24
VPN - Was passt zu mir?
Hallöle,
ich würde mir gern ein VPN aufbauen. Dies möchte ich am besten von überall erreichen können. (Also wenn ich im Hotel bin oder bei Freunden zum Besuch bin, ...).
Über dieses VPN möchte ich mein heimisches Active-Directory erreichen. Es sollte also gut gesichert sein.
Da ich aber doch auch an die Umwelt denken möchte, bin ich nicht gewillt ein extra PC laufen zu lassen, auf dem Sophos oder pfSense läuft. Ich dachte eher an einen Rock64 (etwas besserer Rasberry).
Als weitere Hürde möchte ich ungern auf den VPN-Clients Software installieren. Ich würde gern Windows-Boardmittel zum Verbinden nutzen, also in gewisser Weise eine zentralisierte Lösung um wirklich so agieren zu können, als säße ich gerade bei mir zu Hause auf der Couch.
Könnt ihr mich beraten, damit ich die VPN_Lösung finde, die am besten zu meinen Anforderungen passt?
Grüße @IT-Pro
ich würde mir gern ein VPN aufbauen. Dies möchte ich am besten von überall erreichen können. (Also wenn ich im Hotel bin oder bei Freunden zum Besuch bin, ...).
Über dieses VPN möchte ich mein heimisches Active-Directory erreichen. Es sollte also gut gesichert sein.
Da ich aber doch auch an die Umwelt denken möchte, bin ich nicht gewillt ein extra PC laufen zu lassen, auf dem Sophos oder pfSense läuft. Ich dachte eher an einen Rock64 (etwas besserer Rasberry).
Als weitere Hürde möchte ich ungern auf den VPN-Clients Software installieren. Ich würde gern Windows-Boardmittel zum Verbinden nutzen, also in gewisser Weise eine zentralisierte Lösung um wirklich so agieren zu können, als säße ich gerade bei mir zu Hause auf der Couch.
Könnt ihr mich beraten, damit ich die VPN_Lösung finde, die am besten zu meinen Anforderungen passt?
Grüße @IT-Pro
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381175
Url: https://administrator.de/contentid/381175
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
24 Kommentare
Neuester Kommentar
Hmm - ich würde erst mal über den NIC nachdenken.... Denn IT-Pro passt hier wohl nich so ganz....
Was du möchtest kann jede Fritzbox von Haus aus - und wohl auch ziemlich jeder andere Home-Router... Da brauchst du nich mal nen zusatzrechner für.
Was du möchtest kann jede Fritzbox von Haus aus - und wohl auch ziemlich jeder andere Home-Router... Da brauchst du nich mal nen zusatzrechner für.
Guten morgen,
was hast du denn alles für Hardware, wenn du ein AD zu Hause hast, wird da ja sicherlich ein bisschen was an Technik stehen oder?
Ist da nichts bei, was einen VPN Server von Hause aus mit bringt?
Gruß
was hast du denn alles für Hardware, wenn du ein AD zu Hause hast, wird da ja sicherlich ein bisschen was an Technik stehen oder?
Ist da nichts bei, was einen VPN Server von Hause aus mit bringt?
Zitat von @maretz:
Hmm - ich würde erst mal über den NIC nachdenken.... Denn IT-Pro passt hier wohl nich so ganz....
Das gleiche habe ich mir auch gedacht Hmm - ich würde erst mal über den NIC nachdenken.... Denn IT-Pro passt hier wohl nich so ganz....
Was du möchtest kann jede Fritzbox von Haus aus - und wohl auch ziemlich jeder andere Home-Router...
Naja er möchte ja keine Zusatzsoftware, da könnte das mit der FritzBox dann schwierig werden, außer über mobile Geräte geht das ja nicht ohne den Client, wobei ich das Problem daran auch nicht verstehe.Gruß
Ich kann dir an dieser Stelle zwei Dinge raten:
1. Benutze Open VPN und richte ssl vpn ein dann hast du es vernünftig allerdings nicht ohne Client nutzbar.
2. Richte auf dem Server (je nach Betriebssystem ich gehe von ms Server 2012r2 oder höher aus) über routing und ras VPN ein benutze IPSec/L2tp dann brauchst du keinen Client und hast beim anmelden vom Windows Rechner gleich die Authentifizierung am Server (Zugriffsrechte, logonscript usw.).
