VPN Brücke

S

stephsto

Erfahrenes Mitglied
Hallo zusammen.

Leider habe ich nicht sehr viel Zeit mich besser im Internet zu informieren. Ich brauche genauere Informationen zu einer "VPN Brücke". Ich administriere zwei Netzwerke. Ein Netzwerk ist mit einer Fritz-Box Fon sowie einem Zyxel-Router (nur noch als Switch verwendet) und einem Linux-Server plus den ganzen Client Rechnern ausgestattet. Das andere Netz besteht aus einem D-Link Router und einem Windows 2003 Server. Ich möchte nun beide Netzwerke per VPN miteinander dauerhaft verbinden. Beide Internetanschlüsse sind DSL, es sollte also machbar sein. Die konkrete Frage ist jetzt einfach wie ich das praktisch angehe. Meiner Meinung nach brauche ich doch zwei VPN Server, die zu jedem anderen eine Verbindung herstellen sowie Routingregeln, die sich um das weiterleiten ans jeweils andere Netz kümmern. Doch wie geht das PRAKTISCH. Ich hoffe auf schnelle Hilfe!.
 
Wow, du administrierst 2 Netzwerke aber hast weder Ahnung noch Lust/Zeit etwas über die zu administreierenden Systeme zu lernen, eigentlich sollte man dir dafür den Hintern versohlen.

Whatever, du brauchst 2 VPN Gateways und am besten mindestens eine feste IP Adresse. Das Routing übernehmen die VPN Gateways. Eventuell kann einer der Router als VPN gateway fungieren, ansonsten brauchst du einen anderen Router oder lässt die Server das Ganze übernehmen. Unter Linux z.B gibt es eine Reihe von VPN Implementierungen, darunter auch IPSec. Viel Spaß.
 
Hallo noch einmal.

Leider hatte ich seit längerem keine Zeit mich weiter mit dem Problem zu beschäftigen.
Zu obiger Antwort:

Zunächst möchte ich einmal klarstellen das "nicht viel Zeit haben" im heutigen Geschäftsleben wohl kaum mit keiner Lust/Zeit gleichzusetzen ist. Zweitens solltest du vielleicht bevor du sarkastisch wirst fragen, was in diesen zwei Netzwerken alles verwirklicht ist. Einen echten Samba Domänen Controller einzurichten, nicht zu verwechseln mit einer 08/15 Konfiguration als einfachen Freigabeserver; DNS sowie DHCP Server per BIND; verschiedene Webapplikationen zur Warenwirtschaft einer Firma, ...
de fakto kenne ich, bzw. habe ich von meinen Systemen ziemlich Ahnung, nur eben nicht im Bereich VPN!

Außerdem fragte ich nicht nach der Grundlegenden Funktion eines VPN Gateways, sondern nach einer praktischen Anwendung! Lese vor dem Antworten bitte die Frage!

Vielen Dank und auf Wiedersehen!
 
Ich glaub was Sinac damit sagen will, ist dass auch die praktische Anwendung von VPN keine Anleitung mit 1. 2. 3. ... ist, sondern ein gehöriges Wissen an Protokollen (IPSEC, L2TP, PPTP) und Programmen/Hardware (OpenVPN, Racoon, VPN-Router, etc.) bedarf.
Je nach Geldlage würde ich allerdings folgenden Grundrahmen vorschlagen:

Kauf von 2 VPN-Routern (Kostenpunkt: ca. 80,- Euro)
Kauf von 2 x DSL feste IP (Kosten schwankend für gewerbliche Nutzung)

Die VPN-Router richtest du mit dem jeweiligen Gegenstück ein, Zertifikate/PreSharedKeys einstellen, IPSec Einstellungen. Dann verbinden sich die beiden VPN-Router miteinander und die Netze sind verbunden. Achso, das routen der einzelnen Netze musst du natürlich dann auch einstellen.

Wie gesagt, ziemlich kompiliziertes Thema!
 
Ich habe die Frage schon richtig verstanden und es kann meinetwegen auch sein das du in allen anderen Bereich der Top Fachmann bist. Aber was bringt dir dein perfekt aufgesetztes System mit was auch immer für Diensten drauf wenn du dein Netzwerk oder das VPN nicht richtig absichern kannst und ein SkriptKiddie dir das Ganze wieder zerschießt? Wir Zeroize schon sagte, eine 3.2.1.deins Anleitung wird es wohl nicht generell geben, da das ein sehr komplexes Thema ist und es jede Menge unterschiedliche Möglichkeite gibt das zu implementieren. Und daher sollte man auch wissen was man tut.
Praktische Anwendungen wie du sie gerne hättest liefert Google sie bis zum Erbrechen:
http://www.64-bit.de/dokumentationen/netzwerk/a/012/DE-VPN-HOWTO.html
http://www.administrator.de/HowTo_-_VPN-Verbindung_mit_Netgear_DG834B_ADSL-Firewall-Router.html
http://www.securityfocus.com/infocus/1859

Da findest du bestimmt was praktikabeles...
Aber wie gesagt, ich würde nicht gut schlafen können wenn ich einfach so ein Tutorial zu einem sicherheitsrelevanten Thema abarbeiten würde und nicht die geringste Ahnung habe was ich da mache. Aber bei speziellen Fragen können wir dir bestimmt auch wieder besser und konstruktiver helfen ;)
 
Danke mal,

ich bin ein ganzes Stück weiter, hänge aber fest.

Wie ich ja beschrieben habe, sind in beiden Netzen zwei Server vorhanden (1xSuSE Linux 10 und 1x Windows 2003 Server). Ich habe nun OpenVPN installiert und eingerichtet. Abgesichert habe ich die Kommunikation mit der RSA Variante.
Da der Server nun ins jeweils andere Netz routen soll habe ich in den DSL-Routern der beiden Netze die Routen so gesetzt:

In Netz 192.168.1.x 192.168.100.0 255.255.255.0 192.168.1.10 (Linux Server in diesem Netz)
In Netz 192.168.100.x 192.168.1.0 255.255.255.0 192.168.100.200 (Windows Server in diesem Netz)
Auf den Servern wird dann durch die Konfiguration von OpenVPN über das Netz 10.0.0.x ins jeweils andere Netz geroutet wobei 192.168.1.10 = 10.0.0.2 und 192.168.100.200 = 10.0.0.1 (PKI Server) ist. Auf dem Windows Rechner habe ich in der Verwaltung Routing eingestellt.(Da kann man ja kaum was falsch machen). Auf dem Linux Rechner habe ich in YAST IP Weiterleitung aktiviert und in ein Startskript "1" > /proc/sys/net/ipv4/ip_forward eingetragen. Soweit sogut.
Ich kann jetzt von Netz 192.168.1.x von jedem Rechner jeden Rechner in Netz 192.168.100.x anpingen. Die Andere Richtung funktioniert jedoch nicht. Ping an 10.0.0.2 geht. Ping an 192.168.1.10 geht aber hintendran geht nichts mehr. Ich denke es liegt an der Konfiguration des Linux Servers. Wahrscheinlich fehlt mir eine Einstellung das er von tap0 ankommende Pakete an eth0 weiterleitet oder so. Vielleicht habe ihr eine Idee.

Danke.
 
Hallo nochmal,

Problem gelöst!

Wichtig ist, dass man nicht nur die IPs der einzelnen Netzwerke, bei mir 192.168.1.0 und 192.168.100.0, richtig routet sondern auch die IPs der Gateways im VPN Netzwerk in meinem Fall also 10.0.0.0. Dieses Netzwerk muss man durch die beiden VPN Rechner routen und dann funktionierts!
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück