Hallo Liste, nachdem ich es endlich geschafft habe ein VPN (openVPN) aufzusetzen habe ich da noch eine Frage zur "Absicherung". Das VPN soll über ein WLAN laufen. Über ein paar Umwege habe ich nun mitbekommen das der WLAN-Zugang an der örtlichen FH folgendermaßen geregelt wird: 1. Benutzer muß sich über einen ssh-client am VPN-gateway anmelden (Client-Identifizierung) 2. erst dann kann die VPN-verbindung mit Windows-Bordmittel geöffnet werden. VPN habe ich ja schon erledigt. Aber wie funktioniert das (theoretisch) das ich mich erst per ssh einlogge und dann auch erst die VPN-Verbindung aufbauen kann? Ok, wenn es ein user wäre könnte er jedesmal den VPN-Server per Remote-Command starten. Das macht aber bei mehreren User wohl keinen Sinn. Oder kann man das über die Firewall machen? Also das bei jedem Login eine Firewall-Regel erstellt wird, welche für die Dauer der Verbindung ein connect der IP auf den VPN-Port zuläßt. Was ist aber wenn es Ganz dumm läuft und der Client abschmiert und er durch ein Kommando beim Abmelden diese Regel nicht wieder löschen kann? Hat jemand eine Idee? Mit freundlichen Grüßen Andreas Gegner
Hallo, irgendwie kommt mir das merkwürdig vor! Bei uns an der uni kann man sich direkt mit vpn anmelden, oder altanativ mit ner ssh verbindung arbeiten... das klingt ja wie eine doppelte absicherung! Da würde man ja erst die sachen mit ssh verschlüsseln und dann mit vpn! oder erst mit ssh, und dann irgendwo entschlüsseln um sie gleich wieder ins vpn zu schiken... das ist doch alles doppelte rechenarbeit, und beim ersten beispiel auch doppelte header Daten. Wenn jemadn einen guten grund für vpn + ssh kennt, dann erklärt mir das doch bitte! Gruß Jan Am Donnerstag, 23. Februar 2006 16:40 schrieb age@ifak-system.com:
Hallo Liste,
nachdem ich es endlich geschafft habe ein VPN (openVPN) aufzusetzen habe ich da noch eine Frage zur "Absicherung". Das VPN soll über ein WLAN laufen. Über ein paar Umwege habe ich nun mitbekommen das der WLAN-Zugang an der örtlichen FH folgendermaßen geregelt wird:
1. Benutzer muß sich über einen ssh-client am VPN-gateway anmelden (Client-Identifizierung) 2. erst dann kann die VPN-verbindung mit Windows-Bordmittel geöffnet werden.
VPN habe ich ja schon erledigt. Aber wie funktioniert das (theoretisch) das ich mich erst per ssh einlogge und dann auch erst die VPN-Verbindung aufbauen kann? Ok, wenn es ein user wäre könnte er jedesmal den VPN-Server per Remote-Command starten. Das macht aber bei mehreren User wohl keinen Sinn. Oder kann man das über die Firewall machen? Also das bei jedem Login eine Firewall-Regel erstellt wird, welche für die Dauer der Verbindung ein connect der IP auf den VPN-Port zuläßt. Was ist aber wenn es Ganz dumm läuft und der Client abschmiert und er durch ein Kommando beim Abmelden diese Regel nicht wieder löschen kann?
Hat jemand eine Idee?
Mit freundlichen Grüßen
Andreas Gegner
Hallo, das kann ich, per ssh wird nur der Client eindeutig identifiziert. Die VPN-Verbindung geht NICHT durch einen SSH-Tunnel. Jan Hendrik Berlin <jan-hendrik.berlin@cs.uni-dortmund.de> schrieb am 23.02.2006 17:05:08:
Hallo,
irgendwie kommt mir das merkwürdig vor! Bei uns an der uni kann man sich direkt mit vpn anmelden, oder altanativ mit ner ssh verbindung arbeiten...
das klingt ja wie eine doppelte absicherung! Da würde man ja erst die sachen mit ssh verschlüsseln und dann mit vpn! oder erst mit ssh, und dann irgendwo entschlüsseln um sie gleich wieder ins vpn zu schiken... das ist doch alles doppelte rechenarbeit, und beim ersten beispiel auch doppelte header Daten.
Wenn jemadn einen guten grund für vpn + ssh kennt, dann erklärt mir das doch bitte!
Gruß Jan
Am Donnerstag, 23. Februar 2006 16:40 schrieb age@ifak-system.com:
Hallo Liste,
nachdem ich es endlich geschafft habe ein VPN (openVPN) aufzusetzen habe ich da noch eine Frage zur "Absicherung". Das VPN soll über ein WLAN laufen. Über ein paar Umwege habe ich nun mitbekommen das der WLAN-Zugang an der örtlichen FH folgendermaßen geregelt wird:
1. Benutzer muß sich über einen ssh-client am VPN-gateway anmelden (Client-Identifizierung) 2. erst dann kann die VPN-verbindung mit Windows-Bordmittel geöffnet werden.
VPN habe ich ja schon erledigt. Aber wie funktioniert das (theoretisch) das ich mich erst per ssh einlogge und dann auch erst die VPN-Verbindung aufbauen kann? Ok, wenn es ein user wäre könnte er jedesmal den VPN-Server per Remote-Command starten. Das macht aber bei mehreren User wohl keinen Sinn. Oder kann man das über die Firewall machen? Also das bei jedem Login eine Firewall-Regel erstellt wird, welche für die Dauer der Verbindung ein connect der IP auf den VPN-Port zuläßt. Was ist aber wenn es Ganz dumm läuft und der Client abschmiert und er durch ein Kommando beim Abmelden diese Regel nicht wieder löschen kann?
Mit freundlichen Grüßen Andreas Gegner
participants (2)
-
age@ifak-system.com
-
Jan Hendrik Berlin