Hallo, ich stehe vor der Aufgabe unseren Außendienstmitarbeitern mit ihren Windows-Notebooks das Leben etwas zu erleichtern. Bis jetzt hatten diese Zugang zu unserem Netzwerk über SSH. Nun möchte ich ein VPN implementieren. Nur welches? SSL, IPSec, oder gleiche eine komplette Apliance zugekauft? Gibt ja diverese Lösungen. Hat hier jemand schonmal sowas eingerichtet? Wenn ja, mit welchen tools? Und warum habt ihr euch für diese entschieden? Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
Ipcop hat ein VPN-Gateway dabei. Astaro hat eine aus meiner Sicht sehr gelungene VPN-Anbindung ist aber nicht ganz preiswert. Gruß www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
Hallo Ralf, eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben. Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 20 Jun 2008 11:54:50 +0200 Daniel Spannbauer <ds@marco.de> wrote:
eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben.
Klingt nur bedingt logisch. Eine Appliance (in der garantiert kein Suse läuft) wäre ok., aber IPCOP nicht. Wenn Dir jemand IPCOP in eine Büchse packt, dann geht das? -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Daniel Spannbauer [mailto:ds@marco.de] Gesendet: Freitag, 20. Juni 2008 11:55 An: openSUSE mailing list Betreff: Re: VPN mit SuSE Ralf Prengel schrieb:
Hallo Ralf, eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben. Gruß Daniel Mit der VPN-Serverseite kann man sich ziemlich beschäftigen, dadurch eine Menge Geld verbrennen und sich ggf. durch schlechte Konfigurationen Ärger ins Haus holen. Will sagen es gibt Aufgabenstellungen die man besser Leuten übelässt die das richtig gut können und die Otto-Normal-Admin mit guten Werkzeugen eine Menge Ärger erspart. Gruß www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
also.. hier geht das mit OpenVPN .. sowohl (IPCOP las auch SuSE10.3-Server) Clients winXP/w2k und Suse/Ubuntu...
Hat hier jemand schonmal sowas eingerichtet? Wenn ja, mit welchen tools? Und warum habt ihr euch für diese entschieden?
Voreinrichtungn über IPCOP... habe später auf einer SuSE -Maschine nur alles eingelesen (Import).. SuSE-OpenVPN-Server war hier eher als Testobjekt gedacht... IPCOPs laufen ja schon... Warum ? ... hmm.. will mal so sagen .. habe mich vermutlich bei IPSec zu blöd angestellt, die W2K-WS in die Gänge zu bekommen.... Beide Varianten hatten ja 6 Stunden ... bei OpenVPN gings schneller..IPSec gar nicht (im Zeitlimit)..
Gruß
Daniel
ich bin also vermutlich nicht repräsentativ... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 20 Jun 2008 12:33:10 +0200 Fred Ockert <m.ockert@bss-services.de> wrote:
Würde ich nicht behaupten wollen. Das es bei nomadischen Benutzern vulgo road warriors mit OpenVPN weniger Probleme bei IBN und Betrieb gibt als mit IPSEC, haben schon sehr viele festgestellt. Der Grund liegt wohl darin begraben, dass IP erstmal keine Sicherungsschicht kennt und IPSEC deswegen alle Netzwerkstörungen 1:1 durchreicht. Bei OpenVPN hat man dagegen eine Sicherungsschicht, die Übertragungsfehler abfängt. Mittlerweile kommt SLES auch mit OpenVPN daher. Wer also bei Suse bleiben möchte, hat hier eine komfortable Plattform. IPSEC würde ich nur noch bei site2site-Kopplungen und stabiler Übertragungsstrecke verwenden. Ein Problem bleibt wohl, dass man unter Linux kein Firewalling IM Tunnel betreiben kann oder hat sich da was gebessert? Ich würde da vom Gateway immer erst auf eine eigene Filter-Maschine gehen, bevor ich irgendwelche unsicheren Systeme anbinde. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
From: "Tobias Crefeld"
Und gerade dann bieten sich meines Erachtens dafür *auch* Hardware- Lösungen an. Nur als Beispiel: http://www.vigorkom.de/Produkte.htm Ich bin der festen Überzeugung, dass es auch andere Hardware gibt. Ich habe sowas bei uns. Jeweils 2 Kisten mit integriertem Modem. Da spart man dann - je nach WAN-Anbindung - auch ein Modem. Die verbinden beide LANs, ohne dass ich auf den Rechner irgend etwas installieren müsste. Wenn ich unterwegs bin, kann ich mich dann auch so einwählen. Läuft stabil seit ewigen Zeiten... Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Tobias Crefeld schrieb:
sollte bei mir auch noch "schnell" gehen ;-) umnd so einfach geht ja IPSec mit W2k-Clients nun auch wieder nicht...
