4
Grundsätzliche Fragen zum Thema OpenVPN (Starter)
Hallo Zusammen,
ich habe ein paar Fragen bzgl. OpenVPN. Wir haben aktuell eine ältere Firewall, hier sind aktuell wiedermal die VPN-Lizenzen/Zertifikate abgelaufen und wollen kostenpflichtig verlängert werden. Nun habe ich mir überlegt, wieso wir das Tunneln nicht per OpenVPN realisieren?!
Meine Anforderung sind:
- vom Notebook unterwegs übers WWW aufs Firmennetz zuzugreifen (ERP-Anwendung auf Basis MSSQL)
- im Homeoffice einen Router installieren, der ständig fürs komplett Netz einen Tunnel bereit hält
- unsere SIP/Voip Telefone im Homeoffice über die VPN betreiben
Nun wäre der Plan:
- VM auf Ubuntu Server 16 mit OpenVPN erstellen (erledigt)
- Firewall-Ports auf die VM weiterleiten (steht aus)
Meine Fragen:
(1) Wie Leistungsstark muss die VM sein, damit man 3-8 Tunnel offenhalten kann?
(2) Die VM steht ja nun mit einem FUSS im Internet? Wie ist der Ubuntu Server noch zu schützen? (OpenSSH gesperrt usw.)
(3) Alle Daten die rein und raus gehen laufen nun über die VM? Wie wird hier die Last verteilt?
(4) DHCP funktioniert auch durch den Tunnel?
Vielen lieben Dank!
Gruß John
ich habe ein paar Fragen bzgl. OpenVPN. Wir haben aktuell eine ältere Firewall, hier sind aktuell wiedermal die VPN-Lizenzen/Zertifikate abgelaufen und wollen kostenpflichtig verlängert werden. Nun habe ich mir überlegt, wieso wir das Tunneln nicht per OpenVPN realisieren?!
Meine Anforderung sind:
- vom Notebook unterwegs übers WWW aufs Firmennetz zuzugreifen (ERP-Anwendung auf Basis MSSQL)
- im Homeoffice einen Router installieren, der ständig fürs komplett Netz einen Tunnel bereit hält
- unsere SIP/Voip Telefone im Homeoffice über die VPN betreiben
Nun wäre der Plan:
- VM auf Ubuntu Server 16 mit OpenVPN erstellen (erledigt)
- Firewall-Ports auf die VM weiterleiten (steht aus)
Meine Fragen:
(1) Wie Leistungsstark muss die VM sein, damit man 3-8 Tunnel offenhalten kann?
(2) Die VM steht ja nun mit einem FUSS im Internet? Wie ist der Ubuntu Server noch zu schützen? (OpenSSH gesperrt usw.)
(3) Alle Daten die rein und raus gehen laufen nun über die VM? Wie wird hier die Last verteilt?
(4) DHCP funktioniert auch durch den Tunnel?
Vielen lieben Dank!
Gruß John
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 344573
Url: https://administrator.de/contentid/344573
Printed on: April 25, 2024 at 21:04 o'clock
4 Comments
Latest comment
Moin,
1) Das macht die nebenbei - da is nich viel Leistung nötig
2) Das hängt von deinen verwendeten Diensten ab - prinzipiell halt nix offen haben was du nicht brauchst
3) Da du über eine Internet-Leitung sprichst und bei der Menge an Daten vermute ich mal das wir hier über wenige mBit reden... was willst du da verteilen? Da is bei einer VM schon das Risiko höher das dir der Rost auf den Leiterbahnen entsteht...
4) Nein, nicht ohne weiteres.
Soviel zum positiven. Jetzt zum "willst du das wirklich":
1) Du willst ganze Netze vom Home-Office (mit allen möglichen, dir nicht bekannten) Geräten in dein Firmennetz lassen? Ok, dann gleich die Firewall abschalten, die kostet eh nur strom... Was passiert wenn Mitarbeiter X (oder der Sohn davon...) nen Kryptolocker zieht und in deinem Netz ist? Ich hoffe du verlässt dich nicht auf "hat ja nur mit benutzer/passwort zugriff" - dafür hat das zuviele Lücken gegeben..
2) Du möchtest ggf. ein SIP-Telefon über ein VPN durchtunneln? Ich hoffe du hast die nötige Leitung zuhause (nicht Bandbreite, nur Latenz). Noch besser wird es wenn dann der Sohnemann während des wichtigen 200 Mio. Deal Telefonates mal kurz Bittorrent o.ä. anwirft... Der Preis ist 2...Euro... Ok, nehm ich ;)
3) Alle Daten die rein & rausgehen laufen über das VPN -> je nach Aufbau viel Spass mit dem Datenschutz... Würdest du wirklich alles vom Home-Office über das Office-Netz jagen dann solltest du mal überlegen was mit privaten Mails passiert... Da bist du schnell bei Sachen wie Briefgeheimnis,... Und du kannst ja nicht den Leuten privat die private Nutzung ihrer Hardware verbieten....