Sichere preshared keys (oder Zertifikate ) vorausgesetzt.
Dennoch solltest du dir vor deinem Server Gedanken um eine Firewall machen.
1. Benutze Open VPN und richte ssl vpn ein dann hast du es vernünftig allerdings nicht ohne Client nutzbar.
2. Richte auf dem Server (je nach Betriebssystem ich gehe von ms Server 2012r2 oder höher aus) über routing und ras VPN ein benutze IPSec/L2tp dann brauchst du keinen Client und hast beim anmelden vom Windows Rechner gleich die Authentifizierung am Server (Zugriffsrechte, logonscript usw.).
Sichere preshared keys (oder Zertifikate ) vorausgesetzt.
Dennoch solltest du dir vor deinem Server Gedanken um eine Firewall machen.
Naja er möchte ja keine Zusatzsoftware, da könnte das mit der FritzBox dann schwierig werden, außer über mobile Geräte geht das ja nicht ohne den Client, wobei ich das Problem daran auch nicht verstehe.
Moin,
Das IPSEC, das die Fritzbox spricht, kann jede Windowskiste von Haus aus ohne daß eine Zusatzsoftware notwendig wäre. Nur ist es für einen IT-Pro etwas "gruselig" zu konfigurieren.
lks
PS: Linux und BSD-Kisten haben das natürlich sowieso eingebaut.
1
Zitat von @IT-Pro:
Da ich aber doch auch an die Umwelt denken möchte, bin ich nicht gewillt ein extra PC laufen zu lassen, auf dem Sophos oder pfSense läuft. Ich dachte eher an einen Rock64 (etwas besserer Rasberry).
Grüße @IT-Pro
Der ist echt gut!Da ich aber doch auch an die Umwelt denken möchte, bin ich nicht gewillt ein extra PC laufen zu lassen, auf dem Sophos oder pfSense läuft. Ich dachte eher an einen Rock64 (etwas besserer Rasberry).
Grüße @IT-Pro
Sich Gedanken um den Energieverbrauch machen, aber auf dauerhaft laufende interne Geräte zugreifen wollen!
Hast Du in Deinem Heimnetz Geräte am laufen, die keinen Energie verbrauchen? OPNsense/pfsense läuft 1a auf einem System wie den PCEngines APU2-Systemen. Die APU2 Teile liegen so ~ 8 Watt Energieverbrauch. Dürfte sich also kaum im Energieverbrauch des Gesamtsystems bemerkbar machen.
Zitat von @Lochkartenstanzer:
Das IPSEC, das die Fritzbox spricht, kann jede Windowskiste von Haus aus ohne daß eine Zusatzsoftware notwendig wäre. Nur ist es für einen IT-Pro etwas "gruselig" zu konfigurieren.
Das ja, aber mit dem IKEv1 gibt es doch die Komplikationen oder bin ich gerade auf dem Holzweg und habe was nicht mitbekommen?Das IPSEC, das die Fritzbox spricht, kann jede Windowskiste von Haus aus ohne daß eine Zusatzsoftware notwendig wäre. Nur ist es für einen IT-Pro etwas "gruselig" zu konfigurieren.
Zitat von @Archeon:
Zitat von @Lochkartenstanzer:
Das IPSEC, das die Fritzbox spricht, kann jede Windowskiste von Haus aus ohne daß eine Zusatzsoftware notwendig wäre. Nur ist es für einen IT-Pro etwas "gruselig" zu konfigurieren.
Das ja, aber mit dem IKEv1 gibt es doch die Komplikationen oder bin ich gerade auf dem Holzweg und habe was nicht mitbekommen?Das IPSEC, das die Fritzbox spricht, kann jede Windowskiste von Haus aus ohne daß eine Zusatzsoftware notwendig wäre. Nur ist es für einen IT-Pro etwas "gruselig" zu konfigurieren.
Deswegen sage ich ja, daß IT-Pros da an ihre Grenzen kommen könnten.
