Hallo, Wie ist es bei folgendem Netzwerkaufbau: Bestehendes LAN, nehmen wir an: 1 Server (SMB, NFS, NTP und gefiltertes Internet) An dieses LAN -> soll WLAN dazukommen. So, wenn nun das WLAN unverschlüsselt ist, dann kann jeder darauf zugreifen. <-- VPN kann ja Abhilfe schaffen Bestehendes LAN: 1 Server---> Switch 40 PCs-----> Switch + (WLAN): An das bestehende LAN soll nun WLAN mit dazukommen 1. Server(SMB/NFS/NTP/gefilterts INET) + 2. Server (WLAN mit VPN u. iptables) also: 1. und 2. Server ----> Switch 1. Server <------- Clients 2. Server <------- WLAN Router (Access Point) Nun sollte über das WLAN erstmal nur das gefilterte Internet bereitgestellt werden, welches Server 1 zur Verfügung stellt(squid). Jedoch dürfen keine anderen Dienste erreichbar sein. Das heißt, dass über Server 2 nur Port 3128 auf Server 1 erreichbar sein soll, jedoch keine anderen Ports (SMB,NFS,SSH...). Außerdem dürfen die Clients nicht erreichbar sein. Reicht es dazu aus, die Netzwerkkarte an der der WLAN-Router hängt in der SUSE Firewall auf extern zu setzen und nur Zugriff auf den Port 3128 zu gestatten? <-- iptables ? ^-- wie wird das ganze noch durch VPN abgesichert? Sobald VPN werwendet wird, braucht das WLAN keine Verschlüsselung mehr, da VPN absichert. <-- richtig? Es darf jedoch nur Zugriff aufs gefilterte Internet möglich sein, kein SMB,... Danke! Gruß, Stefan -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi Am Samstag, 10. Juni 2006 10:11 schrieb Stefan Koch:
2. Server <------- WLAN Router (Access Point)
Reicht es dazu aus, die Netzwerkkarte an der der WLAN-Router hängt in der SUSE Firewall auf extern zu setzen und nur Zugriff auf den Port 3128 zu gestatten? <-- iptables ?
So wird das ganze nichts. Zu erst baut ein WLan Client eine VPN Verbindung zu deinem 2. Server auf. Nur diese musst du erst einmal in der Firewall für das entsprechende Interface setzen. Der nächste Schritt hängt von deiner VPN Lösung ab. Bie vielen VPNs wird für die Verbindung ein eigenes Netzwerkdevice angelegt. Von diesem Interface aus werden die Daten an dein internes Netz weitergeleitet (FORWARD). Wenn du nur Squid erlauben willst, darfst du nur diese Verbindungen forwarden. Wie willst du denn dein VPN realisieren? Am einfachsten wäre es, wenn die Firewall auf Server2 nur Verbindungen an den Proxy erlaubt. Dann kannst du dein VPN mit ssh realisieren, in dem du port forwarding verwendest. Bis dann, Tilo -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Eigentlich mit openVPN. Vielleicht mit Zertifikat: Was ganz nett wäre, das Schema wie bei einem Hotspot (Karte mit Key + Gültigkeitsdauer). Gruß, Stefan Am Samstag, den 10.06.2006, 11:19 +0200 schrieb Tilo Lutz:
Hi
Am Samstag, 10. Juni 2006 10:11 schrieb Stefan Koch:
2. Server <------- WLAN Router (Access Point)
Reicht es dazu aus, die Netzwerkkarte an der der WLAN-Router hängt in der SUSE Firewall auf extern zu setzen und nur Zugriff auf den Port 3128 zu gestatten? <-- iptables ?
So wird das ganze nichts. Zu erst baut ein WLan Client eine VPN Verbindung zu deinem 2. Server auf. Nur diese musst du erst einmal in der Firewall für das entsprechende Interface setzen.
Der nächste Schritt hängt von deiner VPN Lösung ab. Bie vielen VPNs wird für die Verbindung ein eigenes Netzwerkdevice angelegt. Von diesem Interface aus werden die Daten an dein internes Netz weitergeleitet (FORWARD). Wenn du nur Squid erlauben willst, darfst du nur diese Verbindungen forwarden.
Wie willst du denn dein VPN realisieren?
Am einfachsten wäre es, wenn die Firewall auf Server2 nur Verbindungen an den Proxy erlaubt. Dann kannst du dein VPN mit ssh realisieren, in dem du port forwarding verwendest.
Bis dann, Tilo
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (2)
-
Stefan Koch
-
Tilo Lutz