5
Wo im Netzwerk sollte der VPN Server stehen ?
Hallo,
Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".
Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?
Bring dochmal jemand Licht in mein Leben
Danke im voraus.
Candle
Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".
Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?
Bring dochmal jemand Licht in mein Leben
Danke im voraus.
Candle
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 46512
Url: https://administrator.de/contentid/46512
Ausgedruckt am: 24.11.2024 um 03:11 Uhr
5 Kommentare
Neuester Kommentar
Nein, ein Subnetz benötigst du nicht, denn der Server vergibt meist interne IP aus dem lokalen Netz in dem er selber steht !
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Hallo Aqui,
erstmal vielen Dank für die ausführliche Antwort. Ein Router als VPN Gateway wäre natürlich eine glückliche Lösung, ich habe allerdings nur eine Virtual Server Umgebung und eine Fritz Box zur Verfügung. Solange ich mit PPTP (und nicht L2TP) arbeite, sollte doch eine revers Übertragung über NAT funktionieren ?!??
zu 1: Die Client Daten gehen nicht über den Tunnel, das ist klar, müssen doch aber doch trotzdem über den VPN geroutet werden, da dieser quasi "in Reihe" geschaltet wäre und jeglichen Datenverkehr zum Internetrouter übtragen müsste ..
zu 2: Beim Einrichten von RRAS für VPN werden automatisch IP Filter auf der externen Seite (richtung Router) eingerichtet, was ja eigentlich auch Sinn macht. Zugelassen werden auschliesslich GRE, ESP und die Ports 500 UDP, 1723 TCP, 1701 UDP und 4500 UDP.
In dem Fall kann ja kein anderer Verkehr ausser VPN geroutet werden.
Spricht eigentlich etwas dagegen, den VPN parallel zur Firewall (ISA Server) zu betreiben ? (Beide Rechner eine Fuß richtung Router, den Anderen intern) Sollte doch mit den IP Filtern kein großes Sicherheitsproblem darstellen ??
Das Ganze funktioniert mittels Zertifikate und IAS in der virtuellen Umgebung auch prima, in der Realität scheitert die Verbindung leider an der Fritz Box 7050. Portforwarding (GRE, ESP, Ports 500 und 1723) ist eingerichtet.
Die Fehler meldung lautet sinngemäß: " ..Verbindung wurde initiiert, konnte aber nicht hergestellt werden. Vermutliche Ursache ist, das GRE Pakete nicht zugelassen sind.."
Die Fehlermeldung tritt auch dann auf, wenn ich MS Chap oder sogar unverschlüsselt Pap über PPTP benutze.
Bevor ichs vergesse: Das der ISA Server auch als VPN Server fungieren kann ist klar, ich möchte das Testszenario aber vorerst mit eigenem VPN Server lösen.
Candle
erstmal vielen Dank für die ausführliche Antwort. Ein Router als VPN Gateway wäre natürlich eine glückliche Lösung, ich habe allerdings nur eine Virtual Server Umgebung und eine Fritz Box zur Verfügung. Solange ich mit PPTP (und nicht L2TP) arbeite, sollte doch eine revers Übertragung über NAT funktionieren ?!??
zu 1: Die Client Daten gehen nicht über den Tunnel, das ist klar, müssen doch aber doch trotzdem über den VPN geroutet werden, da dieser quasi "in Reihe" geschaltet wäre und jeglichen Datenverkehr zum Internetrouter übtragen müsste ..
zu 2: Beim Einrichten von RRAS für VPN werden automatisch IP Filter auf der externen Seite (richtung Router) eingerichtet, was ja eigentlich auch Sinn macht. Zugelassen werden auschliesslich GRE, ESP und die Ports 500 UDP, 1723 TCP, 1701 UDP und 4500 UDP.
In dem Fall kann ja kein anderer Verkehr ausser VPN geroutet werden.
Spricht eigentlich etwas dagegen, den VPN parallel zur Firewall (ISA Server) zu betreiben ? (Beide Rechner eine Fuß richtung Router, den Anderen intern) Sollte doch mit den IP Filtern kein großes Sicherheitsproblem darstellen ??
Das Ganze funktioniert mittels Zertifikate und IAS in der virtuellen Umgebung auch prima, in der Realität scheitert die Verbindung leider an der Fritz Box 7050. Portforwarding (GRE, ESP, Ports 500 und 1723) ist eingerichtet.
Die Fehler meldung lautet sinngemäß: " ..Verbindung wurde initiiert, konnte aber nicht hergestellt werden. Vermutliche Ursache ist, das GRE Pakete nicht zugelassen sind.."
Die Fehlermeldung tritt auch dann auf, wenn ich MS Chap oder sogar unverschlüsselt Pap über PPTP benutze.
Bevor ichs vergesse: Das der ISA Server auch als VPN Server fungieren kann ist klar, ich möchte das Testszenario aber vorerst mit eigenem VPN Server lösen.
Candle
Wie meinst du das mit den Filtern die automatisch eingerichtet werden ??? Das mag stimmen für die Windows Maschine aber nicht für den Router. Der kann natürlich NICHT automatisch wissen was du in deinem internen Netzwerk konfigurierst.
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.
Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.
Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz
Hallo Aqui,
ich habe mich vielleicht etwas unglücklich ausgedrückt, natürlich meine ich die Windows Maschine.
Letztendlich war ich einfach nicht sicher, ob ich den VPN sicherheitstechnisch seriell oder parallel zum ISA stellen soll. Mittlerweile läuft das Ganze jetzt auch ausserhalb der VM sauber, wenn auch die Fritz Box dank NAT nur PPTP revers zulässt.
Etwas komplizierter wirds jetzt wohl mit der Quarantänesteuerung und dem Verbindungsmanagement Kit
Jedenfalls vielen Dank erstmal für die Hilfe ..
Candle
ich habe mich vielleicht etwas unglücklich ausgedrückt, natürlich meine ich die Windows Maschine.
Letztendlich war ich einfach nicht sicher, ob ich den VPN sicherheitstechnisch seriell oder parallel zum ISA stellen soll. Mittlerweile läuft das Ganze jetzt auch ausserhalb der VM sauber, wenn auch die Fritz Box dank NAT nur PPTP revers zulässt.
Etwas komplizierter wirds jetzt wohl mit der Quarantänesteuerung und dem Verbindungsmanagement Kit
Jedenfalls vielen Dank erstmal für die Hilfe ..
Candle
...deshalb ist ja auch der beste Standort für den VPN Server der Router selber
