jochem
Goto Top

Wie richte ich einen VPN-Zugang für mehrer PCs an einem externen Standort ein?

In einer Außenstelle steht ein PC, der per VPN auf unser Netz zugreifen kann. Nun soll in der Außenstelle noch ein weiterer PC angeschlossen werden, der ebenfalls auf unser Netz zugreifen soll. Wie bekomme ich beide PCs über eine VPN-Verbindung angeschlossen?
Betriebssystem Clients: XP Pro

Moin zusammen,
wie oben beschrieben, stehe ich vor dem Problem, mehrere Rechner (ich befürchte, in der Außenstelle werden es noch mehr werden) über eine VPN-Verbindung in unser Netz zu integrieren. Wir hängen an einem RZ und das VPN wird zunächst dorthin aufgebaut und von dort zu uns "weitergeleitet".

Folgende Überlegungen habe ich bisher angestellt:
1) Die Außenstelle verfügt dort nur über ein DSL-Modem, es ist kein Router vorhanden. Ergo habe ich überlegt, dort eine (Telekom-)Router zu installieren und den Datenverkehr über diesen laufen zu lassen. Würde auch funktionieren, aber dann brauche ich für jeden PC dort ein kostenpflichtiges Zertifikat.
2) Ich stell dort einen IPCop hin und mach die Verbindung da drüber. Nur hat der IPCop ein Linux-basiertes BS. Wie bekomme ich den also dazu, mein Zertifikat anzunehmen und den VPN-Tunnel aufzubauen (ich bin totaler Linux-Laie)?
3) Ich stell dort einen Windows-PC mit zwei Netzwerkkarten hin. Die eine NIC macht die VPN-Verbindung, an der anderen hängen die lokalen PCs. Was muß ich an dem PC einstellen, damit das Routing von "innen" nach "außen" funktioniert?

Mir ist bei dem Aufbau nicht klar, wie die PCs aus dem lokalen Netz der Außenstelle die Verbindung zum VPN finden. Der PC, welcher die VPN-Verbindung aufbaut, benötigt ja seiner seits erst einmal eine Verbindung ins Internet, erst dann wird der VPN-Tunnel aufgebaut, oder sehr ich das falsch? Wie regele ich dann, daß die Verbindung nicht über die "normale" Internet-Anbindung erfolgt, sondern über den VPN-Tunnel? Oder anders gefragt: Woher "weiß" der lokale PC in der Außenstelle, daß er über die VPN-Verbindung kommunizieren soll und nicht über die Internet-Verbindung?

Ich steh im Augenblick wieder mal auf dem Schlauch und seh den Wald vor lauter Bäumen nicht. Habt ihr irgendwelche Vorschläge, Links, etc. anzubieten?

Gruß J face-smile chem

Content-Key: 167740

Url: https://administrator.de/contentid/167740

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.06.2011, aktualisiert am 18.10.2012 um 18:47:09 Uhr
Goto Top
Schau mal in den Anleitungen hier im Forum, z.B. denen von aqui.

Hier OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router könnte ein Anfang sein.

OpenVPN funktioniert unter allen Plattformen weitgehend gleich, so daß die Anleitung durchaus für andere Plattformen übertragbar ist.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.06.2011 um 08:49:29 Uhr
Goto Top
Zitat von @Jochem:
Folgende Überlegungen habe ich bisher angestellt:
1) Die Außenstelle verfügt dort nur über ein DSL-Modem, es ist kein Router vorhanden. Ergo habe ich überlegt,
dort eine (Telekom-)Router zu installieren und den Datenverkehr über diesen laufen zu lassen. Würde auch funktionieren,
aber dann brauche ich für jeden PC dort ein kostenpflichtiges Zertifikat.

Ein Router, z.B. DD-WRT-fähig, würde reichen.


2) Ich stell dort einen IPCop hin und mach die Verbindung da drüber. Nur hat der IPCop ein Linux-basiertes BS. Wie bekomme
ich den also dazu, mein Zertifikat anzunehmen und den VPN-Tunnel aufzubauen (ich bin totaler Linux-Laie)?

Da gibt es auch genug anleitungen, aber es reicht auch ein "kleiner" Router mit OpenVPN.

3) Ich stell dort einen Windows-PC mit zwei Netzwerkkarten hin. Die eine NIC macht die VPN-Verbindung, an der anderen hängen
die lokalen PCs. Was muß ich an dem PC einstellen, damit das Routing von "innen" nach "außen"
funktioniert?

Das würde ich als Overkill bezeichnen, Aber Du kannst da einfach routing freischalten und statisch routen eintragen. Aber die Routerlösung wäre geschickter.



