4
VPN-Verbindung - Auf beiden Seiten Firewall erforderlich?
Hey,
Es geht wieder mal um meine Fallstudie für mein Studium.
Es existiert eine Hauptfiliale mit etwa 45 Mitarbeitern in Hamburg und eine Service-Zentrale mit 4 Mitarbeitern in Berlin. Die in Berlin sollen über VPN auf das Netzwerk in Hamburg zugreifen, natürlich auf sichere Art und Weise. Hamburg hat derzeit eine (ziemlich teure) Firewall mit VPN-Unterstützung (wird also zusätzlich geschützt und beschleunigt). Ist es ratsam, dass Berlin auch eine extra Firewall bekommt mit VPN Support oder reicht dort eine normale DSL-Verbindung über einen DSL-Router mit integrierter Firewall aus?
Welchen VPN-Client würdet ihr empfehlen? Ich kenne nur den von Cisco, der ist glaube ich kostenlos und einfach. Würde der reichen?
Gruß,
Profisturz
Es geht wieder mal um meine Fallstudie für mein Studium.
Es existiert eine Hauptfiliale mit etwa 45 Mitarbeitern in Hamburg und eine Service-Zentrale mit 4 Mitarbeitern in Berlin. Die in Berlin sollen über VPN auf das Netzwerk in Hamburg zugreifen, natürlich auf sichere Art und Weise. Hamburg hat derzeit eine (ziemlich teure) Firewall mit VPN-Unterstützung (wird also zusätzlich geschützt und beschleunigt). Ist es ratsam, dass Berlin auch eine extra Firewall bekommt mit VPN Support oder reicht dort eine normale DSL-Verbindung über einen DSL-Router mit integrierter Firewall aus?
Welchen VPN-Client würdet ihr empfehlen? Ich kenne nur den von Cisco, der ist glaube ich kostenlos und einfach. Würde der reichen?
Gruß,
Profisturz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143739
Url: https://administrator.de/contentid/143739
Printed on: April 20, 2024 at 00:04 o'clock
4 Comments
Latest comment
Hallo,
reichen würde wohl ein Paketfilter in nem 0815 Router und die Mitarbeiter in berlin verbinden sich mit nem VPN Client nach HH.
Aber ür den Support ein Site2Site VPN schon viel besser, da man
aus HH auch ohne Usermithilfe auf die Berliner Kisten kommt.
reichen würde wohl ein Paketfilter in nem 0815 Router und die Mitarbeiter in berlin verbinden sich mit nem VPN Client nach HH.
Aber ür den Support ein Site2Site VPN schon viel besser, da man
aus HH auch ohne Usermithilfe auf die Berliner Kisten kommt.
Kann mich Chew da anschließen, wie ihr das aufbaut kommt drauf an was ihr genau vorhabt.
Wenn die Berliner nur "hin und wieder" Kontakt zu HH brauchen installierste bei jedem den VPN-Client und sie verbinden bei Bedarf, da reicht jeder halbwegs vernünftige Router der das VPN-Protokoll auch durchlässt (z.B. IPSec Passthrough).
Wenn sie häufiger Kontakt brauchen wäre Site2Site wohl die bessere Wahl, du sparst dir die VPN-Client-Installation und die Leute müssen nicht immer verbinden/trennen. Hier brauchst du dann aber je nachdem was die Firewall in HH alles als Gegenstelle für S2S akzeptiert einen ordentlichen VPN-Router oder eine 2. Firewall. Statische IP auf mindestens einer der beiden Seiten ist dann auch Pflicht.
Wenn du dich für die Client2Site-Variante entscheidest richtet sich normalerweise der VPN-Client nach dem Endpunkt. Wenn eure "ziemlich teure" Firewall eine von Cisco ist nimmste den Cisco VPN Client (IPSec, leider nur in 32bit verfügbar. Und ja, er ist sehr simpel, bockt aber leider manchmal etwas bei der Installation rum) bzw. Cisco Anyconnect (SSL VPN). Als Alternative gibt's z.B. noch den kostenlosen Shrew VPN Client, nicht ganz so komfortabel wie der von Cisco, aber kann dessen Profile importieren und es gibt auch Installer für 64bit.
