10
VPN Sicherheit und Konfigurations-Frage
Guten Abend,
mich würde interessieren, wie die beste/sicherste Konfiguration für einen VPN-Server ist!?
Da ich mit dem VPN Server eine Verb. in mein LAN herstellen möchte, muss dieser ja in meinem LAN liegen, richtig!?
Als Software möchte ich OpenVPN einsetzten, bin natürlcih auch für Alternativen offen...
Wäre es sinnig, auf einem vorhanden Server im LAN openVPN zu einzurichten? Also z.B. auf dem DHCP od. DNS Server?
Oder sollte ich besser den VPN Server auf einem zusätzlichen Virtuellen Server auf z.B. dem DHCP/DNS Server installieren?
Wie würdet ihr diese VPN Geschichte angehen?
Vielen Dank für eure Aufmerksamkeit.
gute Nacht.
mich würde interessieren, wie die beste/sicherste Konfiguration für einen VPN-Server ist!?
Da ich mit dem VPN Server eine Verb. in mein LAN herstellen möchte, muss dieser ja in meinem LAN liegen, richtig!?
Als Software möchte ich OpenVPN einsetzten, bin natürlcih auch für Alternativen offen...
Wäre es sinnig, auf einem vorhanden Server im LAN openVPN zu einzurichten? Also z.B. auf dem DHCP od. DNS Server?
Oder sollte ich besser den VPN Server auf einem zusätzlichen Virtuellen Server auf z.B. dem DHCP/DNS Server installieren?
Wie würdet ihr diese VPN Geschichte angehen?
Vielen Dank für eure Aufmerksamkeit.
gute Nacht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 122360
Url: https://administrator.de/contentid/122360
Printed on: April 23, 2024 at 18:04 o'clock
10 Comments
Latest comment
schau dir doch mal Vipnet an. www.infotecs.de. Das ganze ist nur Software und funktioniert sowohl im LAN als auch im WAN. Das Servermodul kannst du z.B. auf dem DHCP/DNS-Server installieren und auf die anderen Rechner installierst du Clients. Funktioniert egal, ob sich diese Clients dann in deinem LAN oder außerhalb befinden. Mehr als eine feste IP (dyndns geht auch) und eine einzige Portweiterleitung auf den Server brauchst du nicht.
Letztlich also genau das gleiche wie OpenVPN und da solltest du dann auch beim bewährten bleiben.
Wo du den OpenVPN Server installierst ist schwer über ein Forum zu beantworten, denn dann müsste man dein Netz und dein Bauchgefühl besser kennen.
Fakt ist das alle zusätzlichen Funktionen gegeneinander in Abhängigkeit geraten.
Fällt also mal der DNS Server aus funktioniert gleich dein VPN Zugang nicht mehr und umgekehrt.
Es ist also letztlich immer besser das zu trennen.
OpenVPN ist heute in freien Firewall Lösungen drin wie IPCop oder PFsense so das du besser Firewall und OpenVPN Server vereinst. Das ist immer die bessere Konstellation, denn so ist deine VPN Lösung mehr oder weniger unabhängig.
Denkbar sind natürlich auch Router wie z.B. die Router von Draytek die fast alle gängigen VPN Protokolle gleich im Router supporten.
So kannst du 2 Fliegen mit einer Klappe schlagen. IPCop mit OpenVPN macht genau das gleiche nur eben zum Nulltarif oder den Preis eines alten PCs
Wo du den OpenVPN Server installierst ist schwer über ein Forum zu beantworten, denn dann müsste man dein Netz und dein Bauchgefühl besser kennen.
Fakt ist das alle zusätzlichen Funktionen gegeneinander in Abhängigkeit geraten.
Fällt also mal der DNS Server aus funktioniert gleich dein VPN Zugang nicht mehr und umgekehrt.
Es ist also letztlich immer besser das zu trennen.
OpenVPN ist heute in freien Firewall Lösungen drin wie IPCop oder PFsense so das du besser Firewall und OpenVPN Server vereinst. Das ist immer die bessere Konstellation, denn so ist deine VPN Lösung mehr oder weniger unabhängig.
Denkbar sind natürlich auch Router wie z.B. die Router von Draytek die fast alle gängigen VPN Protokolle gleich im Router supporten.
So kannst du 2 Fliegen mit einer Klappe schlagen. IPCop mit OpenVPN macht genau das gleiche nur eben zum Nulltarif oder den Preis eines alten PCs
Hi,
vielen Dank für eure Antworten. Ich werde mal eine Netztopologie erstellen und euch diese zeigen, dann könnt ihr mir bestimmt noch besser Hilfstellung geben.
