Was ist die richtige VPN- Strategie? Wer Hilft mir bei meiner Prüfung?
Hallo Zusammen,
ich hänge ein wenig bei meinem Abschlussprojekt als Fisi. Meine Aufgabe:
Auf einem Laptop eine VPN- Client einrichten dann via DSL ins Firmenetzwerk verbinden und am IP- Cop als VPN- Gateway Server Authentifizieren.
Kurze Darstellung der Topologie:
Fritz!Box 7050 als DSL Modem und Voip Telefonanlage. NAT ist eingeschaltet und alle offen Ports werden an die Rote- Lankarte weitergeleitet im IP-Cop. Von dort aus werden die Anfragen wieder via Portforwading an die DMZ oder dem lokalen Netzwerk wieter geschickt.
Da der IP-Cop ja eigentlich alles für eine VPN- Verbindung mitbringt, versuche ich jetzt die richtige VPN-Typ zu bestimmen.
- Point to Point ist zu unsicher!
- IP-Sec ist zu heftig und fehleranfällig!
- Open VPN- Share- Key ist leider auch zu unsicher!
Ich denke daher an eine Lösung auf Open-VPN und Host und Rootzertifikate.
Daher habe ich fogende Fragen:
Wie komme ich an der NAT- Firewall in der FritzBox vorbei ohne die NAT Firewall ausschalten zu müssen bzw. auf Modembetrieb umzustellen?
Wie richtige in den VPN- Gateway auf dem IP-Cop richtig ein und zu guter letzt kann ich das intern testen die Einwahl? Ich meine damit, ob ich das aus dem Netzwerk heraus die Verbindung testen kann? Einaml raus ins Interent und wieder rein? Welchen VPN Client-tool soll ich für die Einwahl für Windows verwenden?
Bleibt jetzt nur noch anzumereken, dass der VPN- Gateway über eine DynDNS- Adresse angesprochen werden muss!
Ich hoffe ihr helft mir eine wenig danke Mike
ich hänge ein wenig bei meinem Abschlussprojekt als Fisi. Meine Aufgabe:
Auf einem Laptop eine VPN- Client einrichten dann via DSL ins Firmenetzwerk verbinden und am IP- Cop als VPN- Gateway Server Authentifizieren.
Kurze Darstellung der Topologie:
Fritz!Box 7050 als DSL Modem und Voip Telefonanlage. NAT ist eingeschaltet und alle offen Ports werden an die Rote- Lankarte weitergeleitet im IP-Cop. Von dort aus werden die Anfragen wieder via Portforwading an die DMZ oder dem lokalen Netzwerk wieter geschickt.
Da der IP-Cop ja eigentlich alles für eine VPN- Verbindung mitbringt, versuche ich jetzt die richtige VPN-Typ zu bestimmen.
- Point to Point ist zu unsicher!
- IP-Sec ist zu heftig und fehleranfällig!
- Open VPN- Share- Key ist leider auch zu unsicher!
Ich denke daher an eine Lösung auf Open-VPN und Host und Rootzertifikate.
Daher habe ich fogende Fragen:
Wie komme ich an der NAT- Firewall in der FritzBox vorbei ohne die NAT Firewall ausschalten zu müssen bzw. auf Modembetrieb umzustellen?
Wie richtige in den VPN- Gateway auf dem IP-Cop richtig ein und zu guter letzt kann ich das intern testen die Einwahl? Ich meine damit, ob ich das aus dem Netzwerk heraus die Verbindung testen kann? Einaml raus ins Interent und wieder rein? Welchen VPN Client-tool soll ich für die Einwahl für Windows verwenden?
Bleibt jetzt nur noch anzumereken, dass der VPN- Gateway über eine DynDNS- Adresse angesprochen werden muss!
Ich hoffe ihr helft mir eine wenig danke Mike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 39257
Url: https://administrator.de/contentid/39257
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
such doch mal in netz nach "markus müller vpn tool"
dann brauchst du keinen vpn-client kaufen - wobei ich da mit
diversen doch etwas probleme hatte - eben ausser dem angesprochenen
mit den fritz-dingern habe leider keine erfahrung
gruss jan
ps: http://vpn.ebootis.de/
dann brauchst du keinen vpn-client kaufen - wobei ich da mit
diversen doch etwas probleme hatte - eben ausser dem angesprochenen
mit den fritz-dingern habe leider keine erfahrung
gruss jan
ps: http://vpn.ebootis.de/
Wichtig ist erstmal das du dir im Klaren bist welches Protokoll deine VPN Verbindung benutzt bzw. was der IP-Cop unterstützt:
IPsec mit ESP oder AH
PPTP
L2TP
SSL
Den NAT Prozess kannst du gar nicht deaktivieren, du musst also immer mit Port Forwarding arbeiten. Welche Ports hier in Frage kommen hängt von deinem Protokoll ab. Ich denke mal der IP-Cop macht IP-sec im ESP Mode, denn AH Mode ist technisch nicht über NAT zu übertragen.
Ich weiss auch nicht wie du zu der Erkenntnis kommst IPsec ist fehleranfällig ???
Darauf basiert ein Großteil von VPN Lösungen.
Erstmal also das Protokoll klären (auch was der Client benutzt) dann kann man loslegen. DynDNS sollte kein Problem sein, denn dafür gibt es einen embeddeten Client im IP-Cop. Da bleibt dann lediglich einen Account bei Dyndns.org einzurichten.
IPsec mit ESP oder AH
PPTP
L2TP
SSL
Den NAT Prozess kannst du gar nicht deaktivieren, du musst also immer mit Port Forwarding arbeiten. Welche Ports hier in Frage kommen hängt von deinem Protokoll ab. Ich denke mal der IP-Cop macht IP-sec im ESP Mode, denn AH Mode ist technisch nicht über NAT zu übertragen.
Ich weiss auch nicht wie du zu der Erkenntnis kommst IPsec ist fehleranfällig ???
Darauf basiert ein Großteil von VPN Lösungen.
Erstmal also das Protokoll klären (auch was der Client benutzt) dann kann man loslegen. DynDNS sollte kein Problem sein, denn dafür gibt es einen embeddeten Client im IP-Cop. Da bleibt dann lediglich einen Account bei Dyndns.org einzurichten.
Open VPN ist sicher der richtige Weg. Ich denke mal da gibt es Literatur zuhauf auch auf der openvpn Seite sollten diverse Hinweise sein.
Da du fleissige ct Leser bist kann ich dir nur das Archiv von der ct mal empfehlen. Im letzten Jahr sind dort diverse Artikel zum Einrichten von OpenVPN erschienen teilweise sogar mit einem kompletten howto bis in alle Details wie sowas aufgesetzt wird. Also am besten auf heise.de/ct mal im Heft Archiv stöbern.... Ich hoffe du hast dann die Jahrgangs CDs noch für den Artikel ansosnten kannst du die Artikel auch einfach downloaden, ist aber kostenpflichtig.
Da du fleissige ct Leser bist kann ich dir nur das Archiv von der ct mal empfehlen. Im letzten Jahr sind dort diverse Artikel zum Einrichten von OpenVPN erschienen teilweise sogar mit einem kompletten howto bis in alle Details wie sowas aufgesetzt wird. Also am besten auf heise.de/ct mal im Heft Archiv stöbern.... Ich hoffe du hast dann die Jahrgangs CDs noch für den Artikel ansosnten kannst du die Artikel auch einfach downloaden, ist aber kostenpflichtig.