ReAr 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 hallo zusammen, bisher haben wir in unserem Firmennetz einen w2k server als VPN Server konfiguriert. Die Verbindung zum Internet stellt ein TComRouter her. In dem Router werden durch Portmapping die VPN Pakete auf den Server gemappt. Unsere Mitarbeiter haben zuhause eine Direktverbindung zum Internet, über die sie sich per VPN bei unserem Server einwählen. Die IP kriegen sie durch den DynDNS Service raus. Nun tritt folgende Änderung ein: Ein paar Mitarbeiter bekommen zuhause auch einen TCom Router hin. Die Router können zwar auch Ports mappen, aber kann man überhaupt aus dem LAN, welches dann ja auf der Mitarbeiter Seite entsteht eine VPN Verbindung zu dem Server in unserem Firmennetz herstellen? Eigentlich verhält es sich dann ja eher wie eine Zweigstélle aus von der aus eine "gleichberechtigte" Verbindung hergestellt wird. Könnt Ihr mir sagen ob das überhaupt so realisierbar ist, oder brauch ich da vielleicht statische IPs und nen zweiten VPN Server? thx für eure Antworten, rear Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Hi, ich weis nicht ob das jetzt in die falsche Richtung geht, aber wenn du 2 Router hast besteht doch denke ich auch die Möglichkeit zur Lan-Lan-Koppelung oder nicht?? Ich weis ja nicht ob es dann noch unbedingt VPN sein muss. Vielleicht konnte ich etwas helfen. MfG Zitieren Link zu diesem Kommentar
ReAr 10 Geschrieben 15. April 2004 Autor Melden Teilen Geschrieben 15. April 2004 Hallo tgyssling, Auch bei LAN-LAN Kopplung wird doch VPN zum Tunneling eingesetzt oder gibt es da alternativen? Aber das ist ja eigentlich die Hauptfrage. Sonst hatte ich immer ein VPN Server und ein VPN Client. Der Server hinter dem Router und der Client direkt am Inet - und ich habe die Befürchtung das das so nicht mehr geht, sprich ich eine vollwertige VPN Gegenstellt oder so brauche?!? Wie sehen denn Standardlösungen in dem Bereich aus? thx, Rear Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Ich weis nicht genau aber LAN-LAN_Koppelung baut nicht direkt auf VPN auf so viel ich weis, kann sein das ich mich täusche. Naja ich denke allerdings nicht das es Prob bereiten sollte nur weil die Mitarbeiter jetzt hinter einem Router sitzen!! Wenn die Verbindung aifgebaut wird kommt es ja Hauptsächlich darauf an das der Server dies akzeptiert. ich mach mich aber auch noch schlau da mich das Thema auch sehr interessiert. Gruß Thorsten Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Hallo Leute, solange ihr als Protokoll eine NAT-fähige Lösung benutzt, macht es kein Problem, evtl. muss nachkonfiguriert werden (an den Routern), aber das Problem bei VPN ist meistens NAT. Mit PPTP dürfte es weiterhin gehen. Mit IPSec nur mit ESP (AH nicht), dann kann man gleich wieder PPTP verwenden.... Gruß Dejan Zitieren Link zu diesem Kommentar
ReAr 10 Geschrieben 15. April 2004 Autor Melden Teilen Geschrieben 15. April 2004 Hallo Ivkovic, Bitte hilf mir auf die Sprünge. Original geschrieben von IvkovicD Hallo Leute, solange ihr als Protokoll eine NAT-fähige Lösung benutzt, macht es kein Problem Was bringt mir eine NAT-fähige Lösung wenn ich kein NAT nutze? Also wenn NAT fähig muss ich das doch bei den Routern (Auf privatseite ist ein Hardwarrouter und auf der Firmenseite ein SuSE8.0 Server als Firewall u. Router) konfigurieren können oder nicht? Kann ich bei einem normalen TCom Router Network Adress Translation einstellen? Mit PPTP dürfte es weiterhin gehen. Mit IPSec nur mit ESP (AH nicht), dann kann man gleich wieder PPTP verwenden.... Wird mit ESP nicht normalerweise der Body und mit AH der Header der IPSec Pakete verschlüssel. Haltet Ihr PPTP nicht für Empfehlenswert? thx, ReAR. Zitieren Link zu diesem Kommentar
PhilippS. 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 hi, also wenn ich dich richtig verstanden habe hast du im firmen netz w2k vpn server hinter einem router und möchtest nun einen client der auch hinter einem router sitzt mit dem vpn verbinden ? das ganze ist doch kein problem da auf der client seite ja kein vpn server benötigt wird, seiden du möchtest das ganze netz auf clientseite einbinden bleibt alles wie es ist auf clientseite. also ich habe bei mir in der firma auch einen w2k vpn server hinter einem router und bei mir zuhaus meinen pc auch hinter einem router. an dem router zuhaus habe ich keine forwardings nix eingerichtet und über meinen w2k client baue ich die vpn verbindung über dyndns zum firmenserver auf, no problem. hoffe meine antwort konnte helfen ciao philipp Zitieren Link zu diesem Kommentar