na ja... alle Win-Roadwarriors hier starten OpenVPN als Dienst.. ohne VPN keine Anmeldung ...der dritte Fehlversuch macht shutdown ... na ja ... natürlich mit push-route usw. ...es wird alles in den Tunnel gezwungen... insofern steht die Frage nicht ... VPN-Client starten ..oder nicht.. Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer, Freitag, 20. Juni 2008 11:46:
OpenVPN wurde Dir ja schon genannt, das läuft hier sehr stabil und robust, und es gibt Clients für Windows, Linux und auch Mac (Tunnelblick). Der Vollständigkeit halber sei aber noch das Portforwarding per ssh erwähnt. Ich arbeite immer mehr damit, und immer weniger mit OpenVPN. Denn um per rdesktop oder http auf einen Rechner "drinnen" zuzugreifen ist VPN overkill. Und außerdem kann man per Portforwarding schöne Ketten bauen, ohne jedem Gateway unterwegs irgendwelche Routen mitteilen zu müssen. Wie gesagt, nur so als Denkanstoß. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
So, ich hab mir jetzt mal IPCOP geholt. Macht nen guten Eindruck soweit. Einrichtung scheint einfach zu sein. Gibt es dafür auch einen FUKTIONIERENDEN Windoof-CLient für XP und Vista? Ich habe 2 gefunden, beide funktionierten unter XP nicht. Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Braucht man dafür einen Client? Die meisten legen doch "nur" eine weitere VPN-Netzwerk-Verbindung unter Windows XP an. Das sollte man zur Not auch über den "Assisten(en) für neue Netzwerkverbindungen" hinbekommen. Ansonsten nehme ich hier (ich erinnere: reine Hardwarelösung) den SmartVPNClient von hier: http://www.vigorkom.de/Tools_Main.htm. Der sollte eigentlich mit allem gehen, wenn man ihn mit den nötigen Daten füttert. Falls ich total an Deinem Thema vorbei schreibe, gib Bescheid. Ich fühle mich nur zum Helfen berufen, weil ih selbst mir das Thema VPN über ca. 1/2 Jahr habe erarbeiten müssen. Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Werd ich probieren.
Nööö, passt schon. Bin für jeden Tipp dankbar. Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, ist zwar zusätzliche Software, aber eine sehr gute und verlässliche - auf BEIDEN Seiten: OpenVPN Benutze ich sowohl beruflich als auch privat; ist sehr einfach zu konfigurieren, kann sowohl statische Tunnel als auch Roadwarrior-Server und -Clients konfigurieren und läuft mit RSA-Certificaten in theoretisch beliebiger Schlüsseltiefe. Gruß Stefan Daniel Spannbauer schrieb:
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Braindead schrieb:
wollte ich auch sagen..... hat im Gegensatz zu IPSec auch noch den Vorteil, dass eine "geprüfte Verbindung" läuft kann bei Bedarf komprimieren läuft hier mit UDP recht sicher und zuverlässig kann bei Linux und Windows Maschinen gleichermassen - kann bei Win auch als Dienst mit automatischem Start (ohne User-Zutun) eigerichtet werden... - es können Eigenschaften ( z.B. Routing ) vom (VPN)Server eingestellt werden ( Push) wird "fummelig" wenn mehrere (Roadwarrior)User hinter einem NAT-Router "versteckt" sind - dann sollte man besser net2net machen IPCOP mit Zerina ( die Alpha kann auch net2net verwalten.... sonst manuell konfigurieren....) Fred
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
Ipcop hat ein VPN-Gateway dabei. Astaro hat eine aus meiner Sicht sehr gelungene VPN-Anbindung ist aber nicht ganz preiswert. Gruß www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
Hallo Ralf, eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben. Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 20 Jun 2008 11:54:50 +0200 Daniel Spannbauer <ds@marco.de> wrote:
eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben.
