Hallo, ich möchte mit einer OT-Frage nerven... (Wenn Ihr wisst, wo ich mit der Frage richtig aufgehoben bin, Hinweise werden äußerst dankbar entgegengenommen!) Ich soll für einen Kollegen ein kleines Firmennetz mit einem VPN-Gateway erweitern. Es soll zwei bis max. fünf Außendienstmitarbeiter an ein bestehendes Firmennetz anbinden. Diese Firmennetz besteht zur zur Zeit aus einem Win2008 SBS und ca. 20 Clients. Netzstruktur: VDSL <-> Router <-> Win SBS <-> Clients (Ich glaube VDSL-Modem und Router sind ein Gerät) Win SBS trennt in externes (Richtung Router) und internes Netz (Richtung Clients). Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht. Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,- EUR)? -- Niemand käme auf die Idee, Tinte mit Tinte abzuwaschen nur Blut soll immer wieder mit Blut abgewaschen werden. -- Ebner-Eschenbach Grüsse aussem Pott! - Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Walter schrieb: Clients).
Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,- EUR)?
1) Astaro: Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst. Openvpn unter Linux kann als Client eingesetztw erden 2) Ipcop: Kostest nichts und kann mit jedem besseren PC realisiert werden. VPN Addons gibt es. 3) Linksys: In einem Projekt läuft ein Router der 2 DSL Leitungen anbindet. Mit dem QuickVPN Client kann man relativ einfach eine Anbindung umsetzten aber es gibt keine Lösung für Linux-Clients. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
Ulrich Walter schrieb: Clients).
Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,- EUR)?
1) Astaro: Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst. Openvpn unter Linux kann als Client eingesetztw erden
Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer Meinung nach was? ... -- Niemand käme auf die Idee, Tinte mit Tinte abzuwaschen nur Blut soll immer wieder mit Blut abgewaschen werden. -- Ebner-Eschenbach Grüsse aussem Pott! - Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Walter schrieb:
1) Astaro: Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst. Openvpn unter Linux kann als Client eingesetztw erden
Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer Meinung nach was?
Die wissen schon was sie tun aber wenn du es wirklich sicher haben willst brauchst du eh einen zweiten Mailscanner. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Walter schrieb:
> Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
>
>> Ulrich Walter schrieb:
>> Clients).
>>
>>> Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den
>>> Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
>>>
>>> Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,-
>>> EUR)?
>> 1)
>> Astaro:
>> Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst.
>> Openvpn unter Linux kann als Client eingesetztw erden
>
> Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer Meinung
> nach was?
ist nach obiger Forderung eigentlich "Unfug"...Roadwarrioranbindung...
letztlich ... eher die Frage wo, wie , durch wen( Hersteller/Produkt
usw. ) wird gescannt...im Tunnel scannen geht eh nicht ..was soll man
bei verschlüsselten Daten scannen ?
Mach dir lieber Gedanken wegen IPSec <-> Openvpn ...
bei IPSec wird djedes Paket verschlüsselt und du bist für
Datenintegrität zuständig....
bei OpenVPN wird der Datenstrom verschlüsselt und openVPN prüft selber
( deswegen geht openVPN auch über UDP ...IPSec nur als TCP)...
wird kritisch bei "weniger guten" Leitungen (UMTS?)..und hängt bissel
davon ab, wie sich die Anwendungen verhalten...
Fred
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
18.11.2008 07:42, Fred Ockert wrote:
> Ulrich Walter schrieb:
>> Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
>>
>>> Ulrich Walter schrieb:
>>> Clients).
>>>
>>>> Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den
>>>> Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
>>>>
>>>> Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,-
>>>> EUR)?
>>> 1)
>>> Astaro:
>>> Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst.
>>> Openvpn unter Linux kann als Client eingesetztw erden
>>
>> Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer
>> Meinung nach was?
>
> ist nach obiger Forderung eigentlich "Unfug"...Roadwarrioranbindung...
Was ist daran Unfug?
> letztlich ... eher die Frage wo, wie , durch wen( Hersteller/Produkt
> usw. ) wird gescannt...
War das nicht genau die Frage?
>im Tunnel scannen geht eh nicht ..was soll man
> bei verschlüsselten Daten scannen ?
Ähm... wenn die Astaro-Appliance Mails scannt wird sie das wohl mit
den Klartext-Daten machen, nicht wahr? Immerhin ist sie ja fürs
Entschlüsseln da.
>
> Mach dir lieber Gedanken wegen IPSec <-> Openvpn ...
> bei IPSec wird djedes Paket verschlüsselt und du bist für
> Datenintegrität zuständig....
