Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Sicherheit und Konfigurations-Frage

Frage Netzwerke

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

09.08.2009, aktualisiert 23:43 Uhr, 3366 Aufrufe, 10 Kommentare

Guten Abend,

mich würde interessieren, wie die beste/sicherste Konfiguration für einen VPN-Server ist!?

Da ich mit dem VPN Server eine Verb. in mein LAN herstellen möchte, muss dieser ja in meinem LAN liegen, richtig!?

Als Software möchte ich OpenVPN einsetzten, bin natürlcih auch für Alternativen offen...

Wäre es sinnig, auf einem vorhanden Server im LAN openVPN zu einzurichten? Also z.B. auf dem DHCP od. DNS Server?

Oder sollte ich besser den VPN Server auf einem zusätzlichen Virtuellen Server auf z.B. dem DHCP/DNS Server installieren?

Wie würdet ihr diese VPN Geschichte angehen?

Vielen Dank für eure Aufmerksamkeit.

gute Nacht.
Mitglied: Computerknecht
10.08.2009 um 15:44 Uhr
schau dir doch mal Vipnet an. www.infotecs.de. Das ganze ist nur Software und funktioniert sowohl im LAN als auch im WAN. Das Servermodul kannst du z.B. auf dem DHCP/DNS-Server installieren und auf die anderen Rechner installierst du Clients. Funktioniert egal, ob sich diese Clients dann in deinem LAN oder außerhalb befinden. Mehr als eine feste IP (dyndns geht auch) und eine einzige Portweiterleitung auf den Server brauchst du nicht.
Bitte warten ..
Mitglied: aqui
10.08.2009 um 15:58 Uhr
Letztlich also genau das gleiche wie OpenVPN und da solltest du dann auch beim bewährten bleiben.
Wo du den OpenVPN Server installierst ist schwer über ein Forum zu beantworten, denn dann müsste man dein Netz und dein Bauchgefühl besser kennen.
Fakt ist das alle zusätzlichen Funktionen gegeneinander in Abhängigkeit geraten.
Fällt also mal der DNS Server aus funktioniert gleich dein VPN Zugang nicht mehr und umgekehrt.
Es ist also letztlich immer besser das zu trennen.
OpenVPN ist heute in freien Firewall Lösungen drin wie IPCop oder PFsense so das du besser Firewall und OpenVPN Server vereinst. Das ist immer die bessere Konstellation, denn so ist deine VPN Lösung mehr oder weniger unabhängig.
Denkbar sind natürlich auch Router wie z.B. die Router von Draytek die fast alle gängigen VPN Protokolle gleich im Router supporten.
So kannst du 2 Fliegen mit einer Klappe schlagen. IPCop mit OpenVPN macht genau das gleiche nur eben zum Nulltarif oder den Preis eines alten PCs
Bitte warten ..
Mitglied: tom1234
10.08.2009 um 16:32 Uhr
Hi,

vielen Dank für eure Antworten. Ich werde mal eine Netztopologie erstellen und euch diese zeigen, dann könnt ihr mir bestimmt noch besser Hilfstellung geben.

Mir stehen mom. 2 Physikalische Server zur Verfügung. Einer steht im DMZ, dort läuft Apache und gut ist.
Der 2 steht im LAN und läuft als AD, Druck, File, DHCP und DNS-Server.

Jetzt wollte ich halt eine VPN Lösung für unser LAN schaffen.

Zusätzliche Hardware möchte ich vermeiden. Das DMZ liegt hinter einem Router und das LAN dann wieder hinter einem weiteren Router, der LAN vom DNZ trennt, was doch dann die IPCop Geschichte überflüssig macht, oder?

Ich dachte mir, installierst auf dem LAN Server ein Virtuellen Server mit OpenVPN, dann leite ich den VPN Anfragen durchs DMZ, an den LAN Router, weiter dann auf den virtuellen OpenVPN-Server. Dieser soll sich dann die IPs vom DHCP/LAN-Server holen.

Geht das so, macht das Sinn und ist dieses sicher?

Oder soll ich einfach das openVPN direkt auf dem LAN-Server installieren? Aber dann müsste ich im Router einen Portforward auf den LAN-Server machen!?

