VPN wie und was zu tun

Computer: Hardware Netzwerk
#1

Hallo!!

Bin mit VPN völlig unerfahren und bräuchte von euch ein paar Tips
und Anregungen wie ich da am besten rangehe.

Die Situation:

2 Server W2K (einer als Exchange)
Standleitung zum Internet

Einige Mitarbeiter möchten von Zuhause über ISDN auf die Daten im Netz zugreifen können.

Wie würdet Ihr vorgehen?

Brauch ich eine öffentliche IP?
Als RAS oder als VPN Server??

Hab mir das Produkt von Symantec „Firewall/VPN Appliance“ angesehen, macht mir einen netten Eindruck und ist ab ca 500.- € noch bezahlbar.
Bin mir aber unsicher weil ich da nix finde über den Zugang über eine Standleitung.

Was empfehlt Ihr, bzw. habt ihr vielleicht nen guten Link?

Danke!

micha

#2

Hallo micha,

sinnvoll finde ich persönlich ein VPN auf Hardwarebasis. Das kann aber auch bedeuten, das Du auf der einen Seite eine Hardware VPN - Unit und auf der anderen einen Soft-Client einsetzt.

Fest steht jedoch: Bei 90 % aller Lösungen brauchst Du auf der Hardware Firewall Seite eine feste IP Adresse!!!

Vergleichbar mit dem Telefon: Du mußt ja auch wissen unter welcher Nummer Du Deine Frau / Freundin erreichst :wink:

Von Elsa, die leider pleite sind, gab es auch eine Lösung ohne feste IP Adresse. Das kann man(n) aber nun vergessen.

Neuerdings möchten einige Anbieter über Dienste wie z.B. DynDNS gehen. Das wird aber aus dem Sicherheitsaspekt noch ein wenig übergangen.

Produktempfehlungen kann ich Dir so keine geben. Ich persönliche Betreue auf der Arbeit (noch) SonicWALL Firewall / VPN Lösungen.

Das soll jetzt aber keine Produktwerbung sein :wink:

Bei Fragen kannst Du mir ja schreiben.

Grüße Jan

#3

VPN und RAS

Die Situation:

2 Server W2K (einer als Exchange)
Standleitung zum Internet

Einige Mitarbeiter möchten von Zuhause über ISDN auf die Daten
im Netz zugreifen können.

Wie würdet Ihr vorgehen?

Wenn es ausschließlich ein Zugriff über ISDN sein soll, würde ich das per RAS machen, VPN also vergessen. RAS bietet eine ganz gute Authentifizierung mit User:stuck_out_tongue:ass (optional noch mehr!) und Rückruf nur zu festgelegten Nummern. Der direkte Zugang (im Gegensatz zum Zugriff via Internet) bietet ein erhöhtes Maß an Abhörsicherheit und Zuverlässigkeit. Nachteil sind evtl. leicht erhöhte laufende Kosten (Telefongebühren).
Die Standleitung und evtl. IP-Adressen sind bei dieser Lösung völlig irrelevant, weil sie nicht benutzt werden. Hier ist nur ein geeigneter Telefonanschluß nötig.

Soll der Zugriff jedoch auch via Internet erfolgen (DSL bspw.), dann ist RAS nicht geeignet und eine VPN Lösung bietet sich an.
„Einige Mitarbeiter“ hört sich nach eher wenigen an, so daß großzügige und leistungsfähige Hardware-Lösungen aus Kostengründen wohl ausfallen. Es bleiben drei Möglichkeiten:

  1. Eine kleine Hardware-Lösung.
    Das kann z.B. eine Cisco PIX 501 sein, eine kleine Firewall, die in der Lage ist, VPN Tunnel zu terminieren. Clientseitig wird sinnvollerweise entweder auch eine PIX 501 oder eine Software eingesetzt.

  2. Eine OpenSource Lösung.
    Einen Computer mit einem harten Betriebssystem (bspw. OpenBSD) aufsetzen und mit FreeS/WAN arbeiten. Damit kenn ich mich nicht aus. Scheint durchaus sehr gut zu sein, erfordert aber hohes Know How in Betriebssystem und Software.

  3. Eine kommerzielle Software.
    Micro$oft bietet sowas z.B. auch an. *schauder*
    Damit kenn ich mich nicht aus. Halte ich generell jedoch für weniger empfehlenswert, aus Performance- und Sicherheitsgründen.

Brauch ich eine öffentliche IP?

Im Falle von VPN - ja sicher. Aber bei einer Standleitung hast Du eh eine feste und öffentliche IP-Adresse.

Als RAS oder als VPN Server??

s.o.

Was empfehlt Ihr, bzw. habt ihr vielleicht nen guten Link?

Wenn es VPN sein soll, 1. oder 2., je nach Geld, KnowHow und verfügbarer Zeit.

Danke!

micha

Bitte!

Gruß,

Doc.