10
Hardwareanforderungen VPN-Server
Hallo,
wir sind gerade dabei einen VPN-Server auf Debian-Basis zu konfigurieren.
Er soll die Daten innerhalb des WLANs verschlüsseln.
Am Ende gibt es ca. 100-200 Clients, die hauptsächlich im Web surfen.
Nun meine Frage:
Welche Hardware brauche ich um solch einen VPN-Server zu betreiben?
Danke schonmal
wir sind gerade dabei einen VPN-Server auf Debian-Basis zu konfigurieren.
Er soll die Daten innerhalb des WLANs verschlüsseln.
Am Ende gibt es ca. 100-200 Clients, die hauptsächlich im Web surfen.
Nun meine Frage:
Welche Hardware brauche ich um solch einen VPN-Server zu betreiben?
Danke schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184380
Url: https://administrator.de/contentid/184380
Printed on: April 25, 2024 at 21:04 o'clock
10 Comments
Latest comment
Alles ab Pentium 4 aufwärts erfüllt sowas problemlos.....
Meinst du nicht das WPA-2 mit nur AES und mit einer Zertifikats basierten Authentisierung allemal ausreichend ist ??
Sowas ist bis dato auch unknackbar !
Das zusätzlich noch per VPN zu verschlüsseln, damit also doppelt zu encapsulieren, ist eher kontraproduktiv im Hinblick auf Performance und Durchsatz... Zumal es sich ja scheinbar nicht wirklich um wichtige Daten sondern nur simples Websurfing handelt.... Aber du weisst ja sicher was du tust ?!
Meinst du nicht das WPA-2 mit nur AES und mit einer Zertifikats basierten Authentisierung allemal ausreichend ist ??
Sowas ist bis dato auch unknackbar !
Das zusätzlich noch per VPN zu verschlüsseln, damit also doppelt zu encapsulieren, ist eher kontraproduktiv im Hinblick auf Performance und Durchsatz... Zumal es sich ja scheinbar nicht wirklich um wichtige Daten sondern nur simples Websurfing handelt.... Aber du weisst ja sicher was du tust ?!
Es geht mir um den Abhörschutz innerhalb des Netzes.
Der ist meines Wissens mit WPA-2 ja nicht gegeben.
Der ist meines Wissens mit WPA-2 ja nicht gegeben.
Da täuscht dich aber dein Wissen denn du redest vermutlich von WPA !! Wo hast du solche Weisheiten her ?? WPA-2 mit (nur) AES und Zertifikat gilt derzeit als unknackbar.... Wobei eine theoretische Knackzeit von 1000 Jahren und mehr mit einem Clusterrechner auch als "unknackbar" anzusehen ist !
Also wenn ich einen WPA2-Schlüssel für meine ganzes Netz habe, den alle Nutzer kennen, da können sie die Inhalte nicht abhören?
Der Schlüssel selbst ist nicht knackbar, aber jemand der den Schlüssel hat könnte Verkehr auf seinen Rechner umleiten und abhören wie in einem LAN auch. Das könnte man mit VPN verhindern.
Dann könnte das WLAN auch offen bleiben, wie es ja z.B. an vielen Unis ist, die Verbindung bringt dann erstmal gar nichts, da es erst ab der VPN Terminierung ins richtige Netz geht... Ich denke sowas schwebt Max vor?
Edit: afaik gibts aber auch APs, die eine Verbindung unter den Clients verhindern...
Dann könnte das WLAN auch offen bleiben, wie es ja z.B. an vielen Unis ist, die Verbindung bringt dann erstmal gar nichts, da es erst ab der VPN Terminierung ins richtige Netz geht... Ich denke sowas schwebt Max vor?
Edit: afaik gibts aber auch APs, die eine Verbindung unter den Clients verhindern...
Genau das war mein Gedanke.
Denn WPA-2 Schlüssel würden ja alle Nutzer kennen, was ja dann wieder nichts nutzt.
Wir haben APs die den sog. Isolation-Mode unterstützen.
Wird ein VPN dann überflüssig?
Kann man mit dem Rechner nicht einfach den Nertzwerkverkehr, der durch die Luft fliegt, abfangen?
Denn WPA-2 Schlüssel würden ja alle Nutzer kennen, was ja dann wieder nichts nutzt.
Wir haben APs die den sog. Isolation-Mode unterstützen.
Wird ein VPN dann überflüssig?