Danke, hoffe ihr versteht worauf ich raus möchte.
Bitte warten ..
Mitglied: aqui
10.08.2009 um 17:05 Uhr
Ja, das klappt so problemlos. Den OpenVPN Server in einer VM zu installieren ist mehr oder weniger überflüssig und schafft dir nur sinnlosen Overhead.
Denn kannst du direkt auf dem LAN Server installieren und machst ein Port Forwarding auf dem ersten Router.
Also genau das was du beschreibst. Bei deinem Banalszenario ist das die einfachste und effektivste Lösung wenn du auf einen Ersatz des ersten Routers mit einer freien FW Lösung wie z.B. IPCop oder M0n0wall verzichten willst, die von Sich aus einen VPN Server mitbringen !
Bitte warten ..
Mitglied: tom1234
10.08.2009 um 17:11 Uhr
Hi,

danke für die Info. Ich wollte die VM nur noch zwischen haben, dass gab mir ein größeres "Sicherheitsgefühl" als direkt den Forward auf den LAN SRV.

Was meinst du mit Banalszenario? Hast du noch Tips für mich? Sollte ich was ändern?

Danke,
Bitte warten ..
Mitglied: aqui
10.08.2009 um 17:22 Uhr
Mit banal war eben klein und einfach gemeint und da sind ja solche Designs durchaus üblich.
Die Router/FW Lösung wäre technisch etwas besser und geringfügig sicherer.

Eine VM bringt gar nichts außer sinnlosem Overhead, denn damit das die Netzadapter im Bridged Modus arbeiten hast du dann 2 Betriebssysteme in der DMZ die du immer genau warten musst und bei dem du Löcher stopfen musst.
Das bringt also nichts und ein Server mit OpenVPN ist da ausreichend.
Wenn dann müsstest du es so machen wie im ct Serverprojekt mit einer totalen Virtualisierung von FW und Server. Ist aber vermutlich für dich zu großer Aufwand für ein paar VPN Verbindungen...
Bitte warten ..
Mitglied: tom1234
10.08.2009 um 17:39 Uhr
Hi,

ach warte mal, glaube ich habs noch nicht ganz. Soll ich das Open VPN im DMZ auf dem Web-SRV installieren?

Aber dann muss ich ja direkten Zugriff aus dem DMZ aufs LAN gewähren, zwar nur für einen Port, damit dann Anfragen an den DHCP im LAN gesendert werden können.

Ich dachte ich muss das oVPN auf dem LAN-SRV installieren, wo auch DHCP und weiteres läuft?!

Es tut mir Leid, dass ich da noch schwer verständlich neues aufnehme, aber so leicht gehts mir noch net runter.#

Hab mich auch an dem banal nicht gestoßen, ich lerne nur gerne was dazu, bin für jeden Tip dankbar.

Vielen Dank für deine Geduld.
Bitte warten ..
Mitglied: aqui
10.08.2009 um 17:55 Uhr
Beides ist ja mehr oder weniger unsicher.

Bei der DMZ Lösung musst du Ports bzw. IPs öffnen die den Zugriff aufs LAN gewährleisten. Da du aber eine NAT Firewall vermutlich in Router 1 betreibst ist das nicht ganz so tragisch, da keine anderen Ports ausser dem VPN Traffic in die DMZ gelangen.

Bei der LAN Server Lösung musst du ebenfalls die FW aufbohren und ein Loch schaffen für den VPN Traffic und das dann direkt in dein LAN.

Du kannst es drehen und wenden wie du willst und dir die für dich schönste Variante aussuchen !
Bitte warten ..
Mitglied: tom1234
10.08.2009 um 18:10 Uhr
Da hascht du natürlich recht.

Ich schaue mal noch ein wenig übers Netz und dann poste ich, wie ich es nun gemacht habe.

Vorerst vielen Dank für die Infos.
Bitte warten ..
Mitglied: aqui
11.08.2009 um 18:32 Uhr
Dann warten wir mal gespannt auf die Lösung.

Ggf. bitte sonst
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst Fragen zur Sicherheit von VPN und öffentlichen Hotspots in Europa (7)

Frage von Zykl0n zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...