Mir ist bei dem Aufbau nicht klar, wie die PCs aus dem lokalen Netz der Außenstelle die Verbindung zum VPN finden. Der PC,
welcher die VPN-Verbindung aufbaut, benötigt ja seiner seits erst einmal eine Verbindung ins Internet, erst dann wird der
VPN-Tunnel aufgebaut, oder sehr ich das falsch? Wie regele ich dann, daß die Verbindung nicht über die
"normale" Internet-Anbindung erfolgt, sondern über den VPN-Tunnel? Oder anders gefragt: Woher
"weiß" der lokale PC in der Außenstelle, daß er über die VPN-Verbindung kommunizieren soll und
nicht über die Internet-Verbindung?

Über die Routen. List Dich hier erstmal in die Anleitung zu VPn und IP ein,

Oder such Dir einen Dienstleister, der das für Dich macht. Ich veranschlage für so etwas i.d.R. 1/2 bis 1 MT, je nachdem welcher Anfahrtsweg, welche "Zusatzwünsche" und welcher Dokumentationsaufwand getrieben werden muß ggf. auch mehr.
Mitglied: Jochem
Jochem 09.06.2011 um 08:54:53 Uhr
Goto Top
Moin,
danke für den Link, aber der hilft mir nicht weiter.

Wir hängen an einem RZ und das VPN wird zunächst dorthin aufgebaut und von dort zu uns "weitergeleitet".

Es bringt mir also nichts, wenn ich einen VPN-Server hier aufbaue, ich aber nicht von extern drauf zugreifen kann, da die FW des RZ das blockt.

Was ich erreichen will, ist, daß ich mit einer "Kiste" die VPN-Verbindung (mit Zertifikat vom RZ) aufbaue und alle anderen "Kisten" diese Verbindung nutzen können.

Gruß J face-smile chem
Mitglied: Jochem
Jochem 09.06.2011 um 09:06:02 Uhr
Goto Top
Moin,

irgendwie habe ich das Gefühl, wir reden aneinander vorbei. Ich suche keine Lösung für eine eigenständige VPN-Verbindung, sondern möchte eine vorhandene Lösung so ändern können, daß anstelle eines Clients mehrere Clients diese eine VPN-Verbindung nutzen.

Derzeit habe ich einen PC/Client in der Außenstelle, der mittels eines vom RZ ausgestellten Zertifikates eine VPN-Verbindung zu uns hin aufbaut, wobei der VPN-Server nicht bei uns sondern im RZ steht.

Nun stelle ich mir vor, daß dieser eine Client die Verbindung wie gehabt aufbaut und alle weiteren Clients an dem Standort diese Verbindung nutzen. Daher ja auch die Überlegung, einen Client dort zu installieren, der zwei NICs hat und mit einer die VPN-Verbindung aufbaut und mit der anderen das lokale Netz bedient. Wenn das per Routing auf der Kiste realisierbar ist, dann bin ich schon einen Schritt weiter, das bekomme ich dann schon gebacken (hoffe ich). Wenn das aber nicht funktioniert, brauche ich noch eine andere Lösung.

Gruß J face-smile chem
Mitglied: Archimedes
Archimedes 09.06.2011 um 09:23:00 Uhr
Goto Top
Dir wurde schon mehrfach gesagt wies geht.... "dieser eine Client", wie du ihn nennst wird der Router sein... egal ob nun ipcop, openvpn oder sonstwas ...
Mitglied: goscho
goscho 09.06.2011 um 09:31:06 Uhr
Goto Top
Morgen,

@Jochem,
welches VPN wird denn vom RZ verwendet (PPTP/L2TP, IPSEC-VPN, Open-VPN, SSL-VPN, proprietär wie z.B. HOB)?

Wenn du erreichen möchtest, dass mehrere Geräte aus der selben Location ein VPN zum RZ aufbauen, dann müssen entweder alle Clients einzeln mit eigenem Zertifikat eingerichtet werden oder es wird ein LAN-LAN-VPN eingerichtet, was dann allen Clients den VPN-Zugang ermöglicht.
Mitglied: Jochem
Jochem 09.06.2011 um 09:36:47 Uhr
Goto Top
Moin,

Sorry, aber lies Dir bitte meine Fragestellung durch: Es geht nicht darum, einen irgendwie gearteten Router mit einem OpenVPN-Server auszustatten.