Man kann es machen, muß man aber nicht.
lks
Ah gut, dann habe ich das doch richtig interpretiert, ich dachte schon ich habe da was verpasst
Meineswissens kann eine FritzBox nur ein VPN mit einer anderen FritzBox aufbauen, sodass dies hier entfällt. Denn ich möchte mich auch verbinden können, wenn ich im Hotel bin oder auf Reisen.
Dann ist dein Wissen aber falsch oder nicht aktuell, du kannst dich auch mit einem Client oder Mobilgerät per VPN verbinden.
Lies dich hier mal durch
Lies dich hier mal durch
Jungs, man kann nicht alles mit einmal wissen. Wissen wird Schritt-für-Schritt aufgebaut. Also entspannt euch.
Das ist korrekt, aber wenn man sich als IT-Pro bezeichnet, muss man mit so was auch mal rechnen Zitat von @MichaelW84:
Ich kann dir an dieser Stelle zwei Dinge raten:
1. Benutze Open VPN und richte ssl vpn ein dann hast du es vernünftig allerdings nicht ohne Client nutzbar.
Ich kann dir an dieser Stelle zwei Dinge raten:
1. Benutze Open VPN und richte ssl vpn ein dann hast du es vernünftig allerdings nicht ohne Client nutzbar.
An OpenVPN habe ich auch bereits gedacht. Wie gesagt, das Problem ist der Software-Client.
2. Richte auf dem Server (je nach Betriebssystem ich gehe von ms Server 2012r2 oder höher aus) über routing und ras VPN ein benutze IPSec/L2tp dann brauchst du keinen Client und hast beim anmelden vom Windows Rechner gleich die Authentifizierung am Server (Zugriffsrechte, logonscript usw.).
Sichere preshared keys (oder Zertifikate ) vorausgesetzt.
https://www.amazon.de/PC-Engines-APU4B4-Systemboard-LAN/dp/B07CBHXRQK/re ...
gute geeignet, weil das Netzteil noch einen verkraftbaren Verbrauch hat, allerdings 180€ mal zwei ist dann auch schon wieder ein ganz schöner Happen. (Als Schüler kommt man kostenlos an MS Lizenzen, erst dadurch war es möglich ein eigenes AD aufzubauen.)
Dennoch solltest du dir vor deinem Server Gedanken um eine Firewall machen.
Du meinst die FW der Fritzbox ist nicht mehr ausreichend?Grüße
@IT-Pro
Ja, genau. Soetwas geht auch noch. Habe ich nach dem Verfassen des Beitrages gefunden. Ich möchte nur nicht noch etwas mit 300Watt oder höher hinstellen wollen. Der eine dauerhafte Stromfresser reicht vollkommen.
Grüße
@IT-Pro
Grüße
@IT-Pro
Falsch.
Denn ich möchte mich auch verbinden können, wenn ich im Hotel bin oder auf Reisen.
Mach ich die ganze Zeit, z.B. mit einem Android-Smartphone oder einer Linux-Kiste.
lks
Musst ja nicht neu kaufen.
Gibt z.B. auch diverse Möglichkeiten für wenig Geld an sparsame HW für eine Firewall zu kommen.
- ausrangierte ThinClients z.B. FSC Futro
- ausrangierte FW-Hardware (z.B. Gateprotect, Sophos, Securepoint, usw.)
- Netgate SG-1000 (pfsense) Die braucht sogar < 5 Watt!!!
Meine aktuelle OPNsense-HW hat mich keine 50€ gekostet (Lexcom 3I525 mit Intel Atom D525). Braucht auch nur 10 Watt.
Und ja, wer ein IT-Pro sein möchte sollte sich auch mit einer Firewall auskennen. ;)
Gibt z.B. auch diverse Möglichkeiten für wenig Geld an sparsame HW für eine Firewall zu kommen.
- ausrangierte ThinClients z.B. FSC Futro
- ausrangierte FW-Hardware (z.B. Gateprotect, Sophos, Securepoint, usw.)
- Netgate SG-1000 (pfsense) Die braucht sogar < 5 Watt!!!
Meine aktuelle OPNsense-HW hat mich keine 50€ gekostet (Lexcom 3I525 mit Intel Atom D525). Braucht auch nur 10 Watt.
