantwortlichen vom Rechenzentrum" gehören? Hast du mit den Kollegen schon mal gesprochen und eine gemeinsame Problemlösung in Betracht gezogen?