zeroblue2005
Goto Top

Was ist die richtige VPN- Strategie? Wer Hilft mir bei meiner Prüfung?

Hallo Zusammen,

ich hänge ein wenig bei meinem Abschlussprojekt als Fisi. Meine Aufgabe:

Auf einem Laptop eine VPN- Client einrichten dann via DSL ins Firmenetzwerk verbinden und am IP- Cop als VPN- Gateway Server Authentifizieren.

Kurze Darstellung der Topologie:
Fritz!Box 7050 als DSL Modem und Voip Telefonanlage. NAT ist eingeschaltet und alle offen Ports werden an die Rote- Lankarte weitergeleitet im IP-Cop. Von dort aus werden die Anfragen wieder via Portforwading an die DMZ oder dem lokalen Netzwerk wieter geschickt.

Da der IP-Cop ja eigentlich alles für eine VPN- Verbindung mitbringt, versuche ich jetzt die richtige VPN-Typ zu bestimmen.

- Point to Point ist zu unsicher!
- IP-Sec ist zu heftig und fehleranfällig!
- Open VPN- Share- Key ist leider auch zu unsicher!

Ich denke daher an eine Lösung auf Open-VPN und Host und Rootzertifikate.

Daher habe ich fogende Fragen:

Wie komme ich an der NAT- Firewall in der FritzBox vorbei ohne die NAT Firewall ausschalten zu müssen bzw. auf Modembetrieb umzustellen?

Wie richtige in den VPN- Gateway auf dem IP-Cop richtig ein und zu guter letzt kann ich das intern testen die Einwahl? Ich meine damit, ob ich das aus dem Netzwerk heraus die Verbindung testen kann? Einaml raus ins Interent und wieder rein? Welchen VPN Client-tool soll ich für die Einwahl für Windows verwenden?

Bleibt jetzt nur noch anzumereken, dass der VPN- Gateway über eine DynDNS- Adresse angesprochen werden muss!


Ich hoffe ihr helft mir eine wenig danke Mike

Content-ID: 39257

Url: https://administrator.de/contentid/39257

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

potatoe
potatoe 03.09.2006 um 12:55:07 Uhr
Goto Top
such doch mal in netz nach "markus müller vpn tool"
dann brauchst du keinen vpn-client kaufen - wobei ich da mit
diversen doch etwas probleme hatte - eben ausser dem angesprochenen
mit den fritz-dingern habe leider keine erfahrung

gruss jan

ps: http://vpn.ebootis.de/
aqui
aqui 03.09.2006 um 13:30:08 Uhr
Goto Top
Wichtig ist erstmal das du dir im Klaren bist welches Protokoll deine VPN Verbindung benutzt bzw. was der IP-Cop unterstützt:

IPsec mit ESP oder AH
PPTP
L2TP
SSL

Den NAT Prozess kannst du gar nicht deaktivieren, du musst also immer mit Port Forwarding arbeiten. Welche Ports hier in Frage kommen hängt von deinem Protokoll ab. Ich denke mal der IP-Cop macht IP-sec im ESP Mode, denn AH Mode ist technisch nicht über NAT zu übertragen.
Ich weiss auch nicht wie du zu der Erkenntnis kommst IPsec ist fehleranfällig ???
Darauf basiert ein Großteil von VPN Lösungen.
Erstmal also das Protokoll klären (auch was der Client benutzt) dann kann man loslegen. DynDNS sollte kein Problem sein, denn dafür gibt es einen embeddeten Client im IP-Cop. Da bleibt dann lediglich einen Account bei Dyndns.org einzurichten.
zeroblue2005
zeroblue2005 03.09.2006 um 13:45:41 Uhr
Goto Top
Hallo aqui ,

du sprichst meine Sprache lol face-wink, dass finde ich schon mal super! Habe das mit IPSEC aus der CT es ist zu schwierig und wäre eben sehr Fehleranfällig, stand da zumindest. Ich habe mich eigentlich schon mit Open-VPN angefreundet.

Und es ist nicht richtig, Ich kann die NAT auschalten. Das haben die Jungs von AVM gelöst gibt es extra eine Einstellung die lautet:

Achtung: Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Für diesen Computer ist die Firewall Ihrer FRITZ!Box deaktiviert.

Ich würde die Nat in der Fritzbox ja auch auschalten nur habe ich dann ein wenig angst um meine Box nicht um mein Netzwerk den da steht ja noch der IPCOP.

Na ja die Box ist ja nicht mein Hauptproblem nur wo fange ich an das ganze umzusetzen?
Fühle mich ein wenig allein gelassen von meinem Betrieb. Ausser einer PPTP
VPN bringen die nix zu stande und diese Art der VPN ist ja wirklich unsicher, weill die Benutzernamen und Passwörter im Klartext übertragen werden. Die CT schreibt, sollte für eine ernsthafte Verbindung nicht genutzt werden.

Und wie gehe ich jetzt vor wenn ich mich für open-VPN entschieden habe? Ein gutes Howto würde mir ja schon reichen. ich bin mehr der Praxismensch der erst Bastelt und hinterher die Zusammnehänge versteht. leider komme ich da bei VPN nicht richtig mit durch!
aqui
aqui 11.09.2006 um 16:34:48 Uhr
Goto Top
Open VPN ist sicher der richtige Weg. Ich denke mal da gibt es Literatur zuhauf auch auf der openvpn Seite sollten diverse Hinweise sein.
Da du fleissige ct Leser bist kann ich dir nur das Archiv von der ct mal empfehlen. Im letzten Jahr sind dort diverse Artikel zum Einrichten von OpenVPN erschienen teilweise sogar mit einem kompletten howto bis in alle Details wie sowas aufgesetzt wird. Also am besten auf heise.de/ct mal im Heft Archiv stöbern.... Ich hoffe du hast dann die Jahrgangs CDs noch für den Artikel ansosnten kannst du die Artikel auch einfach downloaden, ist aber kostenpflichtig.