Wo im Netzwerk sollte der VPN Server stehen ?
Hallo,
Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".
Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?
Bring dochmal jemand Licht in mein Leben
Danke im voraus.
Candle
Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".
Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?
Bring dochmal jemand Licht in mein Leben
Danke im voraus.
Candle
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 46512
Url: https://administrator.de/forum/wo-im-netzwerk-sollte-der-vpn-server-stehen-46512.html
Ausgedruckt am: 25.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
Nein, ein Subnetz benötigst du nicht, denn der Server vergibt meist interne IP aus dem lokalen Netz in dem er selber steht !
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Wie meinst du das mit den Filtern die automatisch eingerichtet werden ??? Das mag stimmen für die Windows Maschine aber nicht für den Router. Der kann natürlich NICHT automatisch wissen was du in deinem internen Netzwerk konfigurierst.
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.
Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.
Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz