Ich besitze zwei kleine Geschäfte. In beiden ist ein Netzwerk installiert. Auf jeden Rechner ist WinXP Pro.
In beiden Häusern wählt sich ein PC (192.168.0.1) über DSL ins Internet ein. Weitere Rechner hängen dahinter.
Um in Zukunft ein gemeinsames Kassensystem nutzen zu können müsste ich die beiden Netzwerke verbinden.
Wie stelle ich diese Verbindung am besten her?
Ich bin auf zwei Möglichkeiten gestoßen, die aber alle zwei nicht das Ware sind.
OpenVPN: Scheint mir recht umständlich. Hab auch noch keine gute Anleitung auf deutsch gefunden.
VPN über Windows: Obwohl ich keine streng vertraulichen Daten habe, möchte ich doch ein gewisses Maß an Sicherheit. Desweiteren sind ja Microsoft-Produkte teilweise nicht das Ideale.
Ich würde mich freuen, wenn mir jemand eine einfachen und sichere Lösung schreibt.
OpenVPN: Scheint mir recht umständlich. Hab auch noch keine
gute Anleitung auf deutsch gefunden.
such Dir jemanden, der Dir das für schmales Geld einrichtet, damit hast Du eine sichere und stressfreie Lösung. So mancher fähige Student würde das sicher gerne „mal eben“ machen.
Ich mach dass mit 2 DSl Router von Zyxel die IPsec können.
Da du ja nicht mobil sein musst so wie ich das sehe würde ich von einer Software Lösung abraten. Kannst du ja dann immer noch, wenn du auch mobil auf Daten Zugreifen musst.
Im Prinzip ist es nicht schwierig ein IPsec VPN Tunnel zu bauen.
Du musst aber darauf achten, dass du an beiden Standorten, nenne sie mal A und B, verschiedene IP Bereiche hast um einen IP Konflikt zu vermeiden.
z.B.
Standort A: 192.168.0.1
Standort B: 192.168.1.1
Die Konfiguration der Tunnel ist einfach.
Beachte dass Du an Standort A und B die gleiche Verschlüsslung’s Methode verwendest.
Unter obigem Link gibt’s einen test Zugang um ein VPN zu testen.
Ich empfehle dir auch Kaufe dir 2 gleiche Geräte wenn’s geht gleiche Modelle.
Das macht die Sache viel einfacher. Da gewisse Geräte nicht kompatibel sind und nur mit gutem Fachwissen eingerichtet werden können.
Viel Spass
Gruss Markus
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Im Prinzip ist es nicht schwierig ein IPsec VPN Tunnel zu bauen.
Das ist ein Witz, oder? IPsec ist ein höllisch gefrickeltes „Protokoll“ und genau gar nicht trivial. Allein die verschiedenen Modi samt Kombinationen sind schon schwer zu durchschauen, gerade für Laien.
Du musst aber darauf achten, dass du an beiden Standorten,
nenne sie mal A und B, verschiedene IP Bereiche hast um einen
IP Konflikt zu vermeiden.
Ich mach dass mit 2 DSl Router von Zyxel die IPsec können.
Jemanden, der an der OpenVPN-Dokumentation schon scheitert, mit IPsec zu kommen, halte ich für sehr gewagt. http://de.wikipedia.org/wiki/OpenVPN führt unter ‚Weblinks‘ einige deutschsprachige Tutorials und Anleitungen auf, unter http://www.openvpn-wiki.de/index.php/Hauptseite ist mehr zu finden. Und für die Realisierung nimmt man dann den Studenten.
Aber das einzig Zahlbare für einen Laien. Und dann ist es erst noch sicher.Und so kompliziert ist es auch wieder nicht wenn einer wirklich will.
Wie wäre dann deine Lösung??
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Was hält denn der Rest von Hamachi?
Ich habe den Eindruck es ist eher für Games als für Progs gedacht.
Werden mit Hamachi zwei Netzwerke verbunden oder nur zwei Rechner? D.h. kann ich von PC1.2(192.168.1.2) auf PC1.1(192.168.1.1) und dann über das Internet auf PC2.1(192.168.2.1) und dann an PC2.2(192.168.2.2) zugreifen?
Wie hoch ist die Sicherheit(Verschlüsselung) und der Schutz vor unberechtigten Zugriffen?
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Mit IPsec wird der VPN durch das DSL-Modem und nicht durch den
PC hergestellt? Oder wie soll ich das verstehen?
