Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Standortvernetzung ohne feste IP-Adressen ?

Frage Sicherheit Firewall

Mitglied: Heurazio

Heurazio (Level 1) - Jetzt verbinden

12.07.2011 um 06:19 Uhr, 5185 Aufrufe, 15 Kommentare

Erst mal Hallo an alle,

dann gleich zu meiner Frage / meinem Problem. Ich möchte zwei Standorte miteinander verbinden und kenne mich mit der Thematik kurzum noch garnicht aus. Nach längerem lesen bin ich soweit das ich wohl ein VPN zwischen Zentrale und Aúßenstelle einrichten muss. Meine erste überlegung war an beiden Enden eine Firewall (mit VPN-Funktion) zu verwenden und der Zentrale eine feste IP-Adresse zuweisen zu lassen (Transitnetz: Internet). Nun ist meine Frage ob dies auch anders geht.
Gibt es eine Möglichkeit Zentrale und Außenstelle zu verbinden OHNE das es nötig ist das einer der beiden Standorte eine feste IP zugewiesen bekommt bzw. im Internet "sichtbar" wird ? Von Softwareseitigen Lösungen wie Hamatchi etc. bin ich abgekommen. Die Leistung ist viel zu niedrig.

Über eine Antwort würde ich mich freuen.
Mfg Heurazio
Mitglied: brammer
12.07.2011 um 06:26 Uhr
Hallo,

an VPN wirst du im Entdefekt nicht vorbei kommen.
Es gibt ja auch hierfür verschiedene Lösungsansätze und auch Möglichkeiten ohne Feste IP.
Verbunden mit dem Internet müssen in jedem Falle beide Standorte sein.
Was für Dienste die Standorte nach aussen haben kann man ja freigeben, oder sperren.

Mach doch erst mal eine Bestandaufnahme der Hardware die du hast und schau ob die vorhandene HArdware
evtl. schon VPN fähig ist.
Dann können wir wieter überlegen.

brammer
Bitte warten ..
Mitglied: Heurazio
12.07.2011 um 06:34 Uhr
Die Außenstelle existiert bist jetzt noch nicht und muss neu geschaffen werden. Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden. Für die Zentrale dachte ich an ein LANCOM 7100 VPN und für die Außenstelle bin ich im Moment noch unentschlossen. Wichtig ist das die Zentrale selbst gut geschützt ist gegen eindringen und Extrahieren von sensiblen Daten. Über "man-in-the-middle" muss ich mir im Moment keine Gedanken machen.
Bitte warten ..
Mitglied: brammer
12.07.2011 um 07:53 Uhr
Hallo,

Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden

heißt in der Praxis?
Selbst eine Fritzbox oder ein Speedport können mit VPN umgehen...

MitM Attacken ist eine Frage des verwendeten Schlüssels und des Austauschweges des Schlüssels oder der verwendeten Zerifikaste

Ein Lancom Router ist keine Schlechte Wahl

brammer
Bitte warten ..
Mitglied: NoHopeNoFear
12.07.2011 um 08:35 Uhr
Moin,

ein Lancom 7100 für die Vernetzung von 2 Standorten ist aber mit (großkalibirgen) Kanonen auf Spatzen geschossen.
Da reicht auch ein 1611+, also der billigste VPN fähige Lancom, für beide Standorte. In Sachen Firewall geben sich beide nichts, lediglich der Datendurchsatz und die max. Anzahl der VPNs unterscheiden sich sowie die Anzahl der konfigurierbaren WAN Ports, der Rest ist im wesentlichen gleich.

VPN mit dynamischen IPs geht problemlos wenn du auf beiden Seiten Lancom Geräte hast.
Bitte warten ..
Mitglied: kopie0123
12.07.2011 um 09:53 Uhr
Hey,

richte DynDns Aderssen ein und dein VPN läuft.

Wir nutzen IPCop, ist umsonst,bringt alles mit was du brauchst. DynDns Client konfigurieren und Zertifikatsbasiertes IPSec nutzen. Für dich kannst Du dann noch einen OpenVPN Zugang fürs HomeOffice einrichten. Oder um Nachts die Server zu warten

Gruß
Bitte warten ..
Mitglied: aqui
12.07.2011 um 10:55 Uhr
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Mit 2 simplen VPN Routern bist du also bestens bedient und kannst das im Handumdrehen umsetzen !
Bitte warten ..
Mitglied: kleini0502
12.07.2011 um 15:27 Uhr
Hi Heurazio!

Eine sehr gute und einfache Lösung, jedoch nicht ganz billig, ist auch Astaro Security Gateway. Funktioniert auch einwandfrei mit DynDNS. Kosten sind natürlich abhängig von der Größe Deines Unternehmens (Benutzeranzahl) und welche ASG Du dort benötigst.

