candle
Goto Top

Wo im Netzwerk sollte der VPN Server stehen ?

Hallo,

Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel face-wink
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".

Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?

Bring dochmal jemand Licht in mein Leben face-wink
Danke im voraus.

Candle

Content-ID: 46512

Url: https://administrator.de/forum/wo-im-netzwerk-sollte-der-vpn-server-stehen-46512.html

Ausgedruckt am: 25.12.2024 um 08:12 Uhr

aqui
aqui 11.12.2006 um 19:00:59 Uhr
Goto Top
Nein, ein Subnetz benötigst du nicht, denn der Server vergibt meist interne IP aus dem lokalen Netz in dem er selber steht !
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
candle
candle 13.12.2006 um 13:55:06 Uhr
Goto Top
Hallo Aqui,

erstmal vielen Dank für die ausführliche Antwort. Ein Router als VPN Gateway wäre natürlich eine glückliche Lösung, ich habe allerdings nur eine Virtual Server Umgebung und eine Fritz Box zur Verfügung. Solange ich mit PPTP (und nicht L2TP) arbeite, sollte doch eine revers Übertragung über NAT funktionieren ?!??

zu 1: Die Client Daten gehen nicht über den Tunnel, das ist klar, müssen doch aber doch trotzdem über den VPN geroutet werden, da dieser quasi "in Reihe" geschaltet wäre und jeglichen Datenverkehr zum Internetrouter übtragen müsste ..

zu 2: Beim Einrichten von RRAS für VPN werden automatisch IP Filter auf der externen Seite (richtung Router) eingerichtet, was ja eigentlich auch Sinn macht. Zugelassen werden auschliesslich GRE, ESP und die Ports 500 UDP, 1723 TCP, 1701 UDP und 4500 UDP.
In dem Fall kann ja kein anderer Verkehr ausser VPN geroutet werden.
Spricht eigentlich etwas dagegen, den VPN parallel zur Firewall (ISA Server) zu betreiben ? (Beide Rechner eine Fuß richtung Router, den Anderen intern) Sollte doch mit den IP Filtern kein großes Sicherheitsproblem darstellen ??

Das Ganze funktioniert mittels Zertifikate und IAS in der virtuellen Umgebung auch prima, in der Realität scheitert die Verbindung leider an der Fritz Box 7050. Portforwarding (GRE, ESP, Ports 500 und 1723) ist eingerichtet.
Die Fehler meldung lautet sinngemäß: " ..Verbindung wurde initiiert, konnte aber nicht hergestellt werden. Vermutliche Ursache ist, das GRE Pakete nicht zugelassen sind.."
Die Fehlermeldung tritt auch dann auf, wenn ich MS Chap oder sogar unverschlüsselt Pap über PPTP benutze.

Bevor ichs vergesse: Das der ISA Server auch als VPN Server fungieren kann ist klar, ich möchte das Testszenario aber vorerst mit eigenem VPN Server lösen.

Candle
aqui
aqui 14.12.2006 um 20:40:20 Uhr
Goto Top
Wie meinst du das mit den Filtern die automatisch eingerichtet werden ??? Das mag stimmen für die Windows Maschine aber nicht für den Router. Der kann natürlich NICHT automatisch wissen was du in deinem internen Netzwerk konfigurierst.
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.

Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz face-wink
candle
candle 15.12.2006 um 19:12:50 Uhr
Goto Top
Hallo Aqui,

ich habe mich vielleicht etwas unglücklich ausgedrückt, natürlich meine ich die Windows Maschine.
Letztendlich war ich einfach nicht sicher, ob ich den VPN sicherheitstechnisch seriell oder parallel zum ISA stellen soll. Mittlerweile läuft das Ganze jetzt auch ausserhalb der VM sauber, wenn auch die Fritz Box dank NAT nur PPTP revers zulässt.
Etwas komplizierter wirds jetzt wohl mit der Quarantänesteuerung und dem Verbindungsmanagement Kit face-wink

Jedenfalls vielen Dank erstmal für die Hilfe ..

Candle
aqui
aqui 17.12.2006 um 12:27:56 Uhr
Goto Top
...deshalb ist ja auch der beste Standort für den VPN Server der Router selber face-wink