Und ja, wer ein IT-Pro sein möchte sollte sich auch mit einer Firewall auskennen. ;)
Tja - dann ist dein Wissen leider falsch. IPSEC kann so ziemlich jedes Gerät mittlerweile, selbst nen Mobiltelefon.... Und ob du jetzt Ike1 oder 2 nimmst - für "grundlegende" Dinge macht das jetzt keinen realen Unterschied...
Stimmt. Und da ich kein Flugzeug fliegen kann melde ich mich auch nicht in nem Flieger-Forum mit "Überflieger" oder "Pro-Pilot" an... Wenn ich mich in nem Admin-Forum mit "IT-Pro" anmelde und dann aber fragen stellen die eher so "etwas mehr als Hausgebrauch" sind dann muss ich damit rechnen!
Moin,
bastel doch einfach mit dem Pi herum. Hab hier einen laufen mit PiVPN + PiHole (filtert Werbung weg). Einrichten dauert keine 15min und die App fürs Android Telefon läuft bisher einwandfrei. Dann dem Router / deiner Fritzbox den Port durchleiten lassen und fertig.
bastel doch einfach mit dem Pi herum. Hab hier einen laufen mit PiVPN + PiHole (filtert Werbung weg). Einrichten dauert keine 15min und die App fürs Android Telefon läuft bisher einwandfrei. Dann dem Router / deiner Fritzbox den Port durchleiten lassen und fertig.
Zur thematik ras Dienst auf DC installieren ...
da würde ich mir keine Sorgen machen wenn alles vernünftig konfiguriert wird. du kannst dann sogar für dein VPN den dhcp vom Server nutzen was besser ist als das dhcp von der fritzbox in einem domänenetzwerk.
Und was das thema Firewall angeht , ich sag es mal vorsichtig so .
Die fritzbox ist ein Router mit modemfunktion und hat ein paar Firewall Features aber eine richtige Firewall ist es nicht.
Ich kenne dein graues Vorhaben nicht wie wertvoll sind die gespeicherten Daten auf dem Server usw.
da würde ich mir keine Sorgen machen wenn alles vernünftig konfiguriert wird. du kannst dann sogar für dein VPN den dhcp vom Server nutzen was besser ist als das dhcp von der fritzbox in einem domänenetzwerk.
Und was das thema Firewall angeht , ich sag es mal vorsichtig so .
Die fritzbox ist ein Router mit modemfunktion und hat ein paar Firewall Features aber eine richtige Firewall ist es nicht.
Ich kenne dein graues Vorhaben nicht wie wertvoll sind die gespeicherten Daten auf dem Server usw.
Im Bezug auf den weiteren pc.
Warum installierst du nicht Hyperv auf den einen Host pc und erstellst mehrere virtuelle Maschinen das ist in vielerlei Hinsicht eine gute Idee .
Ja ihr habt recht , es wird oft gesagt ein DC sollte nicht in einer VM laufen , ich kann euch aus der Praxis sagen, das läuft einwandfrei ohne Probleme wenn man einen DC virtualisiert.
Und wenn du es so machst kannst du auch ne eigene vm für VPN laufen lassen entweder routing und ras oder Open VPN auf einer Linux vm .
Du kannst mit Open VPN nicht nur ssl machen du kannst damit auch IPSec machen dann kannst du auch die integrierten VPN Clients benutzen .
Open VPN ist nur etwas frickelich zu konfigurieren wie ich finde.
Warum installierst du nicht Hyperv auf den einen Host pc und erstellst mehrere virtuelle Maschinen das ist in vielerlei Hinsicht eine gute Idee .
Ja ihr habt recht , es wird oft gesagt ein DC sollte nicht in einer VM laufen , ich kann euch aus der Praxis sagen, das läuft einwandfrei ohne Probleme wenn man einen DC virtualisiert.
Und wenn du es so machst kannst du auch ne eigene vm für VPN laufen lassen entweder routing und ras oder Open VPN auf einer Linux vm .
Du kannst mit Open VPN nicht nur ssl machen du kannst damit auch IPSec machen dann kannst du auch die integrierten VPN Clients benutzen .
Open VPN ist nur etwas frickelich zu konfigurieren wie ich finde.
Für Virtualisierung ist dIe Hardware zu klein. Verwende ja nur ne kleine NAS-Box
Ich habe immer gedacht, die VPN-Software müsse auf allen Geräten installiert werden. Doch Michael war so nett, mir zu erklären, dass die Software nur auf dem Gerät installiert werden muss, dass nicht zu Hause im Zeilnetz ist.
