Fernzugriff E-Mail und Dateisystem
Hallo Liste, ich möchte gerne den Zugriff von außen auf unseren opensuse 10.2 server erlauben, damit wir von zuhause von Windows PCs auf unsere Büro-Emails (Cyrus-IMAP) lesen und auf Dateien (Samba) zugreifen können. Wie ich in der C't las, gibt es im Moment keine freie VPN, die Windows als Client ermöglicht. Deshalb dachte ich an folgendes: - IMAP via SSL (TLS) und Authentifizierung via SASL (ist in Cyrus Imap eingebaut) Wir benutzen THunderbird als Client, der das lesen kann - Dateizugriff via WEB Browser und WEBDAV via SHTML und Authentifizierung. Im DSL-Router wollte ich nur die Ports für SHTML und (S)IMAP weiter leiten. Ist das ein gangbarer Weg ? Gibt es eine andere Lösung (echtes VPN) ? Vielen dank für alle Anregungen, Harald -- "Feel free" - 10 GB Mailbox, 100 FreeSMS/Monat ... Jetzt GMX TopMail testen: www.gmx.net/de/go/mailfooter/topmail-out -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo
warum nimmst du nicht OpenVPN. Ich benutze es um auf mein Netz zugreifen zu
können und es funktioniert gut.
Server: OpenSUSE 10.1
Client: Windows XP und OpenSUSE 10.2
Gruss
Christoph
----- Original Message -----
From: "Harald Oehlmann"
-----Original Message----- From: Harald Oehlmann [mailto:Harald.Oehlmann@gmx.de] Sent: Friday, March 09, 2007 9:44 AM To: opensuse-de@opensuse.org Subject: Fernzugriff E-Mail und Dateisystem
Hallo Liste,
[...]
Gibt es eine andere Lösung (echtes VPN) ?
Schau doch mal OpenVPN an!
Vielen dank für alle Anregungen, Harald --
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Harald Oehlmann, Freitag, 9. März 2007 09:43:
Wie ich in der C't las, gibt es im Moment keine freie VPN, die Windows als Client ermöglicht. Deshalb dachte ich an folgendes:
Wie die anderen schon schrieben ist OpenVPN dafür ideal. Ist frei für Windows, und auch für Mac gibts den Tunnelblick, ein grafisches Frontend für den OpenVPN-Client. Läuft bei mir alles äußerst stabil und im produktiven Einsatz. Nur unter Linux als Client machts mir keinen rechten Spaß. Das setzen der DNS-Server und der Routen ist so blöd frickelig, daß ich lieber VMware und Windows als Gast boote, bevor ich Linux als Client nehm. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, unter Windows bieten die Support-Tools die Möglichkeit IPSec zu nutzen. Das funktioniert zusammen mit dem openswan in der Suse Distribution sehr gut. Zur Konfiguration unter Windows eignet sich das Müller-Tool oder besser noch das von Herrn Becker an der Fachhochschule Niederrhein entwickelte IPSone (http://ftp.hs-niederrhein.de/~ftp/allfiles.htm). Dies taugt für einen einzelnen Windows Rechner, der dann auch von Unterwegs auf das Firmennetz zugreifen kann. Besser noch ist allerdings die Einrichtung eines Gateway Rechners, der eine dauerhafte Verbindung zwischen dem Heimnetz und dem Firmennetz ermöglicht. Auf beiden Rechnern wird Openswan installiert und ein zertifikatsbasierter Tunnel zwischen den beiden Netzen definiert. Zum gegenseitigen Schutz der Netze wird dann eine Firewall zwischen den Netzen definiert. Prinzipiell kann dann von jedem Rechner im Heimnetz auf den Firmenserver zugegriffen werden. Es geht aber auch die Richtung von der Firma nach Hause. Gruß G. Quade Harald Oehlmann schrieb:
Hallo Liste,
ich möchte gerne den Zugriff von außen auf unseren opensuse 10.2 server erlauben, damit wir von zuhause von Windows PCs auf unsere Büro-Emails (Cyrus-IMAP) lesen und auf Dateien (Samba) zugreifen können.
Wie ich in der C't las, gibt es im Moment keine freie VPN, die Windows als Client ermöglicht. Deshalb dachte ich an folgendes:
- IMAP via SSL (TLS) und Authentifizierung via SASL (ist in Cyrus Imap eingebaut) Wir benutzen THunderbird als Client, der das lesen kann - Dateizugriff via WEB Browser und WEBDAV via SHTML und Authentifizierung.
Im DSL-Router wollte ich nur die Ports für SHTML und (S)IMAP weiter leiten.
Ist das ein gangbarer Weg ?
Gibt es eine andere Lösung (echtes VPN) ?
Vielen dank für alle Anregungen, Harald
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Harald Oehlmann schrieb:
Hallo Liste,
ich möchte gerne den Zugriff von außen auf unseren opensuse 10.2 server erlauben, damit wir von zuhause von Windows PCs auf unsere Büro-Emails (Cyrus-IMAP) lesen und auf Dateien (Samba) zugreifen können.
OpenVpn tut es problemlos
Wie ich in der C't las, gibt es im Moment keine freie VPN, die Windows als Client ermöglicht. Deshalb dachte ich an folgendes:
OpenVpn 2.0.x will aber, dass der Connectende als Admin arbeitet....
- IMAP via SSL (TLS) und Authentifizierung via SASL (ist in Cyrus Imap eingebaut) Wir benutzen THunderbird als Client, der das lesen kann - Dateizugriff via WEB Browser und WEBDAV via SHTML und Authentifizierung.
ehm.... Dein Netz sollte die Maschine als Standardgateway haben, wo auch OpenVpn läuft... OpenVpn hat paar "Ärgerleins" mit Broadcast ... seit ich meine Hosts im Netz per IP-Nummer anrede geht es wie "geschmiert" (Samba) auf der Windowmaschine die hosts Dateergänzen oder net use x: \\192.168.1.1\share angeben. Ein Push route ist auf den WinMaschinen sinnvoll, dass alles (!) über VPN umgelenkt wird.
Im DSL-Router wollte ich nur die Ports für SHTML und (S)IMAP weiter leiten.
Du musst nur einen Post weiterleiten..... 1194 UDP ist Standard...
Ist das ein gangbarer Weg ?
Gibt es eine andere Lösung (echtes VPN) ?
was ist ein unechtes VPN ????
Vielen dank für alle Anregungen, Harald eine Clientanmeldung direkt über VPN am (Samba)Domaincontroller hab ich noch nicht versucht... geht wohl auch nicht!
Theoretisch muesste die Anmeldung erst die VPN-Connection etablieren und dann erst zur Windowsnmeldung kommen. Das tut OpenVpn nicht.. Grüsse Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
OpenVpn tut es problemlos
Danke für die Ideen, ich berichte dann nochmal über Ergebnisse. Danke, Harald -- "Feel free" - 5 GB Mailbox, 50 FreeSMS/Monat ... Jetzt GMX ProMail testen: www.gmx.net/de/go/mailfooter/promail-out -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
OpenVpn tut es problemlos
Kure Rückmeldung: Installation sehr erfolgreich (1 Tag Dauer mit Test). Habe mich gehalten an: http://www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-209... Letzter nicht Linux Punkt: Wie schütze ich die Zertifikate auf den Windows Rechnern vor trojanern. Danke, Harald -- Ist Ihr Browser Vista-kompatibel? Jetzt die neuesten Browser-Versionen downloaden: http://www.gmx.net/de/go/browser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Harald Oehlmann schrieb:
OpenVpn tut es problemlos
Kure Rückmeldung: Installation sehr erfolgreich (1 Tag Dauer mit Test).
Habe mich gehalten an: http://www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-209...
Letzter nicht Linux Punkt: Wie schütze ich die Zertifikate auf den Windows Rechnern vor trojanern.
wie - schützen ??? -> na gar nicht! Du solltest die Trojaner nicht erst installieren.... ;-)) Ausserdem hast Du hoffentlich ein "ordentliches" Passwort verwendet...dann brauchts schon mehrere Trojaner. Ein der die Tastatur überwacht, einer das Filessytem kopiert... Stillschweiegend setze ich voraus - du hast `nen ordentlichen Virenscanner...auf der Serverseite steht in der Config ein "push route" drin, dass die Standardroute zu 100% auf den Tunnel umgeleitet wird...du verwendest eine Firewall (nicht nur dem Namen nach) ...dann kannst du (musst nicht) im Firmennetz auf dem Gateway einen Virenscanner laufen lassen, für Mails sowieso, gegen verschlüsselten Traffic auf port 443 (https) kannst du so einfach eh nicht viel machen Tjä... und wenn dann noch "vernünftige Leute" an der Tastatur sitzen, hast Du dein möglichstes getan ( vernünftige Leute = nicht auf alles klicken, was da ist...) ggfs. kannst du ganz einfach die Keys tauschen (*.p12 oder so...)...da gibt es dann neues Passwort + neuen Key ! musst du sowieso bei Personalwechsel...
Danke, Harald
Grüsse Fred kannst auch keinen anderen Rechner am Netz zu 100% schützen.... nur als Werbeversprechen! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Andre Tann
-
Christoph Acker
-
Dr. Gustav Quade
-
Fred Ockert
-
Harald Oehlmann
-
peter grotz