Kann man mit dem Rechner nicht einfach den Nertzwerkverkehr, der durch die Luft fliegt, abfangen?
Du vertust dich gerade mit WPA2 und WPA2-PSK. Bei WPA2 hat jeder Benutzer seine eigenen Zugangsdaten, bevorzugt über RADIUS von einer vorhandenen Benutzerdatenbank wie ein Active Directory, mit der er sich anmelden kann. Jeglicher Unicast-Verkehr wird mit dem, für den Benutzer einmaligen, Schlüssel verschlüsselt, so dass andere Benutzer erstmal nicht drankommen. Der Broad- und Multicastverkehr dagegen ist für jeden im WLAN sichtbar.
Das mit dem Broad- und Multicastverkehr kann man mit einem VPN auch nur mit der richtigen Paketfilterkonfiguration verhindern. Das gleiche gilt auch für ARP-Spoofing.
Bedenke jedoch: Der Aufwand einem Benutzer beizubringen, eine VPN-Verbindung aufzubauen ist um ein vielfaches höher als bei einer WLAN-Verbindung, weil die gängigen Betriebssysteme problemlos mit WPA2 klarkommen und einfach nur nach den Zugangsdaten fragen, bei einer VPN-Verbindung musst du noch den Server mitgeben, zu dem sich der Client verbinden soll, bei PPTP und Windows 7 ist noch etwas Nacharbeit nötig, weil PPTP mittlerweile nicht mehr in der Standardtestfolge ist und die besonders doofen Benutzer sehen dann eine aktive WLAN-Verbindung, aber kommen nirgendwo drauf, also erhöhter Supportaufwand.
Einfach nur mal als Anmerkung von jemandem, der Systeme baut und gleichzeitig den Support macht.
Das mit dem Broad- und Multicastverkehr kann man mit einem VPN auch nur mit der richtigen Paketfilterkonfiguration verhindern. Das gleiche gilt auch für ARP-Spoofing.
Bedenke jedoch: Der Aufwand einem Benutzer beizubringen, eine VPN-Verbindung aufzubauen ist um ein vielfaches höher als bei einer WLAN-Verbindung, weil die gängigen Betriebssysteme problemlos mit WPA2 klarkommen und einfach nur nach den Zugangsdaten fragen, bei einer VPN-Verbindung musst du noch den Server mitgeben, zu dem sich der Client verbinden soll, bei PPTP und Windows 7 ist noch etwas Nacharbeit nötig, weil PPTP mittlerweile nicht mehr in der Standardtestfolge ist und die besonders doofen Benutzer sehen dann eine aktive WLAN-Verbindung, aber kommen nirgendwo drauf, also erhöhter Supportaufwand.
Einfach nur mal als Anmerkung von jemandem, der Systeme baut und gleichzeitig den Support macht.
Hallo tikayevent,
vielen Dank für deinen Kommentar.
Ich fasse das nochmal kurz zusammen.
Ich nutze WPA2 mit Radius. Idealerweise "verbinde" ich den Radius-Server mit unserem bisherigen LDAP-Server.
Jeder User hat dann seine spezifischen Zugangsdaten. Sein Netzwerkverkehr wird individuell verschlüsselt.
Wenn ich nun noch das AP-Isolation am AP aktiviere, bin ich auf der sicheren Seite.
Nun können User keine Daten mehr im WLAN mitlesen.
Ist das so weit richtig?
vielen Dank für deinen Kommentar.
Ich fasse das nochmal kurz zusammen.
Ich nutze WPA2 mit Radius. Idealerweise "verbinde" ich den Radius-Server mit unserem bisherigen LDAP-Server.
Jeder User hat dann seine spezifischen Zugangsdaten. Sein Netzwerkverkehr wird individuell verschlüsselt.
Wenn ich nun noch das AP-Isolation am AP aktiviere, bin ich auf der sicheren Seite.
Nun können User keine Daten mehr im WLAN mitlesen.
Ist das so weit richtig?
Genau, einzig der Gruppenschlüssel ist für alle Benutzer gleich, also die Broad- und Multicast-Sachen liegen bei jedem Benutzer an, dagegen kann man nichts machen.
@max...
Deshalb stand auch ganz groß "Zertifikat" in der Email ! Dieser Thread hat mehr zu dem Thema:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Deshalb stand auch ganz groß "Zertifikat" in der Email ! Dieser Thread hat mehr zu dem Thema:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