Gruß J face-smile chem
Mitglied: Jochem
Jochem 09.06.2011 um 09:42:04 Uhr
Goto Top
Moin,

hey, so wirds langsam was: Das RZ arbeitet auch mit OpenVPN. Das mit den einzelnen Zertifikaten wollte ich eigentlich umgehen, es wird aber wohl dsarauf hinauslaufen. Für ein LAN-LAN-VPN brauche ich dann wieder das RZ, da ich von hier aus das nicht einrichten kann/darf. Und dann ist wieder die Frage, ab wann sich L2L lohnt. Irgendwie alles nicht so einfach. Ich denke, ich mal da voerst vmal nen Haken dran. Danke!

Gruß J face-smile chem
Mitglied: aqui
aqui 10.06.2011, aktualisiert am 18.10.2012 um 18:47:10 Uhr
Goto Top
Wenn die RZ Kollegen auch mit OpenVPN arbeiten ist doch alles in Butter. Einfacher kanns dann gar nicht sein für dich !
Dann benötigst du nur einen OPenVPN Router am Standort der zentral den OpenVPN Tunnel eröffnet und einen LAN zu LAN Kopplung macht und die Standortnetze mit dem RZ verbindet.
Das ist einen simple und lächerliche Standardanwenung im VPN Umfeld und tausendfach im Einsatz !
Hier findest du zig Tutorials die dir die Funktion und die Schritt für Schritt Einrichtung erklären:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ob du die Authentisierung mit Zertifikaten und oder Passwort oder Radius machst spielt dafür keinerlei Rolle. Das ist lediglich ein Eintrag in der Konfig Datei des OpenVPN Dienstes und kannst du je nach RZ Anforderung einstellen.
Wo ist also dein Problem ??
Mitglied: Jochem
Jochem 14.06.2011 um 08:06:32 Uhr
Goto Top
Moin,
@aqui,

mein "Problem" liegt darin begründet, daß unser RZ informatiuonstechnisch auf Sparflamme arbeitet. Ich kann voregefertigte Lösungen von denen nehmen und arbeite dann mit einer Blackbox. Jedwede Eigeninitiative wird seitens des RZ geblockt. Kann ich ja irgendwie nachvollziehen, daß da nicht jeder im Netz rumnfuhrwerkt, wie er will. Nur bei uns muß das Tagegeschäft eben laufen, da habe ich nicht die Muße,. mehrere Tage auf eine Lösung vom RZ zu warten.

Die "billigste" Lösung wäre die Beschaffung eines weiteren Zertifikats. Nur ist nicht abzusehen, was an dem Standort noch alles passiert. Ab einewr gewissen Anzahl von Lizenezen lohnt sich eine L2L-Verbindung als vorgefertigte Lösung vom RZ. Nur bis dahin möchte ich so kostengünstig wie möglich fahren.
Daher meine Überlegung, eine Kiste mit dem Zertifikat auszustatten und über diese dann den Datenverkehr von zwei oder mehr Clients laufen zu lassen. We gesagt, ich hab nur die Möglichkeit, an der Client-Seite zu schrauben, über den Server habe ich keine Informationen und da komm ich auch zugriffstechnisch nicht dran.

Sehe ich das richtig, daß die anderen Rechner die IP des VPN-Clients als Gateway eingetragen haben müssen, damit die ins Netz bzw. via RZ zu uns kommen können?

Gruß J face-smile chem
Mitglied: aqui
aqui 14.06.2011, aktualisiert am 18.10.2012 um 18:47:13 Uhr
Goto Top
Ja, das siehst du richtig ! Nimm einfach einen DD-WRT Router mit Open VPN Option wie hier
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
beschrieben, trage dort das Zertifikat in die Konfig Datei ein und lasse sich den im RZ einwählen. Alternativ tuts auch ein oller recycelter PC.
Die Clients bekommen dann alle die Router IP als Gateway und so können dann alle Clients am LAN Port diesen RZ VPN Link benutzen ohne das an den Clients selber etwas gefummelt werden muss. Das o.a. Tutorial beschreibt ja alle Details haarklein.
Eigentlich doch ganz einfach die Lösung, oder ?!
Mitglied: Jochem
Jochem 14.06.2011 um 15:24:46 Uhr
Goto Top
Moin,
ja eigentlich ganz einfach face-wink, aaaber ..... ich muß das erst "gefressen(verstanden)" haben, bevor es weitergeht. Und manchmal stehe ich mir dabei selbst im Weg, wie man sieht. Danke für Deine Mühen.

Gruß J face-smile chem
Mitglied: aqui
aqui 14.06.2011 um 15:28:37 Uhr
Goto Top
O.a. Tutorial lesen (Betonung auf "lesen")....da steht alles drin face-wink
Das wird schon so klappen wie du es vorhast. Lass das dann bloss die RZ Kollegen nicht wissen..... face-smile