Bitte ausführlicher. Ich kann beim besten Willen nicht erkennen dass
IPSec keine Datenintegrität sicherstellt. Eher im Gegenteil...
> bei OpenVPN wird der Datenstrom verschlüsselt und openVPN prüft selber
Ärgs. Erstens arbeitet auch VPN mit Datenpaketen, ganz genau wie jedes
Protokoll das auf IP aufsetzt. Zweitens stellen sich IPSec wie auch
OpenVPN-Tunnel für Verbindungen dadurch wie ganz normale
TCP/IP-Verbindungen dar. Ob auf höheren Protokollebenen mit logischen
Streams oder Paketorientiert gearbeitet wird ist in beiden Fällen
absolut irrelevant.
> ( deswegen geht openVPN auch über UDP ...IPSec nur als TCP)...
Das ist Unfug.
OpenVPN benutzt typischerweise UDP, kann aber auch per TCP benutzt
werden. IPSec benutzt die IP-Protokolle esp und ah sowie, wenn
NAT-Router getunnelt werden, UDP.
Dass man für Tunnel tunlichst kein TCP verwendet hat etwas
kompliziertere Gründe - hauptsächlich ist es sinnlos und oft störend,
verbindungsorientierte Protokolle in verbindungsorientierten
Protokollen zu verpacken.
> wird kritisch bei "weniger guten" Leitungen (UMTS?)..
Nö.
>und hängt bissel
> davon ab, wie sich die Anwendungen verhalten...
Ebenfalls Nö. Es ist für Anwendungen, die einen VPN-Tunnel nutzen
meiner Erfahrung nach vollkommen wurscht ob es sich dabei um IPSec,
OpenVPN, pptp, l2tp, l2tp in IPSec, ipv4 in ipv6, oder sonstwas
handelt. Das einzige Problem - aber das hat man bei allen diesen
Tunnelverfahren - ist, dass man für jede weitere Encapsulation mit
immer kleineren MTUs dasteht, weil Paketfragmentierung praktisch immer
Probleme macht bzw. nicht vorgesehen ist.
Ich würde völlig anders argumentieren:
OpenVPN ist extrem einfach zu konfigurieren. IPSec ist recht aufwendig
einzurichten und bietet nicht unbedingt einen Mehrwert.
Wer aber Windows-Clients ohne weitere Software ins VPN bringen will
landet bei IPSec (plus l2tp). Ebenso landet bei IPSec, wer
VPN-Appliances nutzen will, die IPSec benutzen. Wer kontrollieren kann
welche VPN-Technik genutzt wird, und keine Zeit, Lust, oder Kenntnisse
hat sich stundenlang mit IPSec zu beschäftigen sollte eher OpenVPN nehmen.
Im Übrigen lässt sich auch durch ssh-Verbindungen hervorragend
allerlei Zeug tunneln - gut für Ad-Hoc-VPNs mit begrenzten
Anforderungen und ohne Zugriff aufs Gateway, aber funktionierenden
ssh-Verbindungen.
Arno
>
> Fred
--
Arno Lehmann
IT-Service Lehmann
Sandstr. 6, 49080 Osnabrück
www.its-lehmann.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org
Arno Lehmann schrieb:
> Hallo,
>
> 18.11.2008 07:42, Fred Ockert wrote:
>> Ulrich Walter schrieb:
>>> Am Sonntag, 16. November 2008 18:32:41 schrieb Ralf Prengel:
>>>
>>>> Ulrich Walter schrieb:
>>>> Clients).
>>>>
>>>>> Ich möchte jetzt ein VPN-Gateway so einbinden, dass es den
>>>>> Außendienstmitarbeitern den Zugriff auf das interne Netz ermöglicht.
>>>>>
>>>>> Könnt ihr mir Hardware empfehlen (Preis möglichst im Bereich max.700,-
>>>>> EUR)?
>>>> 1)
>>>> Astaro:
>>>> Kostet mehr aber die Konfiguartion der VPN Clients ist sehr gut gelöst.
>>>> Openvpn unter Linux kann als Client eingesetztw erden
>>>
>>> Die Kontrolle der Mails auf Viren hört sich gut an, taugt dies Eurer
>>> Meinung nach was?
>>
>> ist nach obiger Forderung eigentlich "Unfug"...Roadwarrioranbindung...
>
> Was ist daran Unfug?
>
>> letztlich ... eher die Frage wo, wie , durch wen( Hersteller/Produkt
>> usw. ) wird gescannt...
>
> War das nicht genau die Frage?
