Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN und IP-Adressen

Frage Netzwerke Router & Routing

Mitglied: Jade63

Jade63 (Level 1) - Jetzt verbinden

08.04.2008, aktualisiert 09.04.2008, 4214 Aufrufe, 4 Kommentare

Ist die Vergabe bestimmter IPs für die Sicherheit und die Geschwindigkeit des VPN wirklich erforderlich?

Hallo ihr,

neulich standen so ziemlich plötzlich zwei nette Herren im Büro und meinten, sie müssten jetzt unseren Router austauschen, es wäre eine VPN-Verbindung zu einem anderen Standort erforderlich.

Und der Router müsste eine neue IP bekommen, was kein Problem wär bei DHCP.
Ok, die Mehrzahl unserer Rechner läuft über DHCP, nur die Netzwerk-Drucker haben alle feste IPs.
Was ja hieße, wir müssten doch an jeden PC ran und die Druckerports ändern. Bei so 150 Rechnern ein abendfüllendes Programm, vor dem wir uns gerne drücken wollten.

Wir fragten nach, ob das nun wirklich so sein müsse. Könnte man denn nicht nicht einfach die IP am Router ändern und die dann auf dem VPN-Server eintragen? Auf keinen Fall meinte man, das wäre sehr wichtig, weil mit den von uns vergebenen IPs die Sicherheit der VPN-Verbindung nicht gewährleistet wäre.

Wir hatten da so unsere Zweifel...
Also ließen wir das Netzwerk-Chaos erst mal hinter uns und gingen nach Hause.
Nur, um uns von dort - also absolut von außerhalb - auf dem VPN-Server einzuloggen.
Mit Kenntnis der Zugangsdaten war das gar kein Problem, aber ich vermute mal, auch ein Hacker-Lehrling hätte das mit Brut Force geschafft.

Zum Beweis hinterließen wir auf dem Server eine kleine Textdatei, genau dort, wo ja die absolute Sicherheit dank der vorgegebene IPs vorhanden sein müsste.

So war also unser Abend gerettet, wir durften die IPs ändern, doch es gab ein neues Problem.
Man beklagte sich über die langsame Verbindung.
Der VPN-Server hat nur eine normale 3000er DSL-Leitung, mehr will die Telekom in der Gegend nicht vergeben.
Die Netzwerk-Profis wurden noch mal gefragt. Nein, es läge gar nicht mal an der Leitung, die langsame Verbindung käme zustande, weil wir die IPs geändert hätten.
Die müssten nämlich fortlaufend sein.
Naja, ich hab da nun auch so meine Zweifel, ob das stimmt....

Ich sollte vielleicht dazu sagen, dass am Server nur ein kleines LAN hängt und die beiden VPN-Clients noch so 100 Rechner routen. Von den beiden LANs nimmt jeweils ein Rechner am VPN teil. DSL-Geschwindigkeit ist bei den Clients 6 MBit. Betriebssystem ist Windows 2000 bzw. XP am Server.

Sorry, bei VPN hab ich in der Schule gepennt, bitte helft mir auf die Sprünge!
Haben die Profi-Netzwerker Recht?

Wir haben schon eine Lösung parat, aber nun müssen wir die Verantwortlichen mit Argumenten überzeugen, damit sie uns Hobby-Admins auch glauben.

Vielen Dank schon mal
Mitglied: brammer
08.04.2008 um 19:22 Uhr
Hallo ihr,

neulich standen so ziemlich plötzlich
zwei nette Herren im Büro und meinten,
sie müssten jetzt unseren Router
austauschen, es wäre eine VPN-Verbindung
zu einem anderen Standort erforderlich.

Schwarze Anzüge, Sonnenbrille? Von welcher "Behörde" waren die den?


Und der Router müsste eine neue IP
bekommen, was kein Problem wär bei
DHCP.


?? Entweder habe ich bei VPN auch geschlafen oder ich verstehe die Gründe für die Neu Adressierung auch nicht.

Ok, die Mehrzahl unserer Rechner läuft
über DHCP, nur die Netzwerk-Drucker
haben alle feste IPs.
Was ja hieße, wir müssten doch an
jeden PC ran und die Druckerports
ändern. Bei so 150 Rechnern ein
abendfüllendes Programm, vor dem wir uns
gerne drücken wollten.

grins, kenne ich ...


