18 Nov
2008
18 Nov
'08
08:33
Hallo,
18.11.2008 07:42, Fred Ockert wrote:
> Ulrich Walter schrieb:
>> Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
>>
>>> Ulrich Walter schrieb:
>>> Clients).
>>>
>>>> Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den
>>>> Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
>>>>
>>>> Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,-
>>>> EUR)?
>>> 1)
>>> Astaro:
>>> Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst.
>>> Openvpn unter Linux kann als Client eingesetztw erden
>>
>> Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer
>> Meinung nach was?
>
> ist nach obiger Forderung eigentlich "Unfug"...Roadwarrioranbindung...
Was ist daran Unfug?
> letztlich ... eher die Frage wo, wie , durch wen( Hersteller/Produkt
> usw. ) wird gescannt...
War das nicht genau die Frage?
>im Tunnel scannen geht eh nicht ..was soll man
> bei verschlüsselten Daten scannen ?
Ähm... wenn die Astaro-Appliance Mails scannt wird sie das wohl mit
den Klartext-Daten machen, nicht wahr? Immerhin ist sie ja fürs
Entschlüsseln da.
>
> Mach dir lieber Gedanken wegen IPSec <-> Openvpn ...
> bei IPSec wird djedes Paket verschlüsselt und du bist für
> Datenintegrität zuständig....
Bitte ausführlicher. Ich kann beim besten Willen nicht erkennen dass
IPSec keine Datenintegrität sicherstellt. Eher im Gegenteil...
> bei OpenVPN wird der Datenstrom verschlüsselt und openVPN prüft selber
Ärgs. Erstens arbeitet auch VPN mit Datenpaketen, ganz genau wie jedes
Protokoll das auf IP aufsetzt. Zweitens stellen sich IPSec wie auch
OpenVPN-Tunnel für Verbindungen dadurch wie ganz normale
TCP/IP-Verbindungen dar. Ob auf höheren Protokollebenen mit logischen
Streams oder Paketorientiert gearbeitet wird ist in beiden Fällen
absolut irrelevant.
> ( deswegen geht openVPN auch über UDP ...IPSec nur als TCP)...
Das ist Unfug.
OpenVPN benutzt typischerweise UDP, kann aber auch per TCP benutzt
werden. IPSec benutzt die IP-Protokolle esp und ah sowie, wenn
NAT-Router getunnelt werden, UDP.
Dass man für Tunnel tunlichst kein TCP verwendet hat etwas
kompliziertere Gründe - hauptsächlich ist es sinnlos und oft störend,
verbindungsorientierte Protokolle in verbindungsorientierten
Protokollen zu verpacken.
> wird kritisch bei "weniger guten" Leitungen (UMTS?)..
Nö.
>und hängt bissel
> davon ab, wie sich die Anwendungen verhalten...
Ebenfalls Nö. Es ist für Anwendungen, die einen VPN-Tunnel nutzen
meiner Erfahrung nach vollkommen wurscht ob es sich dabei um IPSec,
OpenVPN, pptp, l2tp, l2tp in IPSec, ipv4 in ipv6, oder sonstwas
handelt. Das einzige Problem - aber das hat man bei allen diesen
Tunnelverfahren - ist, dass man für jede weitere Encapsulation mit
immer kleineren MTUs dasteht, weil Paketfragmentierung praktisch immer
Probleme macht bzw. nicht vorgesehen ist.
Ich würde völlig anders argumentieren:
OpenVPN ist extrem einfach zu konfigurieren. IPSec ist recht aufwendig
einzurichten und bietet nicht unbedingt einen Mehrwert.
Wer aber Windows-Clients ohne weitere Software ins VPN bringen will
landet bei IPSec (plus l2tp). Ebenso landet bei IPSec, wer
VPN-Appliances nutzen will, die IPSec benutzen. Wer kontrollieren kann
welche VPN-Technik genutzt wird, und keine Zeit, Lust, oder Kenntnisse
hat sich stundenlang mit IPSec zu beschäftigen sollte eher OpenVPN nehmen.
Im Übrigen lässt sich auch durch ssh-Verbindungen hervorragend
allerlei Zeug tunneln - gut für Ad-Hoc-VPNs mit begrenzten
Anforderungen und ohne Zugriff aufs Gateway, aber funktionierenden
ssh-Verbindungen.
Arno
>
> Fred
--
Arno Lehmann
IT-Service Lehmann
Sandstr. 6, 49080 Osnabrück
www.its-lehmann.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org