Klingt nur bedingt logisch. Eine Appliance (in der garantiert kein Suse läuft) wäre ok., aber IPCOP nicht. Wenn Dir jemand IPCOP in eine Büchse packt, dann geht das? -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Daniel Spannbauer [mailto:ds@marco.de] Gesendet: Freitag, 20. Juni 2008 11:55 An: openSUSE mailing list Betreff: Re: VPN mit SuSE Ralf Prengel schrieb:
Hallo Ralf, eine gesonderte Distri kommt leider nicht in Frage, wir haben unsere Gateways bereits auf SuSE laufen. Und das muss leider auch so bleiben. Gruß Daniel Mit der VPN-Serverseite kann man sich ziemlich beschäftigen, dadurch eine Menge Geld verbrennen und sich ggf. durch schlechte Konfigurationen Ärger ins Haus holen. Will sagen es gibt Aufgabenstellungen die man besser Leuten übelässt die das richtig gut können und die Otto-Normal-Admin mit guten Werkzeugen eine Menge Ärger erspart. Gruß www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
also.. hier geht das mit OpenVPN .. sowohl (IPCOP las auch SuSE10.3-Server) Clients winXP/w2k und Suse/Ubuntu...
Hat hier jemand schonmal sowas eingerichtet? Wenn ja, mit welchen tools? Und warum habt ihr euch für diese entschieden?
Voreinrichtungn über IPCOP... habe später auf einer SuSE -Maschine nur alles eingelesen (Import).. SuSE-OpenVPN-Server war hier eher als Testobjekt gedacht... IPCOPs laufen ja schon... Warum ? ... hmm.. will mal so sagen .. habe mich vermutlich bei IPSec zu blöd angestellt, die W2K-WS in die Gänge zu bekommen.... Beide Varianten hatten ja 6 Stunden ... bei OpenVPN gings schneller..IPSec gar nicht (im Zeitlimit)..
Gruß
Daniel
ich bin also vermutlich nicht repräsentativ... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 20 Jun 2008 12:33:10 +0200 Fred Ockert <m.ockert@bss-services.de> wrote:
Würde ich nicht behaupten wollen. Das es bei nomadischen Benutzern vulgo road warriors mit OpenVPN weniger Probleme bei IBN und Betrieb gibt als mit IPSEC, haben schon sehr viele festgestellt. Der Grund liegt wohl darin begraben, dass IP erstmal keine Sicherungsschicht kennt und IPSEC deswegen alle Netzwerkstörungen 1:1 durchreicht. Bei OpenVPN hat man dagegen eine Sicherungsschicht, die Übertragungsfehler abfängt. Mittlerweile kommt SLES auch mit OpenVPN daher. Wer also bei Suse bleiben möchte, hat hier eine komfortable Plattform. IPSEC würde ich nur noch bei site2site-Kopplungen und stabiler Übertragungsstrecke verwenden. Ein Problem bleibt wohl, dass man unter Linux kein Firewalling IM Tunnel betreiben kann oder hat sich da was gebessert? Ich würde da vom Gateway immer erst auf eine eigene Filter-Maschine gehen, bevor ich irgendwelche unsicheren Systeme anbinde. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (8)
-
Alex Winzer -
Andre Tann -
Braindead -
Daniel Spannbauer -
Fred Ockert -
Ralf Prengel -
ralf.prengel@comline.de
-
Tobias Crefeld