Wir fragten nach, ob das nun wirklich so
sein müsse. Könnte man denn nicht
nicht einfach die IP am Router ändern
und die dann auf dem VPN-Server eintragen?
Auf keinen Fall meinte man, das wäre
sehr wichtig, weil mit den von uns vergebenen
IPs die Sicherheit der VPN-Verbindung nicht
gewährleistet wäre.

HHÄÄÄÄ?

Wir hatten da so unsere Zweifel...
Also ließen wir das Netzwerk-Chaos
erst mal hinter uns und gingen nach Hause.

richtige Massnahme...


Nur, um uns von dort - also absolut von
außerhalb - auf dem VPN-Server
einzuloggen.
Mit Kenntnis der Zugangsdaten war das gar
kein Problem, aber ich vermute mal, auch ein
Hacker-Lehrling hätte das mit Brut Force
geschafft.
Das glaube ich allerdings nicht..
Zum Beweis hinterließen wir auf dem
Server eine kleine Textdatei, genau dort, wo
ja die absolute Sicherheit dank der
vorgegebene IPs vorhanden sein müsste.

So war also unser Abend gerettet, wir
durften die IPs ändern, doch es gab ein
neues Problem.
Man beklagte sich über die langsame
Verbindung.
Der VPN-Server hat nur eine normale 3000er
DSL-Leitung, mehr will die Telekom in der
Gegend nicht vergeben.
Die Netzwerk-Profis wurden noch mal gefragt.
Nein, es läge gar nicht mal an der
Leitung, die langsame Verbindung käme
zustande, weil wir die IPs geändert
hätten.

HHÄÄÄÄ?

Die müssten nämlich fortlaufend
sein.

HHÄÄÄÄÄ?

Naja, ich hab da nun auch so meine Zweifel,
ob das stimmt....

Sehr angebrachte Zweifel...

Ich sollte vielleicht dazu sagen, dass am
Server nur ein kleines LAN hängt und die
beiden VPN-Clients noch so 100 Rechner
routen. Von den beiden LANs nimmt jeweils ein
Rechner am VPN teil. DSL-Geschwindigkeit ist
bei den Clients 6 MBit. Betriebssystem ist
Windows 2000 bzw. XP am Server.

Sorry, bei VPN hab ich in der Schule
gepennt, bitte helft mir auf die
Sprünge!
Haben die Profi-Netzwerker Recht?

Vielleicht sollten die "Profis" Ihre Massnahmen mal begründen

Wir haben schon eine Lösung parat, aber
nun müssen wir die Verantwortlichen mit
Argumenten überzeugen, damit sie uns
Hobby-Admins auch glauben.

Was schlagt ihr den als Lösung vor?

Vielen Dank schon mal

brammer
Bitte warten ..
Mitglied: Dani
08.04.2008 um 20:19 Uhr
Hi Jade,
interessante Geschichte....könnte man fast schon eine Kopie im Bereich "Humor" ablegen. Ich dreh mich grad vor lachen (Sry, nicht Böse gemeint). Die Geschichte kann ich noch 10x lesen - einfach genial.

Die 2 Herren haben ziemlich jeden Grundkurs in VPN, IP-Adressenschema, Sicherheit verschlafen. Denen würde ich erstmal die Grundlehrgänge der IT verpassen. Solchen Schrott habe ich schon lange nicht mehr gehört!
Warum musste der Router überhaupt getauscht werden und wer hat das veranlasst. Die Verantwortlichen über euch bzw. ihr solltet da schon ein paar Tage (z.B 2 Wochen) vorher informieren. Schlißlich müsst ihr auch eure Vorkehrungen treffen.

Der Router kann normal die alte IP-Adresse übernehmen. Warum das nicht passieren darfst, frägst einfach mal die Herren und lässt dir was schriftlich geben. Somit kannst Ihnen vllt. an's Bein pn.
Ich kann mir vorstellen, dass die Jungs einfach zu faul sind, die Router-Config anzupassen und daher die Arbeit auf euch abwälzen.

Mit Kenntnis der Zugangsdaten war das gar kein Problem, aber ich vermute mal, auch ein
Hacker-Lehrling hätte das mit Brut Force geschafft.
Je nach Protokoll und Auth. wird es verdammt schwer bzw. fast unmöglich. Also ich bevorzuge VPN-L2TP. Zusätzlich muss jeder Rechner (egal pb WLAN oder LAN) am Radius authentifizieren (Tipp am Rande).

