18 Nov
2008
18 Nov
'08
13:42
Arno Lehmann schrieb:
> Hallo,
>
> 18.11.2008 07:42, Fred Ockert wrote:
>> Ulrich Walter schrieb:
>>> Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
>>>
>>>> Ulrich Walter schrieb:
>>>> Clients).
>>>>
>>>>> Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den
>>>>> Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
>>>>>
>>>>> Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,-
>>>>> EUR)?
>>>> 1)
>>>> Astaro:
>>>> Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst.
>>>> Openvpn unter Linux kann als Client eingesetztw erden
>>>
>>> Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer
>>> Meinung nach was?
>>
>> ist nach obiger Forderung eigentlich "Unfug"...Roadwarrioranbindung...
>
> Was ist daran Unfug?
>
>> letztlich ... eher die Frage wo, wie , durch wen( Hersteller/Produkt
>> usw. ) wird gescannt...
>
> War das nicht genau die Frage?
>
>> im Tunnel scannen geht eh nicht ..was soll man
>> bei verschlüsselten Daten scannen ?
>
> Ähm... wenn die Astaro-Appliance Mails scannt wird sie das wohl mit den
> Klartext-Daten machen, nicht wahr? Immerhin ist sie ja fürs
> Entschlüsseln da.
wirklich oder vermutlich ..und das ist der Mailweg ?
>>
>> Mach dir lieber Gedanken wegen IPSec <-> Openvpn ...
>> bei IPSec wird djedes Paket verschlüsselt und du bist für
>> Datenintegrität zuständig....
>
> Bitte ausführlicher. Ich kann beim besten Willen nicht erkennen dass
> IPSec keine Datenintegrität sicherstellt. Eher im Gegenteil...
>
>> bei OpenVPN wird der Datenstrom verschlüsselt und openVPN prüft selber
>
> Ärgs. Erstens arbeitet auch VPN mit Datenpaketen, ganz genau wie jedes
> Protokoll das auf IP aufsetzt. Zweitens stellen sich IPSec wie auch
> OpenVPN-Tunnel für Verbindungen dadurch wie ganz normale
> TCP/IP-Verbindungen dar. Ob auf höheren Protokollebenen mit logischen
> Streams oder Paketorientiert gearbeitet wird ist in beiden Fällen
> absolut irrelevant.
>
>> ( deswegen geht openVPN auch über UDP ...IPSec nur als TCP)...
>
> Das ist Unfug.
>
> OpenVPN benutzt typischerweise UDP, kann aber auch per TCP benutzt
> werden. IPSec benutzt die IP-Protokolle esp und ah sowie, wenn
> NAT-Router getunnelt werden, UDP.
>
> Dass man für Tunnel tunlichst kein TCP verwendet hat etwas
> kompliziertere Gründe - hauptsächlich ist es sinnlos und oft störend,
> verbindungsorientierte Protokolle in verbindungsorientierten Protokollen
> zu verpacken.
>
>> wird kritisch bei "weniger guten" Leitungen (UMTS?)..
>
> Nö.
IPSec macht im Betrieb dann nur mehr Verbindungsabbrüche ...
praktisch.. etliches häufiger als später mit openVPN .. das muss nix
besagen, aber seitdem bin ich nicht mehr "begeistert"...
>
>> und hängt bissel davon ab, wie sich die Anwendungen verhalten...
>
> Ebenfalls Nö. Es ist für Anwendungen, die einen VPN-Tunnel nutzen meiner
> Erfahrung nach vollkommen wurscht ob es sich dabei um IPSec, OpenVPN,
> pptp, l2tp, l2tp in IPSec, ipv4 in ipv6, oder sonstwas handelt. Das
> einzige Problem - aber das hat man bei allen diesen Tunnelverfahren -
> ist, dass man für jede weitere Encapsulation mit immer kleineren MTUs
> dasteht, weil Paketfragmentierung praktisch immer Probleme macht bzw.
> nicht vorgesehen ist.
>
> Ich würde völlig anders argumentieren:
> OpenVPN ist extrem einfach zu konfigurieren. IPSec ist recht aufwendig
> einzurichten und bietet nicht unbedingt einen Mehrwert.
>
> Wer aber Windows-Clients ohne weitere Software ins VPN bringen will
> landet bei IPSec (plus l2tp). Ebenso landet bei IPSec, wer
> VPN-Appliances nutzen will, die IPSec benutzen. Wer kontrollieren kann
> welche VPN-Technik genutzt wird, und keine Zeit, Lust, oder Kenntnisse
> hat sich stundenlang mit IPSec zu beschäftigen sollte eher OpenVPN nehmen.
>
> Im Übrigen lässt sich auch durch ssh-Verbindungen hervorragend allerlei
> Zeug tunneln - gut für Ad-Hoc-VPNs mit begrenzten Anforderungen und ohne
> Zugriff aufs Gateway, aber funktionierenden ssh-Verbindungen.
>
> Arno
ja mit der schlussendlichen Argumentation gehe ich auch konform.. mit
IPSec "böse" Erfahrungen gemacht ..erst recht wenn Win2000-Clients
beteiligt sind.. primär verlorengengangene Verbindungen ( ohne wirklich
Ursachenforschung gemacht zu haben).. manche Anwendungen mögen das nicht.
Auch halte ich von billigen/kostengünstigen Versionen der "eierlegenden
Wollmilchsau" nicht viel. ..umsoweniger
>>
>> Fred
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org