Mir stehen mom. 2 Physikalische Server zur Verfügung. Einer steht im DMZ, dort läuft Apache und gut ist.
Der 2 steht im LAN und läuft als AD, Druck, File, DHCP und DNS-Server.
Jetzt wollte ich halt eine VPN Lösung für unser LAN schaffen.
Zusätzliche Hardware möchte ich vermeiden. Das DMZ liegt hinter einem Router und das LAN dann wieder hinter einem weiteren Router, der LAN vom DNZ trennt, was doch dann die IPCop Geschichte überflüssig macht, oder?
Ich dachte mir, installierst auf dem LAN Server ein Virtuellen Server mit OpenVPN, dann leite ich den VPN Anfragen durchs DMZ, an den LAN Router, weiter dann auf den virtuellen OpenVPN-Server. Dieser soll sich dann die IPs vom DHCP/LAN-Server holen.
Geht das so, macht das Sinn und ist dieses sicher?
Oder soll ich einfach das openVPN direkt auf dem LAN-Server installieren? Aber dann müsste ich im Router einen Portforward auf den LAN-Server machen!?
Danke, hoffe ihr versteht worauf ich raus möchte.
vielen Dank für eure Antworten. Ich werde mal eine Netztopologie erstellen und euch diese zeigen, dann könnt ihr mir bestimmt noch besser Hilfstellung geben.
Mir stehen mom. 2 Physikalische Server zur Verfügung. Einer steht im DMZ, dort läuft Apache und gut ist.
Der 2 steht im LAN und läuft als AD, Druck, File, DHCP und DNS-Server.
Jetzt wollte ich halt eine VPN Lösung für unser LAN schaffen.
Zusätzliche Hardware möchte ich vermeiden. Das DMZ liegt hinter einem Router und das LAN dann wieder hinter einem weiteren Router, der LAN vom DNZ trennt, was doch dann die IPCop Geschichte überflüssig macht, oder?
Ich dachte mir, installierst auf dem LAN Server ein Virtuellen Server mit OpenVPN, dann leite ich den VPN Anfragen durchs DMZ, an den LAN Router, weiter dann auf den virtuellen OpenVPN-Server. Dieser soll sich dann die IPs vom DHCP/LAN-Server holen.
Geht das so, macht das Sinn und ist dieses sicher?
Oder soll ich einfach das openVPN direkt auf dem LAN-Server installieren? Aber dann müsste ich im Router einen Portforward auf den LAN-Server machen!?
Danke, hoffe ihr versteht worauf ich raus möchte.
Ja, das klappt so problemlos. Den OpenVPN Server in einer VM zu installieren ist mehr oder weniger überflüssig und schafft dir nur sinnlosen Overhead.
Denn kannst du direkt auf dem LAN Server installieren und machst ein Port Forwarding auf dem ersten Router.
Also genau das was du beschreibst. Bei deinem Banalszenario ist das die einfachste und effektivste Lösung wenn du auf einen Ersatz des ersten Routers mit einer freien FW Lösung wie z.B. IPCop oder M0n0wall verzichten willst, die von Sich aus einen VPN Server mitbringen !
Denn kannst du direkt auf dem LAN Server installieren und machst ein Port Forwarding auf dem ersten Router.
Also genau das was du beschreibst. Bei deinem Banalszenario ist das die einfachste und effektivste Lösung wenn du auf einen Ersatz des ersten Routers mit einer freien FW Lösung wie z.B. IPCop oder M0n0wall verzichten willst, die von Sich aus einen VPN Server mitbringen !
Hi,
danke für die Info. Ich wollte die VM nur noch zwischen haben, dass gab mir ein größeres "Sicherheitsgefühl" als direkt den Forward auf den LAN SRV.
Was meinst du mit Banalszenario? Hast du noch Tips für mich? Sollte ich was ändern?
Danke,
danke für die Info. Ich wollte die VM nur noch zwischen haben, dass gab mir ein größeres "Sicherheitsgefühl" als direkt den Forward auf den LAN SRV.
Was meinst du mit Banalszenario? Hast du noch Tips für mich? Sollte ich was ändern?
Danke,
Mit banal war eben klein und einfach gemeint und da sind ja solche Designs durchaus üblich.
Die Router/FW Lösung wäre technisch etwas besser und geringfügig sicherer.