Was ja hieße, wir müssten doch an jeden PC ran und die Druckerports ändern. Bei so 150
Rechnern ein abendfüllendes Programm, vor dem wir uns gerne drücken wollten.
Bindet die Netzwerkdrucker auf einem Server lokal am Standort ein und dort dann freigeben. Somit können die Clients vom Server die Drucker mappen und du hast bei Änderungen der IP-ADressen weniger Zeitverlust du einfacher, denn du musst eigentlich nur dir Drucker und den Server anfassen. Ansonsten vllt. auch über Script an den Clients bei der Anmeldung die Drucker verbinden....

Der VPN-Server hat nur eine normale 3000er DSL-Leitung, mehr will die Telekom in der
Gegend nicht vergeben.
Meinst du jetzt euren Standort oder den Anderen (in der Ferne )?! Benutzt ihr den nur für VPN oder auch für Internetausstieg?! Je nachdem ob ihr große Dateien auf dem Remotestandort öffent, der eine oder etwas aus dem Internet zieht, wird die Leitung knapp. Ich weiß nicht wie das vorher gelöst war. Vllt. 2 Anschlüsse nehmen (1x VPN, 1x Internet).

Die Netzwerk-Profis wurden noch mal gefragt. Nein, es läge gar nicht mal an der Leitung, die
langsame Verbindung käme zustande, weil wir die IPs geändert hätten.
Aha...die Begründung würde mich interessieren?! Klar, wenn du DNS-Server (Linux / Windows) hast und dort entsprechende Einträge solltest du diese anpassen. Ansonsten wieder mal Stuss.

Ich sollte vielleicht dazu sagen, dass am Server nur ein kleines LAN hängt und die beiden
VPN-Clients noch so 100 Rechner routen. Von den beiden LANs nimmt jeweils ein Rechner am
VPN teil. DSL-Geschwindigkeit ist bei den Clients 6 MBit. Betriebssystem ist Windows 2000
bzw. XP am Server.
Vllt. mal ein 2 Netzwerkbilder zeichen - davor und nach dem Routertausch + Standort. Und wer baut jetzt die VPN-Verbindung auf? Router oder Server oder Client.

Haben die Profi-Netzwerker Recht?
Nicht wirklich bzw. nur 10%...wenn überhaupt.


Grüße
Dani

P.S. Jetzt gehts doch noch aufwärts heute - Dank dir!
Bitte warten ..
Mitglied: Jade63
09.04.2008 um 23:29 Uhr
Hallo,

ja, das HÄÄÄÄÄ... hab ich da auch ein paar Mal gedacht.

Die Leute sind so ein kleine Mini-Firma, die jemand kennt, der einen kennt...

Das Einloggen auf dem Server war wirklich keine große Sache (ich war dabei aber lieber nur Zuschauer). IPs und Zugangsdaten waren ja bekannt, unter Nutzung von dyndns geht eine VPN prima.

Unsere Lösung kostet etwas und geht in etwa so:
An eine 16000 DSL-Leitung (die gibts schon an einem der Client-Standorte) wird der Router gehängt und dahinter läuft ein schneller Server (da wirds teuer) als VPN-Server.

Oder gibts da noch bessere Lösungen?
Bitte warten ..
Mitglied: Jade63
09.04.2008 um 23:49 Uhr
Hallo,

na wenn mir die beiden noch mal über den Weg laufen, dann frag ich die!

Aber mit der Annahme "zu faul" dürfest du Recht haben!

Die Idee mit dem Server ist ja prima, hab da auch schon so in die Richtung gedacht, war nur noch nicht so richtig fertig damit.

Die 3000er Leitung ist woanders, das ist der VPN-Server, über den wird dann nur noch aus dem LAN vor Ort zugegriffen. Internet dürfte direkt über den Router gehen.
Ja, und das Problem ist erst mal eine sehr große Datei.
Die ist neu, gehört zu einer neuen Softwarelösung.
Der Server stellt die Daten bereit, der Client baut dann die Verbindung auf.

Über den Routertausch war ich gar nicht mal böse, der alte war eh nicht mehr ganz auf dem Stand.
So wie du es schreibst, so hab ich über die Aktion auch gemeckert.
Ist halt nix, wenn da mehrere Leute an einem Netz rumwerkeln.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Ubuntu
gelöst Amavis Whitelist IP-Adressen

Frage von runasservice zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...