Also: Technisch kein Problem (ausser der DHCP - dann hast du keinen Tunnel sondern ne Bridge, das ist nicht ganz so einfach und das willst du mit privaten Geräten noch viel weniger!). Aber inhaltlich ne Menge möglichkeiten sich beide Beine zu brechen, in die Knie zu schiessen und dann lachend in die Kreissäge zu springen...
1) Das macht die nebenbei - da is nich viel Leistung nötig
2) Das hängt von deinen verwendeten Diensten ab - prinzipiell halt nix offen haben was du nicht brauchst
3) Da du über eine Internet-Leitung sprichst und bei der Menge an Daten vermute ich mal das wir hier über wenige mBit reden... was willst du da verteilen? Da is bei einer VM schon das Risiko höher das dir der Rost auf den Leiterbahnen entsteht...
4) Nein, nicht ohne weiteres.
Soviel zum positiven. Jetzt zum "willst du das wirklich":
1) Du willst ganze Netze vom Home-Office (mit allen möglichen, dir nicht bekannten) Geräten in dein Firmennetz lassen? Ok, dann gleich die Firewall abschalten, die kostet eh nur strom... Was passiert wenn Mitarbeiter X (oder der Sohn davon...) nen Kryptolocker zieht und in deinem Netz ist? Ich hoffe du verlässt dich nicht auf "hat ja nur mit benutzer/passwort zugriff" - dafür hat das zuviele Lücken gegeben..
2) Du möchtest ggf. ein SIP-Telefon über ein VPN durchtunneln? Ich hoffe du hast die nötige Leitung zuhause (nicht Bandbreite, nur Latenz). Noch besser wird es wenn dann der Sohnemann während des wichtigen 200 Mio. Deal Telefonates mal kurz Bittorrent o.ä. anwirft... Der Preis ist 2...Euro... Ok, nehm ich ;)
3) Alle Daten die rein & rausgehen laufen über das VPN -> je nach Aufbau viel Spass mit dem Datenschutz... Würdest du wirklich alles vom Home-Office über das Office-Netz jagen dann solltest du mal überlegen was mit privaten Mails passiert... Da bist du schnell bei Sachen wie Briefgeheimnis,... Und du kannst ja nicht den Leuten privat die private Nutzung ihrer Hardware verbieten....
Also: Technisch kein Problem (ausser der DHCP - dann hast du keinen Tunnel sondern ne Bridge, das ist nicht ganz so einfach und das willst du mit privaten Geräten noch viel weniger!). Aber inhaltlich ne Menge möglichkeiten sich beide Beine zu brechen, in die Knie zu schiessen und dann lachend in die Kreissäge zu springen...
Hallo,
benötigt und dann auch noch Reserven mitbringen sollte. Ich denke man kann da schon viel mit machen nur eben nicht immer
den gewünschten Durchsatz damit erzielen! Von daher rate ich dann lieber zu einem VPN Server mit einer kleinen Intel E3-12xx
CPU und 16 GB RAM, das bringt am meisten ein und passt fast immer!
passen.
Leute machen die davon Ahnung haben, oder aber man holt sich ein System was schon vor gehärtet ist, wie eben CentOS!
ist folgender; Man kann ihm schnell mehr Ressourcen zuweisen, der Nachteil ist das dort die anderen VMs bei höherer
Last alles andere mit beeinträchtigen werden! Also ein kleiner Server mit Intel Xeon E3 und 16 GB RAM sind da nicht
verkehrt. Und der kann dann richtig lange laufen.
Gruß
Dobby
ich habe ein paar Fragen bzgl. OpenVPN. Wir haben aktuell eine ältere Firewall, hier sind aktuell wiedermal die VPN-Lizenzen/Zertifikate
abgelaufen und wollen kostenpflichtig verlängert werden. Nun habe ich mir überlegt, wieso wir das Tunneln nicht per OpenVPN realisieren?!
Gut geht auch nur momentan ist es eben so dass OpenVPN meist um den gewünschten Durchsatz zu erzielen eine kräftige CPUabgelaufen und wollen kostenpflichtig verlängert werden. Nun habe ich mir überlegt, wieso wir das Tunneln nicht per OpenVPN realisieren?!
benötigt und dann auch noch Reserven mitbringen sollte. Ich denke man kann da schon viel mit machen nur eben nicht immer
den gewünschten Durchsatz damit erzielen! Von daher rate ich dann lieber zu einem VPN Server mit einer kleinen Intel E3-12xx
CPU und 16 GB RAM, das bringt am meisten ein und passt fast immer!
Meine Anforderung sind:
- vom Notebook unterwegs übers WWW aufs Firmennetz zuzugreifen (ERP-Anwendung auf Basis MSSQL)
DB Zugriffe zählen zu den Echtzeitanwendungen und von daher sollte man dann auch gut angebunden sein.- vom Notebook unterwegs übers WWW aufs Firmennetz zuzugreifen (ERP-Anwendung auf Basis MSSQL)
- im Homeoffice einen Router installieren, der ständig fürs komplett Netz einen Tunnel bereit hält
- unsere SIP/Voip Telefone im Homeoffice über die VPN betreiben
Dann aber bitte auch nachdenken was für Hardware Ihr dort installiert und diese sollte dann auch zu dem Internetzugang- unsere SIP/Voip Telefone im Homeoffice über die VPN betreiben
passen.