Eine VM bringt gar nichts außer sinnlosem Overhead, denn damit das die Netzadapter im Bridged Modus arbeiten hast du dann 2 Betriebssysteme in der DMZ die du immer genau warten musst und bei dem du Löcher stopfen musst.
Das bringt also nichts und ein Server mit OpenVPN ist da ausreichend.
Wenn dann müsstest du es so machen wie im ct Serverprojekt mit einer totalen Virtualisierung von FW und Server. Ist aber vermutlich für dich zu großer Aufwand für ein paar VPN Verbindungen...
Die Router/FW Lösung wäre technisch etwas besser und geringfügig sicherer.
Eine VM bringt gar nichts außer sinnlosem Overhead, denn damit das die Netzadapter im Bridged Modus arbeiten hast du dann 2 Betriebssysteme in der DMZ die du immer genau warten musst und bei dem du Löcher stopfen musst.
Das bringt also nichts und ein Server mit OpenVPN ist da ausreichend.
Wenn dann müsstest du es so machen wie im ct Serverprojekt mit einer totalen Virtualisierung von FW und Server. Ist aber vermutlich für dich zu großer Aufwand für ein paar VPN Verbindungen...
Hi,
ach warte mal, glaube ich habs noch nicht ganz. Soll ich das Open VPN im DMZ auf dem Web-SRV installieren?
Aber dann muss ich ja direkten Zugriff aus dem DMZ aufs LAN gewähren, zwar nur für einen Port, damit dann Anfragen an den DHCP im LAN gesendert werden können.
Ich dachte ich muss das oVPN auf dem LAN-SRV installieren, wo auch DHCP und weiteres läuft?!
Es tut mir Leid, dass ich da noch schwer verständlich neues aufnehme, aber so leicht gehts mir noch net runter.#
Hab mich auch an dem banal nicht gestoßen, ich lerne nur gerne was dazu, bin für jeden Tip dankbar.
Vielen Dank für deine Geduld.
ach warte mal, glaube ich habs noch nicht ganz. Soll ich das Open VPN im DMZ auf dem Web-SRV installieren?
Aber dann muss ich ja direkten Zugriff aus dem DMZ aufs LAN gewähren, zwar nur für einen Port, damit dann Anfragen an den DHCP im LAN gesendert werden können.
Ich dachte ich muss das oVPN auf dem LAN-SRV installieren, wo auch DHCP und weiteres läuft?!
Es tut mir Leid, dass ich da noch schwer verständlich neues aufnehme, aber so leicht gehts mir noch net runter.#
Hab mich auch an dem banal nicht gestoßen, ich lerne nur gerne was dazu, bin für jeden Tip dankbar.
Vielen Dank für deine Geduld.
Beides ist ja mehr oder weniger unsicher.
Bei der DMZ Lösung musst du Ports bzw. IPs öffnen die den Zugriff aufs LAN gewährleisten. Da du aber eine NAT Firewall vermutlich in Router 1 betreibst ist das nicht ganz so tragisch, da keine anderen Ports ausser dem VPN Traffic in die DMZ gelangen.
Bei der LAN Server Lösung musst du ebenfalls die FW aufbohren und ein Loch schaffen für den VPN Traffic und das dann direkt in dein LAN.
Du kannst es drehen und wenden wie du willst und dir die für dich schönste Variante aussuchen !
Bei der DMZ Lösung musst du Ports bzw. IPs öffnen die den Zugriff aufs LAN gewährleisten. Da du aber eine NAT Firewall vermutlich in Router 1 betreibst ist das nicht ganz so tragisch, da keine anderen Ports ausser dem VPN Traffic in die DMZ gelangen.
Bei der LAN Server Lösung musst du ebenfalls die FW aufbohren und ein Loch schaffen für den VPN Traffic und das dann direkt in dein LAN.
Du kannst es drehen und wenden wie du willst und dir die für dich schönste Variante aussuchen !
Da hascht du natürlich recht.
Ich schaue mal noch ein wenig übers Netz und dann poste ich, wie ich es nun gemacht habe.
Vorerst vielen Dank für die Infos.
Ich schaue mal noch ein wenig übers Netz und dann poste ich, wie ich es nun gemacht habe.
Vorerst vielen Dank für die Infos.
Dann warten wir mal gespannt auf die Lösung.
Ggf. bitte sonst
How can I mark a post as solved?
nicht vergessen !
Ggf. bitte sonst
How can I mark a post as solved?
nicht vergessen !