Ja genau so ist das. Da Du ja Kassensyteme verwendest würde ich Dir wirklich empfehlen es so zu realisieren. Denn alles andere ist nicht sicher.
Aber das einzig Zahlbare für einen Laien. Und dann ist es erst
noch sicher.Und so kompliziert ist es auch wieder nicht wenn
einer wirklich will.
Wie wäre dann deine Lösung??
Im Prinzip ist es nicht schwierig ein IPsec VPN Tunnel zu bauen.
Das ist ein Witz, oder? IPsec ist ein höllisch gefrickeltes
„Protokoll“ und genau gar nicht trivial. Allein die
verschiedenen Modi samt Kombinationen sind schon schwer zu
durchschauen, gerade für Laien.
Du musst aber darauf achten, dass du an beiden Standorten,
nenne sie mal A und B, verschiedene IP Bereiche hast um einen
IP Konflikt zu vermeiden.
Was hält denn der Rest von Hamachi?
Ich habe den Eindruck es ist eher für Games als für Progs
gedacht.
Wofür es gedacht ist, weiss ich nicht. Genutzt wird Hamachi neben Spielen wohl ganz wesentlich zum illegalen Austausch urheberrechtlich geschützter Daten.
Werden mit Hamachi zwei Netzwerke verbunden oder nur zwei
Rechner? D.h. kann ich von PC1.2(192.168.1.2) auf
PC1.1(192.168.1.1) und dann über das Internet auf
PC2.1(192.168.2.1) und dann an PC2.2(192.168.2.2) zugreifen?
Du kannst, wenn die Endknoten selbst wieder routingfähig sind, im Prinzip auch ganze Netze auf diese Weise verbinden. In dem Fall wird dem Tunnel die Route zu den privaten Adressen des Zielnetzes zugewiesen.
Wie hoch ist die Sicherheit(Verschlüsselung) und der Schutz
vor unberechtigten Zugriffen?
Dadurch, dass zur Vermittlung des Verbindungsaufbaus ein dritter Server benötigt wird, ist eine ganze Reihe von Angriffspunkten gegeben, die bei anderen VPN-Protokollen nicht existieren. Auch die Authentifikation für den Beitritt zu einem privaten Netz alleine über Name und Passwort halte ich für eine enorme Schwachstelle. Ist der Tunnel aber erst einmal aufgebaut, dürfte er (vorbehaltlich natürlich möglicher Schwachstellen in der proprietären Software) genauso sicher sein, wie z. B. ein IPsec-Tunnel auch.
Mit IPsec wird der VPN durch das DSL-Modem und nicht durch den
PC hergestellt? Oder wie soll ich das verstehen?
Ja genau so ist das. Da Du ja Kassensyteme verwendest würde
ich Dir wirklich empfehlen es so zu realisieren. Denn alles
andere ist nicht sicher.
Wärst du so nett, zu erläutern, wo du die wesentliche Sicherheitsschwäche von OpenVPN gegenüber IPsec siehst? Rein von der Architektur her sehe ich keine, von der Anwendung aber deutliche Sicherheitsvorteile bei OpenVPN, da mit der Komplexität der Einrichtung von IPsec die Wahrscheinlichkeit von Fehlkonfigurationen exponentiell steigt.
Man könnte argumentieren, dass ein Laie mit einer vorgefertigten Appliance deutlich weniger Fehler machen kann, als mit einer Software, die wirklich vertrauenswürdig nur in einem auch ansonsten gehärteten Umfeld gefahren werden kann. Aber auch Appliances können fehlkonfiguriert werden, und auch sie bedürfen regelmäßiger Pflege und Wartung.
Mit IPsec wird der VPN durch das DSL-Modem und nicht durch den
PC hergestellt? Oder wie soll ich das verstehen?
Ja genau so ist das. Da Du ja Kassensyteme verwendest würde
ich Dir wirklich empfehlen es so zu realisieren. Denn alles
andere ist nicht sicher.
Wärst du so nett, zu erläutern, wo du die wesentliche
Sicherheitsschwäche von OpenVPN gegenüber IPsec siehst? Rein
von der Architektur her sehe ich keine, von der Anwendung aber
deutliche sicherheitsvorteile bei OpenVPN, da mit der
Komplexität der Einrichtung von IPsec die Wahrscheinlichkeit
von Fehlkonfigurationen exponentiell steigt.
Ich sehe die schwäche darin dass der Sourcecode bei Open VPN frei zugänglich ist. Also kannst du dir nicht sicher sein dass es keine sicherheitsrelevanten Lücken gibt. Zumindest wäre ich da äusserst vorsichtig.
