Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec mit X509 Zertifikat

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Spidermax

Spidermax (Level 1) - Jetzt verbinden

24.01.2013 um 08:34 Uhr, 2406 Aufrufe, 6 Kommentare

Ausgangssitutation:
VDSL mit Vigor 2930 (VLAN Tagging über managebaren Switch)
Homeoffice Mitarbeiter wählen sich momentan über IPsec ins Firmennetz ein.

Diese sollen umgestellt werden auf die Nutzung IPsec mit Zertifikaten

Über eine Anleitung im Netz habe ich eine Verbindung mit einem Zertifikat aufbauen können, das Problem hierbei ist, dass die Verbindung instabil ist.
Es kommt zu ping Abbrüchen und die Datenübertragung oder das Einwählen mit Telnet hängt.

Leider weiß ich nicht wo ich ansetzen muss, ob es die Hardware vom Router ist oder evtl. die VDSL Leitung die das Problem verursacht.

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.

Vielleicht hat ja jemand eine bessere Idee.



Mitglied: 108012
24.01.2013 um 09:42 Uhr
Hallo Spidermax,

was ist das denn für eine VDSL Leitung (25 oder 50 MBit/s), ist das eine Private oder ein richtiger
Firmenanschluss oder ein Firmenanschluss aber nur mit einem privaten VDSL Vertrag?

Wie viele Mitarbeiter nutzen denn diesen Router um via VPN darauf zuzugreifen?
Und mit was für Anwendungen wird denn auf das Unternehmensnetz zugegriffen?

Denn unter Umständen kann man ja auch mehrere Möglichkeiten auch mit einander kombinieren! z.B.

- eine schnellere Internetanbindung für Unternehmen
- einen größeren oder stärkeren Draytek Vigor Router
- ein Layer 3 Switch im LAN der den Vigor Router merklich entlastet und die VLANs enden dann dort?
- einen zusätzlichen Radius Server der das VPN dann mit X.509 nach Herstellung der VPN Verbindung absichert

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Also der Router stellt dann auf "Durchzug" d.h. VPN Passthrough und alle melden sich am Linux Server an?
Der Linux Server ist dann zwar von außen erreichbar aber der Router ist dann auch offen, oder?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
24.01.2013, aktualisiert um 10:04 Uhr
Wenn der Vigor es vorher ohne Zertifikate mit PSK sauber und problemlos hinbekommen hat, die gleiche IPsec Anwendung dann aber mit Zertifikaten nicht dann liegt es ja sehr nahe das der Vigor ein Firmware Problem hat.
Du hast ja gar nichts an der Infrastruktur geändert außer lediglich die User Authentisierung.
Folglich kann man ja dann Probleme der Infrastruktur selber mal völlig ausschliessen.
Wie und Wo du IPsec terminierst kann vielerlei Lösungen haben. Besser ist es aber immer einen Router oder eine Firewall zu nehmen, denn das erspart dir erhebliche Probleme mit einem NAT Router, da IPsec durch NAT zu bringen nicht gerade trivial ist...es sei denn man nutzt NAT Traversal auf dem VPN Server.
Anregungen findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
und
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und
http://www.administrator.de/contentid/73117
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 11:05 Uhr
Hallo Dobby,

es handelt sich um eine 25MBit Leitung mit einem privaten VDSL Vertrag.

Es greifen zur Zeit ca. 25 Mitarbeiter auf das Homeoffice zu, die Anzahl der gleichzeitigen Verbindungen am Tag liegen vielleicht bei 10.

Wenn die Verbindung steht wird über telnet und dem Windowsexplorer auf den Server zugegriffen.

An einen anderen Router habe ich auch gedacht, da hat man die Qual der Wahl. Mit integrierten VDSL Modem gibt es nicht viele. Nur kann man nicht ausschließen ob es zu diesen Verbindungsabbrüchen auch mit dem neuen Router nicht kommen würde.

