Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec mit X509 Zertifikat

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Spidermax

Spidermax (Level 1) - Jetzt verbinden

24.01.2013 um 08:34 Uhr, 2291 Aufrufe, 6 Kommentare

Ausgangssitutation:
VDSL mit Vigor 2930 (VLAN Tagging über managebaren Switch)
Homeoffice Mitarbeiter wählen sich momentan über IPsec ins Firmennetz ein.

Diese sollen umgestellt werden auf die Nutzung IPsec mit Zertifikaten

Über eine Anleitung im Netz habe ich eine Verbindung mit einem Zertifikat aufbauen können, das Problem hierbei ist, dass die Verbindung instabil ist.
Es kommt zu ping Abbrüchen und die Datenübertragung oder das Einwählen mit Telnet hängt.

Leider weiß ich nicht wo ich ansetzen muss, ob es die Hardware vom Router ist oder evtl. die VDSL Leitung die das Problem verursacht.

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.

Vielleicht hat ja jemand eine bessere Idee.



Mitglied: Dobby
24.01.2013 um 09:42 Uhr
Hallo Spidermax,

was ist das denn für eine VDSL Leitung (25 oder 50 MBit/s), ist das eine Private oder ein richtiger
Firmenanschluss oder ein Firmenanschluss aber nur mit einem privaten VDSL Vertrag?

Wie viele Mitarbeiter nutzen denn diesen Router um via VPN darauf zuzugreifen?
Und mit was für Anwendungen wird denn auf das Unternehmensnetz zugegriffen?

Denn unter Umständen kann man ja auch mehrere Möglichkeiten auch mit einander kombinieren! z.B.

- eine schnellere Internetanbindung für Unternehmen
- einen größeren oder stärkeren Draytek Vigor Router
- ein Layer 3 Switch im LAN der den Vigor Router merklich entlastet und die VLANs enden dann dort?
- einen zusätzlichen Radius Server der das VPN dann mit X.509 nach Herstellung der VPN Verbindung absichert

Da wir ein Linuxserver nutzen habe ich gelesen dass man das auch mit openswan umsetzen kann.
Also der Router stellt dann auf "Durchzug" d.h. VPN Passthrough und alle melden sich am Linux Server an?
Der Linux Server ist dann zwar von außen erreichbar aber der Router ist dann auch offen, oder?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
24.01.2013, aktualisiert um 10:04 Uhr
Wenn der Vigor es vorher ohne Zertifikate mit PSK sauber und problemlos hinbekommen hat, die gleiche IPsec Anwendung dann aber mit Zertifikaten nicht dann liegt es ja sehr nahe das der Vigor ein Firmware Problem hat.
Du hast ja gar nichts an der Infrastruktur geändert außer lediglich die User Authentisierung.
Folglich kann man ja dann Probleme der Infrastruktur selber mal völlig ausschliessen.
Wie und Wo du IPsec terminierst kann vielerlei Lösungen haben. Besser ist es aber immer einen Router oder eine Firewall zu nehmen, denn das erspart dir erhebliche Probleme mit einem NAT Router, da IPsec durch NAT zu bringen nicht gerade trivial ist...es sei denn man nutzt NAT Traversal auf dem VPN Server.
Anregungen findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
und
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und
http://www.administrator.de/contentid/73117
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 11:05 Uhr
Hallo Dobby,

es handelt sich um eine 25MBit Leitung mit einem privaten VDSL Vertrag.

Es greifen zur Zeit ca. 25 Mitarbeiter auf das Homeoffice zu, die Anzahl der gleichzeitigen Verbindungen am Tag liegen vielleicht bei 10.

Wenn die Verbindung steht wird über telnet und dem Windowsexplorer auf den Server zugegriffen.

An einen anderen Router habe ich auch gedacht, da hat man die Qual der Wahl. Mit integrierten VDSL Modem gibt es nicht viele. Nur kann man nicht ausschließen ob es zu diesen Verbindungsabbrüchen auch mit dem neuen Router nicht kommen würde.

Testen tue ich abends mit einer zweiten ADSL Leitung, wenn keiner außer mir eingewählt ist, kurz gesagt der Router sollte nicht ausgelastet sein.
Bitte warten ..
Mitglied: aqui
24.01.2013 um 12:23 Uhr
Sowas gibts z.B. mit integriertem VDSL Modem:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
oder FritzBox...oder...
und der (Cisco) kann auch deine IPsec VPN Anforderung mit links abfackeln...
Bitte warten ..
Mitglied: Dobby
24.01.2013 um 12:58 Uhr
Hallo noch einmal Spidermax,


Mensch da hast Du aber Glück das der aqui sich hier eingeschaltet hat, der empfiehlt selber oft Draytek
Geräte und ist auch sonst Netzwerk technisch auf der Höhe der Zeit.
Also bei einem Router oder einer Firewall zu bleiben wenn der das so empfiehlt würde ich jetzt so oder so schon einmal, da kannst Du Dir die Probieren mit dem Linux Server auch gleich sparen!

Naja sein wir doch einmal ehrlich zu einander je mehr so ein Router zu tun bekommt je eher
ist auch die Wahrscheinlichkeit das er irgend wann einmal in die Knie geht oder anfängt zu schwächeln!
Also so ein Layer3 Switch der das Routing für das LAN übernimmt und den Router das erste Mal entlastet
der dann auch nicht mehr alle VLANs führen (terminieren) muss und zum anderen einen kleinen Radius Server wie er schon von Vorneherein bei einem MikroTik RB450G mit integriert ist könnte dem Router noch mehr Arbeit abnehmen und dann wäre es vielleicht auch wieder mit dem aktuellen Router wieder recht
flott zu erledigen. Aber gut das sind natürlich uach alles Kosten, sollte man auch nicht vergessen.

Du hast eine VDSL25 MBit/s Leitung und die ist für den privaten Bereich ausgelegt, klar kein Thema wenn
alles funktioniert wie es soll, ist da ja auch gar nichts gegen einzuwenden, aber wenn dort eine s.g.
Drosselung mit ins Spiel kommt, nach einem festgelegtem Kontingent oder Traffic Aufkommen und Du nun genau zu dieser Zeit eine noch stärkere Authentisierung vornimmst dann kann das aber auch sicherlich daran liegen oder?

Eventuell kann man ja auch auf zwei WAN Leitungen mehr erreichen und die ganze Sache ist dann schon erledigt oder mit einem Draytek Virgor 3900 der wirklich sehr potent aussieht zusammen.

Aber da hast Du schon recht das wird nicht einfach sein auf Anhieb das richtige zu finden wenn mehrere
Optionen mit im Spiel sind! Vielleicht ein Systemhaus in Eurer Nähe die Dir einen stärkeren Router
einmal zum Testen überlassen können, da hast Du wohl schon recht das kostet Dich sonst ein kleines
Vermögen, aber der alte Router kann ja auch im s.g. Bridged Modus betrieben werden, also nur als
einfaches Modem das sollte ja nicht das Problem sein oder?

Viel Glück und Gruß
Dobby
Bitte warten ..
Mitglied: Spidermax
24.01.2013 um 14:10 Uhr
@aqui

hab mir mal das Datenblatt vom Cisco886VA angeschaut, so wie es aussieht kann der Router nicht mit x509 Zertifikate umgehen oder täusch ich mich?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Exchange Server
gelöst SBS2011 und öffentliches Zertifikat (1)

Frage von akae11 zum Thema Exchange Server ...

Windows Server
SBS 2011 - WEB-ZERTIFIKAT (12)

Frage von MiSt zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...