Sollte die Konfiguration fehlerhaft sein bei IPsec wirst Du nie ein Tunnel aufbauen können. Ergo hast du auch kein sicherheits Problem.
Man könnte argumentieren, dass ein Laie mit einer
vorgefertigten Appliance deutlich weniger Fehler machen kann,
als mit einer Software, die wirklich vertrauenswürdig nur in
einem auch ansonsten gehärteten Umfeld gefahren werden kann.
Aber auch Appliances können fehlkonfiguriert werden, und auch
sie bedürfen regelmäßiger Pflege und Wartung.
Das könnte man bedenke aber da er es Geschäftlich braucht und erst noch für ein Kassensystem sollte er es mit IPsec mach. Und wenn er es nicht hinkriegt braucht er einen Fachmann. Zumindest weiss er jetzt was er braucht so hoffe ich.
Ich sehe die schwäche darin dass der Sourcecode bei Open VPN
frei zugänglich ist. Also kannst du dir nicht sicher sein dass
es keine sicherheitsrelevanten Lücken gibt. Zumindest wäre ich
da äusserst vorsichtig.
Diese Argumentation ist mir völlig unverständlich. Ich würde eher so ansetzen: Bei jeder Closed Source muss ich davon ausgehen, dass es sicherheitsrelevante Lücken gibt. Bisher hat es noch bei jedem Hersteller Fehler in der Umsetzung der IPsec-Implementation gegeben, und es gab bislang noch keinen Hersteller, der sich hingestellt und behauptet hätte, dass die eben gepatchte Lücke die nachweislich letzte seines Systems gewesen wäre.
Dies ist prinzipiell bei Open Source nicht anders, rechtfertigt aber deine Aussage in keiner Weise. Du könntest so argumentieren, dass ein Böswilliger die offenen Quellen gezielt nach Sicherheitslücken flöhen könnte, was ihm bei Closed Source zunächst nicht so einfach gemacht wird. Aber naja, nicht nur Böswillige können das. Vielmehr wird Open Source, insbesondere bei grossen Projekten wie OpenVPN, von vielen vielen Gutwilligen sehr intensiv auf Schwachstellen gescannt und diese dann ausgebessert. Ein derartiges Audit wirst du bei Closed Source nie finden. Und gegen massive Penetrationsversuche schützt der dickste Panzerschrank um den Quellcode nicht das geringste.
Ich habe den Eindruck es ist eher für Games als für Progs
gedacht.
Hmm, ich nutz es hier hauptsaechlich um von Unterwegs auf Dateien zuhause zuzugreifen. Und fuers drucken per Internet sowie fuer den MySQL Server fuer CAO.
Werden mit Hamachi zwei Netzwerke verbunden oder nur zwei
Rechner? D.h. kann ich von PC1.2(192.168.1.2) auf
PC1.1(192.168.1.1) und dann über das Internet auf
PC2.1(192.168.2.1) und dann an PC2.2(192.168.2.2) zugreifen?
Es werden erstmal zwei Rechner verbunden. Wuerde ich auf einen zweiten Rechner hie zugreifen wollen muesste ich es dort auch einrichten. Natuerlich kann man auch von einem Rechner zum anderen routen.
Wie hoch ist die Sicherheit(Verschlüsselung) und der Schutz
vor unberechtigten Zugriffen?
Naja, die Sicherheit wird wohl geringer sein als bei IPSec oder Cisco VPN. Aber dafuer funktioniert es recht einfach.
Ich hatte vorher MS VPN. Dafuer musste ich dann aber immer eine Umleitung bei Diensten wie dyndns.org nutzen, da ich keine statische IP habe. Dann ging diese Aktualisierungsprogramm nicht ueber den Router etc…
Ich habe jetzt einen Rechner in der DMZ mit Hamachi und es funktioniert. Auf dem Rechner lasse ich nicht unbedingt eine TAN-Liste liegen, aber bis jetzt ist AFAIK noch nichts weggekommen.
Muss halt jeder fuer sich entscheiden was er will.
Der VPN, der bei Windows XP Pro enthalten ist, wird
wahrscheinlich nichts sein, oder?
Das kann man auch nutzen, doch dann sollten die zwei WinXP
Rechner direkt ins Internet sich einwählen. Dann aufpassen
das wie schon beschrieben es zwei unterschiedliche Netze
sind (192.168.x.x) einmal x.x.1.1-254 und einmal x.x.0.1-254.