Gruß Kleini
Bitte warten ..
Mitglied: Heurazio
12.07.2011 um 21:55 Uhr
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...
Bitte warten ..
Mitglied: kleini0502
12.07.2011 um 22:21 Uhr
Hey!

Astaro Security Gateway bietet mehrere Features:

- Basis- Firewall
- Network Security
- Web Security
- Mail Security
- Wireless Security
- Web Aplication Security

U.a. sind dort auch Antivirenengines involviert (2 Stück). Proxy- Funktionen HTTP/HTTPS, FTP, MAIL etc.

Man kann schon sehr viel damit machen und vor allen ist es um einiges einfacher zu konfigurieren als Lancom (klar, ist ansichtssache...). Aber ich habe meine Kunden weitestgehend auf Astaro "umgeswitcht".

Nachteil bei Astaro sind wie oben schon erwähnt die Preise.

Gruß
Kleini

PS: Bei Astaro ist es auch ohne Probleme möglich VPN aufzubauen, wenn z.B. nur der Hauptstandort eine feste IP hat. Grundsätzlich brauch dieser diese auch bzw. DynDNS.
Bitte warten ..
Mitglied: jsysde
12.07.2011 um 22:21 Uhr
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Das ist zwar technisch richtig, sich für den geschäftlichen Bedarf auf die Verfügbarkeit eines externen Dienstleisters verlassen zu müssen, halte ich aber für sehr riskant. Wenn DynDNS, dann die Bezahlvariante.

@Heurazio:
Sinnvoller wäre es allerdings, zumindest der Zentrale eine statische, öffentliche IP zu verpassen - das macht sogar die Telekom, wenn man ein Business-Produkt bucht. Das kostet ein paar Euro mehr, hat aber auch entsprechend schnelleren Support. Vergleich: Privat-Anschluss bis zu 24 Stunden Reaktionszeit, Business max. 8. Wenn du es dir leisten kannst, dass dein Business > 24 Stunden auf dem Bauch liegt, bloss um ein paar Euro Gebühren im Monat zu sparen, nur zu.

Cheers,
jsysde
Bitte warten ..
Mitglied: NoHopeNoFear
13.07.2011 um 09:07 Uhr
Zitat von Heurazio:
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen
eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet
für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen
IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas
nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...

wenn du an beiden Standorten ISDN für den Router bereitstellen kannst geht es auch ohne DynDNS (Wir realisieren dass allerdings idr. via DynDNS). Bei 10 mbit/s in beide Richtungen könnte der Lancom 1711+ auch noch genügen, schau dir mal das Datenblatt an.
Die LC Geräte sind natürlich mit Astaro und ähnlichen Herstellern nicht vergleichbar. Sind halt reine Gateways/Router und keine UTM Systeme.
Bitte warten ..
Mitglied: brammer
14.07.2011 um 06:20 Uhr
Hallo,

DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

Natürlich ist eine Verbindung nach aussen immer angreifbar.
Da wirst du aber nicht drum herum kommen dieses Risiko einzugehen, und entsprechende Schutzmassnahmen ergreifen müssen.
Nur, ohne eine Verbindng nach aussen wirst du keine Verbindung zwischen den beiden Standorten hinbekommen.

Wir betreiben mehrere Hundert Tunnel (weltweit!) und haben bisher keinen Einbruch gehabt, allerdings arbeiten wir nur mit IPSec Tunnel oder SSL Tunneln, bei SSL allerdings nur mit Cisco Routern.

brammer
Bitte warten ..
Mitglied: jsysde
14.07.2011 um 21:12 Uhr
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
Das gibt keinen Sinn - du bist immer "angreifbar", wenn du im Internet bist.

Cheers,
jsysde
Bitte warten ..
Mitglied: Heurazio
15.07.2011 um 01:49 Uhr
Das ich immer angreifbar bin ist mir auch bewust. Aber dank dynamischer IP-Adressen wird das Risiko zumindest minimal gehemmt. Bei statischen Adressen bleibt einem Angreifer natürlich alle Zeit der Welt den Angriff in Ruhe vorzubereiten.

NoHopeNoFear: Danke, dann schau ich mir den mal genauer an.
Bitte warten ..
Mitglied: jsysde
15.07.2011 um 19:36 Uhr
Sorry, da muss ich widersprechen. Portscanner, die man für solche Angriffe verwendet, interessieren sich nen Sch... für DNS-Adressen, die scannen einfach IP-Ranges von a bis z und wo sie einen Ansatzpunkt finden, greifen sie an oder halt auch nicht. Oder andersherum formuliert: Ob deine externe, öffentlich sichtbare IP-Adresse einen oder mehrere zugehörige DNS-Einträge aufweist, hat keinerlei Einfluss auf die Sicherheit.

Cheers,
jsysde
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...