Testen tue ich abends mit einer zweiten ADSL Leitung, wenn keiner außer mir eingewählt ist, kurz gesagt der Router sollte nicht ausgelastet sein.
Bitte warten ..
Mitglied: aqui
24.01.2013 um 12:23 Uhr
Sowas gibts z.B. mit integriertem VDSL Modem:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
oder FritzBox...oder...
und der (Cisco) kann auch deine IPsec VPN Anforderung mit links abfackeln...
Bitte warten ..
Mitglied: 108012
24.01.2013 um 12:58 Uhr
Hallo noch einmal Spidermax,


Mensch da hast Du aber Glück das der aqui sich hier eingeschaltet hat, der empfiehlt selber oft Draytek
Geräte und ist auch sonst Netzwerk technisch auf der Höhe der Zeit.
Also bei einem Router oder einer Firewall zu bleiben wenn der das so empfiehlt würde ich jetzt so oder so schon einmal, da kannst Du Dir die Probieren mit dem Linux Server auch gleich sparen!

Naja sein wir doch einmal ehrlich zu einander je mehr so ein Router zu tun bekommt je eher
ist auch die Wahrscheinlichkeit das er irgend wann einmal in die Knie geht oder anfängt zu schwächeln!
Also so ein Layer3 Switch der das Routing für das LAN übernimmt und den Router das erste Mal entlastet
der dann auch nicht mehr alle VLANs führen (terminieren) muss und zum anderen einen kleinen Radius Server wie er schon von Vorneherein bei einem MikroTik RB450G mit integriert ist könnte dem Router noch mehr Arbeit abnehmen und dann wäre es vielleicht auch wieder mit dem aktuellen Router wieder recht
flott zu erledigen. Aber gut das sind natürlich uach alles Kosten, sollte man auch nicht vergessen.

Du hast eine VDSL25 MBit/s Leitung und die ist für den privaten Bereich ausgelegt, klar kein Thema wenn
alles funktioniert wie es soll, ist da ja auch gar nichts gegen einzuwenden, aber wenn dort eine s.g.
Drosselung mit ins Spiel kommt, nach einem festgelegtem Kontingent oder Traffic Aufkommen und Du nun genau zu dieser Zeit eine noch stärkere Authentisierung vornimmst dann kann das aber auch sicherlich daran liegen oder?

Eventuell kann man ja auch auf zwei WAN Leitungen mehr erreichen und die ganze Sache ist dann schon erledigt oder mit einem Draytek Virgor 3900 der wirklich sehr potent aussieht zusammen.

Aber da hast Du schon recht das wird nicht einfach sein auf Anhieb das richtige zu finden wenn mehrere
Optionen mit im Spiel sind! Vielleicht ein Systemhaus in Eurer Nähe die Dir einen stärkeren Router
einmal zum Testen überlassen können, da hast Du wohl schon recht das kostet Dich sonst ein kleines
Vermögen, aber der alte Router kann ja auch im s.g. Bridged Modus betrieben werden, also nur als
einfaches Modem das sollte ja nicht das Problem sein oder?

Viel Glück und Gruß
Dobby
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 14:10 Uhr
@aqui

hab mir mal das Datenblatt vom Cisco886VA angeschaut, so wie es aussieht kann der Router nicht mit x509 Zertifikate umgehen oder täusch ich mich?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IPSec VPN mit RADIUS Authentifizierung (Zertifikate basiert)
Frage von chfranLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich möchte gerne eine Installation aufbauen, in der in Außenstellen arbeitende CPEs (Cisco auf Basis von IOS) ...

Netzwerke
VPN-Verbindung Server 2016 und Win10 (IPSec mit Zertifikat) Fehler
Frage von PN-SchrauberNetzwerke5 Kommentare

Guten Tag, ich habe ein Problem mit der VPN-Verbindung in meinem Netzwerk. Erstmal zu meinen Geräten Als Server diehnt ...

Router & Routing
Mikrotik: Client-to-Site IPSec-VPN mit Zertifikat-Authentifizierung
Frage von tantalosRouter & Routing12 Kommentare

Hallo, auf einem Mikrotik möchte ich für mehrere Road Warrior L2TP/IPSec-VPN-Zugänge einrichten. Zunächst hatte ich die oft beschriebene Variante ...

Router & Routing
PfSense mit IPSec VPN, Zertifikat, Client-Computer Bindung, TAN, und ausgehenden IPSec VPN Tunneln
Frage von AndroxinRouter & Routing1 Kommentar

Moin, moin. Ich habe vor eine bestehende PPTP VPN Lösung für die Mitarbeiter durch etwas vernünftigeres zu ersetzen. Allerdings ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 2 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 20 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...