haarberggeist
Goto Top

Klärung der Anbindung und der Geräte

Brauch Hilfe von Netzwerkexperten.
Vielen Dank schonmal!!

Hallo da bin ich wieder.

Heute mal wieder ne kleine Nuss um euch auf Trap zu halten.

Hab die Frage einer Anbindung bzw. Verbindung zwischen unterschiedlichen Netzen zu klären. Diese Problematik ergibt sich aus einer mir gestellten Projektarbeit.

Hier erst einmal ein Foto:

6c8f6aa81e3764c1f75a801ada8de3f3-netzwerkaufbau_zum_rundsenden

Zu klären wären nun folgende Punkte.

1. Welche Geräte zu verwenden sind?
2. Warum diese Geräte zu nutzen sind?

==> Vorgabe wäre die Verwendung von CISCO Komponenten wobei Geld erstmal keine Rolle spielt.

Zur Beschreibung des Aufbaus:

Kunden sollen mittels Open VPN übers Internet zu mir (Firma) verbunden werden.
Die Daten sollen dann über den Router-Cluster => Firewall Cluster => VPN Concentrator zum dahinterliegenden Server weitergeleitet werden.

Benutze diese Clustertechnologie um Ausfälle abfangen zu können.
Der VPN-Concentrator ist nötig um die ankommenden VPN's zusammenzufassen.

Falls noch jemand ne gute Idee hat wie ich die Datenpakete aus den einzelnen Netzen zu meinem Server leiten kann und dann auch noch ne 100 % Sicherheit hab das die Pakete noch en Kunden zuzuordnen sind bin ich auch dankbar für.

Hoffe das mir jemand helfen kann.

Vielen Dank schonmal.


Stehe für weitere Informationen gern zur Verfügung.

Gruss Haarberggeist.

Content-Key: 129101

Url: https://administrator.de/contentid/129101

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: education
education 11.11.2009 um 14:24:24 Uhr
Goto Top
eine 100%ige sicherheit wirst du über das Internet nie haben.....

Sicherste art und weise: ISDN da kann bestimmt niemand deine Daten abhören und entschlüsseln.

Aber deine ausfallsicherheit hat einen denk fehler:

Loadbalancerouter, würde dir nur was bringen wenn du von deiner firma aus richtung kunden gehen würdest. das jeder router nach drausen seine eigene ip hätte.

router a: 82.100.100.2 router b 82.100.100.3 z.b.
wenn aber router a down ist müsten die ja vpn in richtung router b aufbauen also 82.100.100.3


was anderes wäre wenn du die vpn von dir zum kunden aufbauen würdest.

aber wie oben gesagt: 100% sicherheit wird es im inet nie geben
Mitglied: aqui
aqui 11.11.2009 um 16:10:26 Uhr
Goto Top
Vor allen Dingen warum OpenVPN wenn Cisco Router, und natürlich speziell der VPN Concentrator der ja eh VPN Server ist, allesamt schon jegliche VPN Verfahren mit an Bord haben ???
Das ist ja doppelt gemoppeltes Geld ! Was soll also noch ein OpenVPN Server obendrauf ?? Zudem gibt es auch noch Alternativen, denn Ciscos lassen sich auch mit preiswerteren VPN Routern auf Clientseite per IPsec VPN koppeln (Draytek etc.)
Das Konzept klingt irgendwie wirr und undurchdacht und so als Unverständnis herrscht was denn überhaupt ein VPN Concentrator ist ?!....

Warum auch immer wieder externe Bilderlinks !!?? Administrator.de hat eine Uplinkfunktion für Bilder aber dafür hats beim Geist vermutlich nicht gereicht.... face-sad
Mitglied: Haarberggeist
Haarberggeist 12.11.2009 um 06:49:35 Uhr
Goto Top
Guten Morgen.

@ edcucation

Danke das mit der Sicherheit ist mir soweit bewußt aber man muss eben hoffen.
Also ich kann sichergehen das die Anbindung der Firma zu 99,9 % sichergestellt ist. Da von der Anbindung auch andere Teilebreiche stark abhängen.

Dann ist der Aufbau ebenso in dieser Art und Weise möglich und ich würd gern deine Vorschläge hören.

Da ich mich in diesem Bereich nicht so auskenne es aber zur Entwicklung einer Lösung für eine gestellte Aufgabe benötige.

Danke schonmal.

@ aqui

Zuerst zur Bildergeschichte. Was dein Problem mit diesem externen Link ? Das hat nichts mit " ..dafür hats beim Geist vernmutlich nicht gereicht..." zu tun.
=> Was ist das Problem an dem Bild was im Post ist ?

Wie oben schon geschrieben bin ich gern bereit meine Annahmen durch eure qualfizierten Aussagen zu ändern bzw. anzupassen. Somit höre ich mir gern eure Vorschlage an.