Dann werde ich jetzt open VPN nutzen. Hat noch jemand bedenken oder Verbesserungsvorschläge? Mein erster plan war ja eigentlich openswan...
Grüße
Ich habe immer gedacht, die VPN-Software müsse auf allen Geräten installiert werden. Doch Michael war so nett, mir zu erklären, dass die Software nur auf dem Gerät installiert werden muss, dass nicht zu Hause im Zeilnetz ist.
Dann werde ich jetzt open VPN nutzen. Hat noch jemand bedenken oder Verbesserungsvorschläge? Mein erster plan war ja eigentlich openswan...
Grüße
Wer sagt das!?
Wir haben 2018 und da sind virtualisierte DC schlichtweg 'Normalzustand' in Netzwerken! Wichtig ist halt, dass zumindest 2 DC die unabhängig voneinander sind (physikalisch und nach Möglichkeit auch räumlich getrennt) im Netz vorhanden sind. Ob die DC nun native auf Blech oder als VM laufen ist vollkommen unerheblich.
Zitat von @monstermania:
Wer sagt das!?
Wir haben 2018 und da sind virtualisierte DC schlichtweg 'Normalzustand' in Netzwerken!
Wer sagt das!?
Wir haben 2018 und da sind virtualisierte DC schlichtweg 'Normalzustand' in Netzwerken!
Man muß es schon genauer formulieren:
Es sollte mindestens ein DC auf Bare-Metal laufen, wenn man Hyper-V zur Virtualisierung benutzt und die Hyper-V-Server Domänenmitglieder sind. Ansonsten bekommt man irgendwann ein Henne-Ei-Problem.
lks
PS. Mit ESXi taucht das Problem natürlich genauso auf, wenn man das AD zur Authentifikation nutzt.
Mit Winblows Bordmitteln machst du am auf deinem Rock64 am besten IPsec mit Strongswan:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://www.raspberrypi.org/forums/viewtopic.php?t=101673
OpenVPN wäre einfacher, da es als SSL basiertes VPN keine NAT Problematik hat wie IPsec. Erfordert aber immer einen separten Client was du nicht willst.
OVPN Anleitungen gibt es viele:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Nebenbei kannst du ein billiges Alix 2D13 Board oder ein APU2 nehmen für die pfSense was wenig Strom verbraucht. Ein PC wäre eh Blödsinn. Stromkosten mit den PCEngines Blades ca. 20 Euro im Jahr.
Die pfSense kann dann OVPN und IPsec und das sogar gleichzeitig
Sinnvoll wäre es wenn du deinen Router ganz entsorgst und deinen Internet Zugang dann zentral mit der pfSense erledigst. Dann hast du keinerlei Mehrkosten ! VPN Server gehören eben auf Router oder Firewall.
Oder...beschaff dir ne FritzBüx ! Die hat auch alles gleich von sich aus an Bord und macht das VPN mit Winblows Bordmitteln:
https://avm.de/service/vpn/uebersicht/
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://www.raspberrypi.org/forums/viewtopic.php?t=101673
OpenVPN wäre einfacher, da es als SSL basiertes VPN keine NAT Problematik hat wie IPsec. Erfordert aber immer einen separten Client was du nicht willst.
OVPN Anleitungen gibt es viele:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Nebenbei kannst du ein billiges Alix 2D13 Board oder ein APU2 nehmen für die pfSense was wenig Strom verbraucht. Ein PC wäre eh Blödsinn. Stromkosten mit den PCEngines Blades ca. 20 Euro im Jahr.
Die pfSense kann dann OVPN und IPsec und das sogar gleichzeitig
Sinnvoll wäre es wenn du deinen Router ganz entsorgst und deinen Internet Zugang dann zentral mit der pfSense erledigst. Dann hast du keinerlei Mehrkosten ! VPN Server gehören eben auf Router oder Firewall.
Oder...beschaff dir ne FritzBüx ! Die hat auch alles gleich von sich aus an Bord und macht das VPN mit Winblows Bordmitteln:
https://avm.de/service/vpn/uebersicht/
