Hallo! Ich werde mich in Kürze mal ausgiebig mit Neuland befassen: VPN 'Standleitung' zwischen 2 Stützpunkten. a) Kann mir wer ein gutes How To für VPN Neulinge empfehlen? b) VPN verschlüsselt und komprimiert ja einigermaßen, ich habe aber zumindest auf einem Stützpunkt nur einen Pentium II 266 mit 256 MB - wo dann wiederum VPN, Firewall, Dhcpd, SMB Squid drauf laufen soll. Reicht das oder hab ich hier mit großen Performanceproblemen zu rechnen? lg
Hallo Martin, Hallo Liste,
Hallo!
Ich werde mich in Kürze mal ausgiebig mit Neuland befassen: VPN 'Standleitung' zwischen 2 Stützpunkten.
Das geht recht gut/sicher mit FreeSwan und "Nachfolgern":
a) Kann mir wer ein gutes How To für VPN Neulinge empfehlen?
Hier ein paar Links: 1) Howtos: http://www.64-bit.de/dokumentationen/netzwerk/a/012/DE-VPN-HOWTO.html http://www.tldp.org/HOWTO/VPN-HOWTO/ 2) VPN-Grundlagen: C'T Artikel: Moderner Tunnelbau Der Weg zum eigenen Virtual Private Network Know-how, Virtual Private Networks, VPN, IPsec, PPTP, PPPD, MPPE c't 18/01, Seite 182 Sicheres Netz im Netz Der Aufbau von Virtual Private Networks Report, Virtual Private Networks, VPN, IPsec, IKE, PPTP, L2F, L2TP, L2sec c't 17/01, Seite 164 3) Praxis: Ein IPSec-Gateway im Eigenbau http://www.heise.de/security/artikel/38014
b) VPN verschlüsselt und komprimiert ja einigermaßen, ich habe aber zumindest auf einem Stützpunkt nur einen Pentium II 266 mit 256 MB - wo dann wiederum VPN, Firewall, Dhcpd, SMB Squid drauf laufen soll. Reicht das oder hab ich hier mit großen Performanceproblemen zu rechnen?
Grundsätzlich sollte man die Firewall / Squid und den VPN-Server davon trennen. Auf gleicher Hardware (PII 350) habe ich eine ähnliche Konfiguration seit Jahren problemlos in Betrieb. Es kommt vor allem auf die Anzahl der Nutzer, die über diese Systeme arbeiten, an :-) Konfigurationshilfe für ein auf IPSec basierendes VPN gerne per PM.
lg
Viele Grüße, Bernd
Grundsätzlich sollte man die Firewall / Squid und den VPN-Server davon trennen.
Auf gleicher Hardware (PII 350) habe ich eine ähnliche Konfiguration seit Jahren problemlos in Betrieb. Es kommt vor allem auf die Anzahl der Nutzer, die über diese Systeme arbeiten, an :-)
Konfigurationshilfe für ein auf IPSec basierendes VPN gerne per PM.
Vielen Dank da ist wirklich einiges interessantes dabei. Zu deinem Hinweiß, die Trennung von FW /Squid und VPN ist leider nicht möglich, da der Stützpunkt nur über einen Server verfügt. lg
Sorry, dieses Quoting ist nicht von mir. Am Samstag, 27. November 2004 12:37 schrieb Martin Hochreiter:
Grundsätzlich sollte man die Firewall / Squid und den VPN-Server davon trennen.
Auf gleicher Hardware (PII 350) habe ich eine ähnliche Konfiguration seit Jahren problemlos in Betrieb. Es kommt vor allem auf die Anzahl der Nutzer, die über diese Systeme arbeiten, an :-)
Konfigurationshilfe für ein auf IPSec basierendes VPN gerne per PM.
Vielen Dank da ist wirklich einiges interessantes dabei. Zu deinem Hinweiß, die Trennung von FW /Squid und VPN ist leider nicht möglich, da der Stützpunkt nur über einen Server verfügt.
Ich kann aber Bernd nur zustimmen. Dann muss eben ein zweiter (oder auch dritter) PC ran, der als VPN (und ggf. zusätzliche Firewall) davor geschaltet wird. Oder eine Hardware-Lösung, die IPSEC unterstützt. Kostet doch alles nicht die Welt. Das teuerste an solchen Lösungen ist doch inzwischen auf jeden Fall die Man-Power. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo User,
Sorry, dieses Quoting ist nicht von mir.
entschuldige, nutze hier versch. IMAP-Clients und nicht immer klappt alles so, wie es soll.
Grundsätzlich sollte man die Firewall / Squid und den VPN-Server davon trennen.
Vielen Dank da ist wirklich einiges interessantes dabei. Zu deinem Hinweiß, die Trennung von FW /Squid und VPN ist leider nicht möglich, da der Stützpunkt nur über einen Server verfügt.
Ich kann aber Bernd nur zustimmen. Dann muss eben ein zweiter (oder auch dritter) PC ran, der als VPN (und ggf. zusätzliche Firewall) davor geschaltet wird. Oder eine Hardware-Lösung, die IPSEC unterstützt. Kostet doch alles nicht die Welt. Das teuerste an solchen Lösungen ist doch inzwischen auf jeden Fall die Man-Power.
Manche kleine Büros oder Privatanwender können oder wollen den Aufwand für die Hardware nicht leisten. All-in-One geht schon, nur wenn die FW geknackt ist, hat der Angreifer auch gleich Zugang ins LAN und auf die Samba-Files... Gute Erfahrungen habe ich mit VPN-Routern, die auch als VPN-Endpunkt dienen können: Allen voran Draytek Vigor 2900 Serie, gefolgt von DLINK Di804HV und Netgear FVS318. Diese sind eher was für (Privat-) Anwender, die sich keine Watchguard oder eine BinTEC VPN hinstellen möchten. Die Router können mit IPSec und PPTP als VPN-Gateway dienen. Eine weitere Möglichkeit neben einer (SuSE) Linuxmaschine mit Firewall, VPN und Squid drauf, wäre die Verwendung von IPCop. Damit lässt sich auch auf einfachster Hardware schnell eine stabile Lösung "zusammenklicken" :-) Gruß, Bernd
participants (4)
-
Bernd Walda
-
Bernd Walda
-
Martin Hochreiter
-
Matthias Houdek