Vielen Dank schonmal dafür.
Mitglied: aqui
aqui 12.11.2009 um 13:28:21 Uhr
Goto Top
Nun hast du ja das Bild auch nachträglich in den o.a. Post geschummelt, wo es vorher auf einem externen Link war !
OK, zurück zu deinem Design:
Generell, bevor wir hier ins Detail gehen musst du erstmal eine Basisfrage klären. Stellen wir also die Frage nochmals da du sie immer noch nicht beantwortet hast face-sad :

Warum willst du OpenVPN benutzen wenn du schon Cisco Router und auch deren VPN Concentrator (VPN Server) einsetzt die selber, autark eine VPN Funktion mitbringen mit der so alles in puncto VPN und Kundenanbindung realisierbar ist ?? Nochmals: Ein Cisco VPN Concentrator ist KEIN Gerät um eingehende VPN Sessions zusammenzufassen wie der name vielleicht suggeriert, sondern ein eigenständiger VPN Server der IPsec oder PPTP spricht und selber VPN Sessions terminiert.
Damit ist dann eine zusätzliche OpenVPN on Top doch vollkommen überflüssig ?!
Eine externe VPN Lösung wie OpenVPN macht doch nur dann Sinn wenn du keinerlei VPN fähige Netzkomponenten benutzt was ja bei dir scheinbar nicht der Fall ist wenn du mit Cisco liebäugelst.
Auch wenn du preiswertere VPN fähige Router wie z.B. Drayteks o.ä. verwenden würdest, wäre eine zusätzliche OpenVPN Lösung ja ebenfalls unsinnig.
Dieser Punkt ist ziemlich verwirrend in deinem Konzept und da fragt man sich dann was du genau willst !
Mitglied: Haarberggeist
Haarberggeist 12.11.2009 um 14:13:06 Uhr
Goto Top
Moin. Also ich hab nix mit dem Bild gemacht. Das war schon so drinnen als ich heute morgen eingeloggt habe.
Deswegen hab ich ja auch nicht deinen Einwurf verstanden.

So zur klärung der Fragen.

Ich bestehe nicht auf as OpenVPN wenn es sich mit den CISCO Komponenten durchführen lässt dann soll mir das ausreichen.
Wie gesagt ich stecke halt nicht in dem Thema drinne und frage ja deswegen bei euch nach.

Was ich möche:

Ich muss zu KUNDE A und KUNDE B eine sichere Verbindung fahren.
Dann muss es mir möglich sein das ich Abfragen auf die Maschinen im Kundennetz starten kann und diese Antworten bei mir auf dem Server ankommen.
Knackpunkt ist nun das ich eine 100% Zuordnung der Kundendaten brauche. Also das immer nachvollziehbar bleibt aus welchem Netz kommen die Pakete.
Ebenso müßte geprüft werden wie ich sicherstellen kann das das der Fall ist wenn die Kunden zufälligerweise die gleich private Netzwerkrange nutzen.
Ich hoffe das hilft erstmal weiter. Wenn ich weiteres aufklären soll dann sag bitte bescheid.

Danke,

Gruss Haarberggeist
Mitglied: aqui
aqui 12.11.2009, aktualisiert am 18.10.2012 um 18:39:57 Uhr
Goto Top
.
"Ich muss zu KUNDE A und KUNDE B eine sichere Verbindung fahren..."

A.: OK das kann man mit jedem x-beliebigen VPN Router machen wie preiswerte HIER z.B. unschwer sehen kannst. Das geht natürlich logischerweiseauch mit Cisco untereinander !
Natürlich funktioniert auch eine OpenVPN Lösung sauber und gut wenn man KEINE VPN fähige Router- oder Firewall Hardware einsetzt !

"Dann muss es mir möglich sein das ich Abfragen auf die Maschinen im Kundennetz starten kann und diese Antworten bei mir auf dem Server ankommen..."

A.: Darüber muss man nicht lange diskutieren das sowas problemlos funktioniert, denn das ist ja genau der tiefere Sinn eines VPNs ! Ein VPN verhält sich wie eine lokale Verbindung im jeweiligen Netz ! Eine seit Jahren gängige und ausgereifte Technik die problemlos funktioniert !

"Knackpunkt ist nun das ich eine 100% Zuordnung der Kundendaten brauche. Also das immer nachvollziehbar bleibt aus welchem Netz kommen die Pakete...."

A.: Wenn du eine entsprechende Authentifizierung für deine Kunden benutzt (z.B. Radius oder TACACS) ist das problemlos umsetzbar. Auch eine jahrelang bewährte Technik sowas zu lösen !

"Ebenso müßte geprüft werden wie ich sicherstellen kann das das der Fall ist wenn die Kunden zufälligerweise die gleich private Netzwerkrange nutzen..."

A.: Das ist in jedem Fall eine VPN Designfrage für dessen korrekte Umsetzung DU in deinem Netz sorgen musst !! Es gilt dazu alles was #comment-toc5 HIER steht ! Du hast das also selber in der Hand das das fehlerfrei zu deinem Kunden rennt !

Dein Design ist ein bewährtes VPN Banaldesign was zigfach so im Einsatz ist. Da muss man eigentlich nicht mehr lange in Foren diskutieren drüber ?!