Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec mit X509 Zertifikat

Mitglied: Spidermax

Spidermax (Level 1) - Jetzt verbinden

24.01.2013 um 08:34 Uhr, 2438 Aufrufe, 6 Kommentare

Ausgangssitutation:
VDSL mit Vigor 2930 (VLAN Tagging über managebaren Switch)
Homeoffice Mitarbeiter wählen sich momentan über IPsec ins Firmennetz ein.

Diese sollen umgestellt werden auf die Nutzung IPsec mit Zertifikaten

Über eine Anleitung im Netz habe ich eine Verbindung mit einem Zertifikat aufbauen können, das Problem hierbei ist, dass die Verbindung instabil ist.
Es kommt zu ping Abbrüchen und die Datenübertragung oder das Einwählen mit Telnet hängt.

Leider weiß ich nicht wo ich ansetzen muss, ob es die Hardware vom Router ist oder evtl. die VDSL Leitung die das Problem verursacht.

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.

Vielleicht hat ja jemand eine bessere Idee.



Mitglied: 108012
24.01.2013 um 09:42 Uhr
Hallo Spidermax,

was ist das denn für eine VDSL Leitung (25 oder 50 MBit/s), ist das eine Private oder ein richtiger
Firmenanschluss oder ein Firmenanschluss aber nur mit einem privaten VDSL Vertrag?

Wie viele Mitarbeiter nutzen denn diesen Router um via VPN darauf zuzugreifen?
Und mit was für Anwendungen wird denn auf das Unternehmensnetz zugegriffen?

Denn unter Umständen kann man ja auch mehrere Möglichkeiten auch mit einander kombinieren! z.B.

- eine schnellere Internetanbindung für Unternehmen
- einen größeren oder stärkeren Draytek Vigor Router
- ein Layer 3 Switch im LAN der den Vigor Router merklich entlastet und die VLANs enden dann dort?
- einen zusätzlichen Radius Server der das VPN dann mit X.509 nach Herstellung der VPN Verbindung absichert

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Also der Router stellt dann auf "Durchzug" d.h. VPN Passthrough und alle melden sich am Linux Server an?
Der Linux Server ist dann zwar von außen erreichbar aber der Router ist dann auch offen, oder?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
24.01.2013, aktualisiert um 10:04 Uhr
Wenn der Vigor es vorher ohne Zertifikate mit PSK sauber und problemlos hinbekommen hat, die gleiche IPsec Anwendung dann aber mit Zertifikaten nicht dann liegt es ja sehr nahe das der Vigor ein Firmware Problem hat.
Du hast ja gar nichts an der Infrastruktur geändert außer lediglich die User Authentisierung.
Folglich kann man ja dann Probleme der Infrastruktur selber mal völlig ausschliessen.
Wie und Wo du IPsec terminierst kann vielerlei Lösungen haben. Besser ist es aber immer einen Router oder eine Firewall zu nehmen, denn das erspart dir erhebliche Probleme mit einem NAT Router, da IPsec durch NAT zu bringen nicht gerade trivial ist...es sei denn man nutzt NAT Traversal auf dem VPN Server.
Anregungen findest du auch hier:
https://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
und
https://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und
https://www.administrator.de/contentid/73117
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 11:05 Uhr
Hallo Dobby,

es handelt sich um eine 25MBit Leitung mit einem privaten VDSL Vertrag.

Es greifen zur Zeit ca. 25 Mitarbeiter auf das Homeoffice zu, die Anzahl der gleichzeitigen Verbindungen am Tag liegen vielleicht bei 10.

Wenn die Verbindung steht wird über telnet und dem Windowsexplorer auf den Server zugegriffen.

An einen anderen Router habe ich auch gedacht, da hat man die Qual der Wahl. Mit integrierten VDSL Modem gibt es nicht viele. Nur kann man nicht ausschließen ob es zu diesen Verbindungsabbrüchen auch mit dem neuen Router nicht kommen würde.