ReAr 10 Geschrieben 15. April 2004 Autor Melden Teilen Geschrieben 15. April 2004 @PhilippS: Yes Sir! Präzise die Antwort die ich brauchte! thx, ReAr Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Original geschrieben von ReAr Wird mit ESP nicht normalerweise der Body und mit AH der Header der IPSec Pakete verschlüssel. Hi, nicht unbedingt, während du mit AH das ganze Datagramm umfasst, und damit eine Integrität und Authentisierung festlegst (das beinhaltet leider auch die IP-Felder, somit scheidet das für NAT aus, ausgenommen, du benutzt T-NAT, was erstmal konfiguriert werden muss) ohne den Inhalt gegen "Einblick" zu schützen, wird ESP "auch" für die Verschlüsselung des Inhalts benutzt; kann aber auch das Datagramm genauso schützen, wie AH. Die Wahl, welches du wann nimmst, liegt auch in der Performance, während AH HASH-Funktionen anwendet, benutzt ESP auch die Verschlüsselung (Symmetrisch, trotzdem braucht das seine Zeit). Das war auch der Ansatz ohne T-NAT, IPSec mit NAT zu verwenden, also nur die Verschlüsselung ohne Integrität/Authentisierung. Somit würdest du das IPSec soweit runterziehen, dass du gleich PPTP verwenden kannst, weil mehr macht das in dem Fall auch nicht. T-NAT (und somit IPSec) sollte nach Konfiguration (Client/Server - Patch/Upgrade/Config) auch in deiner Konstellation laufen. Original geschrieben von ReAr Haltet Ihr PPTP nicht für Empfehlenswert? Kennst du Radio Eriwan, dann kannst du dir ja die Antwort schon denken: jein :D IPSec ist, wenn man mal die ersten Hürden genommen hat, eleganter und flexibler... PPTP hat sicher noch eine Daseinsberechtigung, allerdings ist das (IMHO) so wie mit Windows NT und Windows 2000/2003. Gruß Dejan Zitieren Link zu diesem Kommentar
ReAr 10 Geschrieben 16. April 2004 Autor Melden Teilen Geschrieben 16. April 2004 Hallo IvkovicD, vielen Dank für die ausführliche Erläuterung. nicht unbedingt, während du mit AH das ganze Datagramm umfasst, und damit eine Integrität und Authentisierung festlegst (das beinhaltet leider auch die IP-Felder, somit scheidet das für NAT aus, ausgenommen, du benutzt T-NAT, was erstmal konfiguriert werden muss) ohne den Inhalt gegen "Einblick" zu schützen, wird ESP "auch" für die Verschlüsselung des Inhalts benutzt; kann aber auch das Datagramm genauso schützen, wie AH. Klingt soweit logisch. Allerdings - und ich hoffe mich jetzt nicht toal zu outen, wir hatten die Frage auch neulich im Kurs und nicht mal der Trainer konnte sie beantworten - Woher wissen die Pakete, wenn Sie mit AH verschlüsselt sind die Destination-Adress? - Die IP Informationen sind ja mit verschlüsselt. Die Wahl, welches du wann nimmst, liegt auch in der Performance... Ich denke im Bereich vpn ist eine Einbusse im Bereich der Performance noch ok - Es soll in 1. Linie zur Administration des Servers genutzt werden - Solange die Sache sicher ist. Danke nochmal für die Erläuterung... cu, ReAr. Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 16. April 2004 Melden Teilen Geschrieben 16. April 2004 Original geschrieben von ReAr Klingt soweit logisch. Allerdings - und ich hoffe mich jetzt nicht toal zu outen, wir hatten die Frage auch neulich im Kurs und nicht mal der Trainer konnte sie beantworten - Woher wissen die Pakete, wenn Sie mit AH verschlüsselt sind die Destination-Adress? - Die IP Informationen sind ja mit verschlüsselt. Hi ReAr, nicht verwechseln... die Pakete weren mit AH nicht verschlüsselt, sondern es wird eine Art Hash darüber gebildet, mit dessen Hilfe festgestellt werden kann, ob irgendwelche Daten (Header/Body) verändert worden sind. Das Paket ansich ist "cleardata", wenn man es so ausdrücken will. Auch mir ESP wird nur den Inhalt des Datagramm (Payload - Anwenderdaten) verschlüsselt, nicht die Transportdaten an sich, würde ja nie ankommen.... Siehe dazu: http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html zu T-NAT siehe auch: http://www.isp-planet.com/technology/2001/ipsec_nat.html Gruß Dejan Zitieren Link zu diesem Kommentar
ReAr 10 Geschrieben 16. April 2004 Autor Melden Teilen Geschrieben 16. April 2004 Auch mir ESP wird nur den Inhalt des Datagramm (Payload - Anwenderdaten) verschlüsselt, nicht die Transportdaten an sich, würde ja nie ankommen.... Das war auch das was ich gegen die Aussage unseres "Trainers" eingewandt habe. Schon lustig wenn man sich von Leuten was erzählen lässt, die sich Trainer schimpfen aber NULL Plan haben. Danke auch für die Links. Ohne ausreichendes Hintergrundwissen gehts in dem Bereich wohl wirklich nicht. cu, ReAr. Zitieren Link zu diesem Kommentar
PhilippS. 10 Geschrieben 16. April 2004 Melden Teilen Geschrieben 16. April 2004 hi, ich habe zwar keine t com router sondern 2 smc 7004abr und mit denen klappt wunderbar. ciao philipp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.