Nun wäre der Plan:
- VM auf Ubuntu Server 16 mit OpenVPN erstellen (erledigt)
- Firewall-Ports auf die VM weiterleiten (steht aus)
Hast Du Ubuntu auch gehärtet!? Wenn nicht würde ich lieber zu CentOS und SoftEtherVPN Server raten.- VM auf Ubuntu Server 16 mit OpenVPN erstellen (erledigt)
- Firewall-Ports auf die VM weiterleiten (steht aus)
Meine Fragen:
(1) Wie Leistungsstark muss die VM sein, damit man 3-8 Tunnel offenhalten kann?
Die Frage muss lauten wie strak muss der Server sein damit genug durchkommt für alle gewünschten Anwendungen!(1) Wie Leistungsstark muss die VM sein, damit man 3-8 Tunnel offenhalten kann?
(2) Die VM steht ja nun mit einem FUSS im Internet?
Und die anderen VMs auf dem Hypervisor, sind das auch Server die in eine DMZ gehören oder einfache LAN Server?Wie ist der Ubuntu Server noch zu schützen? (OpenSSH gesperrt usw.)
Also ein Server OS direkt an das Internet anbinden ist schon gut, aber das Härten eines Systems sollten dann auchLeute machen die davon Ahnung haben, oder aber man holt sich ein System was schon vor gehärtet ist, wie eben CentOS!
(3) Alle Daten die rein und raus gehen laufen nun über die VM?
Ja dem ist so, Vorteil einer VM auf einem Hypervisor der komplett alle Server beheimatet die alle in eine DMZ gehören,ist folgender; Man kann ihm schnell mehr Ressourcen zuweisen, der Nachteil ist das dort die anderen VMs bei höherer
Last alles andere mit beeinträchtigen werden! Also ein kleiner Server mit Intel Xeon E3 und 16 GB RAM sind da nicht
verkehrt. Und der kann dann richtig lange laufen.
Wie wird hier die Last verteilt?
Per Switche in der DMZ und QoS? Per Load Balancer oder der Firewall durch die alles hindurchgeht.(4) DHCP funktioniert auch durch den Tunnel?
Kann man auch machen nur bei einer kleineren Firma macht man einfach alle IP Adressen statisch also fest drauf und gut ist es.Gruß
Dobby
Vielen Dank für deine Antwort.
Ok, dass hört sich alles erstmal gut an. Natürlich soll nicht das private Netz komplett durch den Tunnel gezogen werden! Heute habe ich einen Firmen-Router im privaten Netz der eine Verbindung zur Firewall aufbaut und nur die Geräte die an diesem Router hängen werden ins Firmennetz geroutet. Alles andere läuft normal über den Privatanschluss. Da ich bisher telefonieren konnte, sollte es an der Leitung nicht liegen?! Der IT-Dienstleister der uns jetzt die VPN-Clients für 99€/Kanal/Jahr verkaufen will, gab zu bedenken, dass eine VM den Durchsatz nicht hätte. Die Datenmengen die durch den Tunnel gehen sind überschaubar. Sowohl der Router im Homeoffice als auch die Switche in der Firma können QoS und sind SIP geeignet.
Ok, dass hört sich alles erstmal gut an. Natürlich soll nicht das private Netz komplett durch den Tunnel gezogen werden! Heute habe ich einen Firmen-Router im privaten Netz der eine Verbindung zur Firewall aufbaut und nur die Geräte die an diesem Router hängen werden ins Firmennetz geroutet. Alles andere läuft normal über den Privatanschluss. Da ich bisher telefonieren konnte, sollte es an der Leitung nicht liegen?! Der IT-Dienstleister der uns jetzt die VPN-Clients für 99€/Kanal/Jahr verkaufen will, gab zu bedenken, dass eine VM den Durchsatz nicht hätte. Die Datenmengen die durch den Tunnel gehen sind überschaubar. Sowohl der Router im Homeoffice als auch die Switche in der Firma können QoS und sind SIP geeignet.
verkaufen will, gab zu bedenken, dass eine VM den Durchsatz nicht hätte. Die Datenmengen die durch den Tunnel gehen sind
überschaubar. Sowohl der Router im Homeoffice als auch die Switche in der Firma können QoS und sind SIP geeignet.
Also je nach Ausstattung des Servers der die VM hält ist das ja auch kein Problem der einen VM denn mehr CPU Cores undüberschaubar. Sowohl der Router im Homeoffice als auch die Switche in der Firma können QoS und sind SIP geeignet.
RAM zuzuordnen, und/oder eine andere Netzwerkkarte dezidiert dafür einzubauen, aber wenn der Router schlapp macht
habt Ihr nachher dann knacksen während der Telefonate und dann auch noch die DB Zugriffe, wenn dort etwas gespeichert
werden soll und die Sache wird nicht erledigt ist das ganz schön dumm gelaufen.
Gruß
Dobby