Testen tue ich abends mit einer zweiten ADSL Leitung, wenn keiner außer mir eingewählt ist, kurz gesagt der Router sollte nicht ausgelastet sein.
Bitte warten ..
Mitglied: aqui
24.01.2013 um 12:23 Uhr
Sowas gibts z.B. mit integriertem VDSL Modem:
https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
oder FritzBox...oder...
und der (Cisco) kann auch deine IPsec VPN Anforderung mit links abfackeln...
Bitte warten ..
Mitglied: 108012
24.01.2013 um 12:58 Uhr
Hallo noch einmal Spidermax,


Mensch da hast Du aber Glück das der aqui sich hier eingeschaltet hat, der empfiehlt selber oft Draytek
Geräte und ist auch sonst Netzwerk technisch auf der Höhe der Zeit.
Also bei einem Router oder einer Firewall zu bleiben wenn der das so empfiehlt würde ich jetzt so oder so schon einmal, da kannst Du Dir die Probieren mit dem Linux Server auch gleich sparen!

Naja sein wir doch einmal ehrlich zu einander je mehr so ein Router zu tun bekommt je eher
ist auch die Wahrscheinlichkeit das er irgend wann einmal in die Knie geht oder anfängt zu schwächeln!
Also so ein Layer3 Switch der das Routing für das LAN übernimmt und den Router das erste Mal entlastet
der dann auch nicht mehr alle VLANs führen (terminieren) muss und zum anderen einen kleinen Radius Server wie er schon von Vorneherein bei einem MikroTik RB450G mit integriert ist könnte dem Router noch mehr Arbeit abnehmen und dann wäre es vielleicht auch wieder mit dem aktuellen Router wieder recht
flott zu erledigen. Aber gut das sind natürlich uach alles Kosten, sollte man auch nicht vergessen.

Du hast eine VDSL25 MBit/s Leitung und die ist für den privaten Bereich ausgelegt, klar kein Thema wenn
alles funktioniert wie es soll, ist da ja auch gar nichts gegen einzuwenden, aber wenn dort eine s.g.
Drosselung mit ins Spiel kommt, nach einem festgelegtem Kontingent oder Traffic Aufkommen und Du nun genau zu dieser Zeit eine noch stärkere Authentisierung vornimmst dann kann das aber auch sicherlich daran liegen oder?

Eventuell kann man ja auch auf zwei WAN Leitungen mehr erreichen und die ganze Sache ist dann schon erledigt oder mit einem Draytek Virgor 3900 der wirklich sehr potent aussieht zusammen.

Aber da hast Du schon recht das wird nicht einfach sein auf Anhieb das richtige zu finden wenn mehrere
Optionen mit im Spiel sind! Vielleicht ein Systemhaus in Eurer Nähe die Dir einen stärkeren Router
einmal zum Testen überlassen können, da hast Du wohl schon recht das kostet Dich sonst ein kleines
Vermögen, aber der alte Router kann ja auch im s.g. Bridged Modus betrieben werden, also nur als
einfaches Modem das sollte ja nicht das Problem sein oder?

Viel Glück und Gruß
Dobby
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 14:10 Uhr
@aqui

hab mir mal das Datenblatt vom Cisco886VA angeschaut, so wie es aussieht kann der Router nicht mit x509 Zertifikate umgehen oder täusch ich mich?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

IPSec VPN mit RADIUS Authentifizierung (Zertifikate basiert)

Frage von chfranLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich möchte gerne eine Installation aufbauen, in der in Außenstellen arbeitende CPEs (Cisco auf Basis von IOS) ...

Netzwerke

VPN-Verbindung Server 2016 und Win10 (IPSec mit Zertifikat) Fehler

Frage von PN-SchrauberNetzwerke5 Kommentare

Guten Tag, ich habe ein Problem mit der VPN-Verbindung in meinem Netzwerk. Erstmal zu meinen Geräten Als Server diehnt ...

Router & Routing

PfSense mit IPSec VPN, Zertifikat, Client-Computer Bindung, TAN, und ausgehenden IPSec VPN Tunneln

Frage von AndroxinRouter & Routing1 Kommentar

Moin, moin. Ich habe vor eine bestehende PPTP VPN Lösung für die Mitarbeiter durch etwas vernünftigeres zu ersetzen. Allerdings ...

Windows Server

IPSec - Datenverschlüsselung

gelöst Frage von 117109Windows Server4 Kommentare

Hallo, kann man eigentlich bei IPSec die Sicherheitsmethoden so anpassen, dass man nur die Daten verschlüsselt? Wenn ja, wie ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 6 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 6 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server15 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...