Wenn die Berliner nur "hin und wieder" Kontakt zu HH brauchen installierste bei jedem den VPN-Client und sie verbinden bei Bedarf, da reicht jeder halbwegs vernünftige Router der das VPN-Protokoll auch durchlässt (z.B. IPSec Passthrough).
Wenn sie häufiger Kontakt brauchen wäre Site2Site wohl die bessere Wahl, du sparst dir die VPN-Client-Installation und die Leute müssen nicht immer verbinden/trennen. Hier brauchst du dann aber je nachdem was die Firewall in HH alles als Gegenstelle für S2S akzeptiert einen ordentlichen VPN-Router oder eine 2. Firewall. Statische IP auf mindestens einer der beiden Seiten ist dann auch Pflicht.
Wenn du dich für die Client2Site-Variante entscheidest richtet sich normalerweise der VPN-Client nach dem Endpunkt. Wenn eure "ziemlich teure" Firewall eine von Cisco ist nimmste den Cisco VPN Client (IPSec, leider nur in 32bit verfügbar. Und ja, er ist sehr simpel, bockt aber leider manchmal etwas bei der Installation rum) bzw. Cisco Anyconnect (SSL VPN). Als Alternative gibt's z.B. noch den kostenlosen Shrew VPN Client, nicht ganz so komfortabel wie der von Cisco, aber kann dessen Profile importieren und es gibt auch Installer für 64bit.
In die Service Zentrale kommt ein simpler DSL Router mit VPN Funktion. Eine Firewall haben sogar 30 Euro Baumarkt Router schon drin ! Der VPN Router stellt als zentraler Zugangspunkt die Verbindung zur Zentrale her und macht eine LAN zu LAN Kopplung über VPN. So musst du nur einen Client kontrollieren und nicht zig... Außerdem haben viele Billigrouter Probleme mehrere VPN Clients mit VPN Passthrough zu bedienen und da lauern Servicekosten durch Frickelei..
Vergiss diesen Unsinn mit separaten VPN Clients also und halte dich an "Chewis" Site to Site VPN Vorschlag ! Clients macht man beim Consumer Heimnetz, mobilen Mitarbeitern oder bei Einzelplatz Usern aber nicht in einer professionellen Firmenvernetzung über LAN zu LAN VPNs.
Beispiele siehst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Nochwas: Cisco ist kein Hort der Menschenfreunde...deren VPN Client ist mitnichten kostenlos, denn sonst wären sie nicht so reich und groß geworden. Außerdem ist er etwas proprietär und arbeitet nur mit deren VPN Routern und FWs zusammen....warum wohl ?? ...3mal darfst du raten !
Kostenlos für Cisco VPNs ist nur der Open Source VPNC Client:
http://www.unix-ag.uni-kl.de/~massar/vpnc/
Ein freier guter Client ist der allseits bekannte Shrew Client:
http://www.shrew.net/
Aber wie gesagt....die Client Lösung ist keine Option für dich. Damit fällst du bei dieser Fallstudie im Studium logischerweise durch wenn der Prüfer wirklich was von Netzwerken versteht !
Vergiss diesen Unsinn mit separaten VPN Clients also und halte dich an "Chewis" Site to Site VPN Vorschlag ! Clients macht man beim Consumer Heimnetz, mobilen Mitarbeitern oder bei Einzelplatz Usern aber nicht in einer professionellen Firmenvernetzung über LAN zu LAN VPNs.
Beispiele siehst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Nochwas: Cisco ist kein Hort der Menschenfreunde...deren VPN Client ist mitnichten kostenlos, denn sonst wären sie nicht so reich und groß geworden. Außerdem ist er etwas proprietär und arbeitet nur mit deren VPN Routern und FWs zusammen....warum wohl ?? ...3mal darfst du raten !
Kostenlos für Cisco VPNs ist nur der Open Source VPNC Client:
http://www.unix-ag.uni-kl.de/~massar/vpnc/
Ein freier guter Client ist der allseits bekannte Shrew Client:
http://www.shrew.net/
Aber wie gesagt....die Client Lösung ist keine Option für dich. Damit fällst du bei dieser Fallstudie im Studium logischerweise durch wenn der Prüfer wirklich was von Netzwerken versteht !
Danke für die große Hilfe =)
Dann werde ich das nun über die Site-to-Site Verbindung machen. Perfekt und einfach... =)
Dann werde ich das nun über die Site-to-Site Verbindung machen. Perfekt und einfach... =)