>
>> im Tunnel scannen geht eh nicht ..was soll man
>> bei verschlüsselten Daten scannen ?
>
> Ähm... wenn die Astaro-Appliance Mails scannt wird sie das wohl mit den
> Klartext-Daten machen, nicht wahr? Immerhin ist sie ja fürs
> Entschlüsseln da.
wirklich oder vermutlich ..und das ist der Mailweg ?
>>
>> Mach dir lieber Gedanken wegen IPSec <-> Openvpn ...
>> bei IPSec wird djedes Paket verschlüsselt und du bist für
>> Datenintegrität zuständig....
>
> Bitte ausführlicher. Ich kann beim besten Willen nicht erkennen dass
> IPSec keine Datenintegrität sicherstellt. Eher im Gegenteil...
>
>> bei OpenVPN wird der Datenstrom verschlüsselt und openVPN prüft selber
>
> Ärgs. Erstens arbeitet auch VPN mit Datenpaketen, ganz genau wie jedes
> Protokoll das auf IP aufsetzt. Zweitens stellen sich IPSec wie auch
> OpenVPN-Tunnel für Verbindungen dadurch wie ganz normale
> TCP/IP-Verbindungen dar. Ob auf höheren Protokollebenen mit logischen
> Streams oder Paketorientiert gearbeitet wird ist in beiden Fällen
> absolut irrelevant.
>
>> ( deswegen geht openVPN auch über UDP ...IPSec nur als TCP)...
>
> Das ist Unfug.
>
> OpenVPN benutzt typischerweise UDP, kann aber auch per TCP benutzt
> werden. IPSec benutzt die IP-Protokolle esp und ah sowie, wenn
> NAT-Router getunnelt werden, UDP.
>
> Dass man für Tunnel tunlichst kein TCP verwendet hat etwas
> kompliziertere Gründe - hauptsächlich ist es sinnlos und oft störend,
> verbindungsorientierte Protokolle in verbindungsorientierten Protokollen
> zu verpacken.
>
>> wird kritisch bei "weniger guten" Leitungen (UMTS?)..
>
> Nö.
IPSec macht im Betrieb dann nur mehr Verbindungsabbrüche ...
praktisch.. etliches häufiger als später mit openVPN .. das muss nix
besagen, aber seitdem bin ich nicht mehr "begeistert"...
>
>> und hängt bissel davon ab, wie sich die Anwendungen verhalten...
>
> Ebenfalls Nö. Es ist für Anwendungen, die einen VPN-Tunnel nutzen meiner
> Erfahrung nach vollkommen wurscht ob es sich dabei um IPSec, OpenVPN,
> pptp, l2tp, l2tp in IPSec, ipv4 in ipv6, oder sonstwas handelt. Das
> einzige Problem - aber das hat man bei allen diesen Tunnelverfahren -
> ist, dass man für jede weitere Encapsulation mit immer kleineren MTUs
> dasteht, weil Paketfragmentierung praktisch immer Probleme macht bzw.
> nicht vorgesehen ist.
>
> Ich würde völlig anders argumentieren:
> OpenVPN ist extrem einfach zu konfigurieren. IPSec ist recht aufwendig
> einzurichten und bietet nicht unbedingt einen Mehrwert.
>
> Wer aber Windows-Clients ohne weitere Software ins VPN bringen will
> landet bei IPSec (plus l2tp). Ebenso landet bei IPSec, wer
> VPN-Appliances nutzen will, die IPSec benutzen. Wer kontrollieren kann
> welche VPN-Technik genutzt wird, und keine Zeit, Lust, oder Kenntnisse
> hat sich stundenlang mit IPSec zu beschäftigen sollte eher OpenVPN nehmen.
>
> Im Übrigen lässt sich auch durch ssh-Verbindungen hervorragend allerlei
> Zeug tunneln - gut für Ad-Hoc-VPNs mit begrenzten Anforderungen und ohne
> Zugriff aufs Gateway, aber funktionierenden ssh-Verbindungen.
>
> Arno
ja mit der schlussendlichen Argumentation gehe ich auch konform.. mit
IPSec "böse" Erfahrungen gemacht ..erst recht wenn Win2000-Clients
beteiligt sind.. primär verlorengengangene Verbindungen ( ohne wirklich
Ursachenforschung gemacht zu haben).. manche Anwendungen mögen das nicht.
Auch halte ich von billigen/kostengünstigen Versionen der "eierlegenden
Wollmilchsau" nicht viel. ..umsoweniger
>>
>> Fred
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Arno Lehmann -
Fred Ockert -
Ralf Prengel -
Ulrich Walter