Vpn zwischen zwei Büros

Liebe/-r Experte/-in,
ich bin noch recht neu im Thema vpn. Was ich weiß, ist, dass ein VPN quasi ein verlängertes LAN Kabel ist. Beide Netze müssen verschiedenen IP-Bereiche haben und man braucht 4 Adressen. Spweit so gut die Theorie.

Wie sieht das in der Praxis aus? Wenn ich mich als Einzelclient einwähle, läuft in der Fa ein VPN Server und auf meinem Laptop/Homeofficerechner ein VPN Client.

Wie sieht das bei einer site2site Vernetzung aus? Kann ich die Verbindung im Router (speedport) oder in der Firewall (securepoint) hinterlegen? Oder muss ich auf jedem Arbeitsplatzrechner nen Client installieren? Allerdings währe das doch Humbug, weil ich dann 5 Tunnel aufmachen würde, oder nicht?

Die Idee ist, dass es einen Volltunnel gibt. Die Kollegen sollen sich gar nicht im Lokalen Netz anmelden, sondern nur via remote in der Domäne. Auch Internet sollte wenn möglich nur über das „Hauptnetz“ laufen.

ich bedanke mich für eure Mühe
Oliver

Hallo Oliver,

Es gibt tatsächlich Leute, die lieber VPN-Clients auf jedem Rechner mit Zugang verwenden. Das hat einige Nachteile, aber auch Vorteile. Aber für den beschriebenen Zweck taugt das Client-Konzept nicht besonders gut, da gerade der Aufbau eines VPNs vor Anmeldung häufig ein Problem ist.

Ein Site-2-Site VPN erlaubt vollen Verkehr in beide Richtungen. Ein Client-2-Site funktioniert nimmer nur vom Client zum Server, nicht umgekehrt.

Aber ein Site-2-Site VPN muss von und zu zentralen Rechnern/Routern aufgebaut werden. Wenn auf beiden Seiten das gleiche Gerät steht, ist es am einfachsten - hier müssten das zwei Securepoint Gateways sein. Die würden ein always-on Site-2-Site VPN aufbauen. Das Routing sollte bei korrekter VPN-Tunnel-Konfiguration automatisch klappen - sofern die Securepoints nicht Default-Gateway sind, was sie auf jeden Fall sein sollten, sonst sind sie ziemlich nutzlos .

Gruß
Clemens

Hallo Clemens,
waow, das nenne ich mal fix! Danke!
So schlau war man ja dann doch. Auf beiden Seiten steht eine identische securepoint.

>>Das Routing sollte bei korrekter VPN-Tunnel- >>Konfiguration automatisch klappen.

Was heißt das im Detail? Was muss ich beachten?
Wie gesagt, in der Theorie müsste das LAN-Kabel wie verlängert sein. Always on heißt, dass der User von der VPN Geschichte anmeldetechnisch gar nichts mit bekommt (Ok, außer dass es langsam ist)? Er meldet sich wie gewohnt an der Domäne an.

Bei der securepoint habe ich zwei Netze. Das eigendliche LAN auf eth1 und so eine Art Unternetz auf ETH0 zwischen Router und sp.
Nun muss ich wohl eine eth2 konfigurieren?

Gruß
Oliver

Hallo!

Ein Site-To-Site-VPN verbindet zwei Standorte über zwei Router - so als wenn es eine eigene Standleitung wäre. Die Clients bekommen hiervon gar nichts mit - und natürlich benötigen sie auch keine eigene VPN-Client-Software.

Umgekehrt sind daher natürlich auch keinerlei Einschränkungen möglich, die in einem normalen Netzwerk nicht auch möglich wären.

Wo sich die Kollegen anmelden, hängt also davon ab, wo der Anmeldeserver steht!

Gruß
GG

Hi Oliver,

korrekt, Du kannst das am EInfachsten über Site2Site VPN machen. Ich bin zwar überhaupt kein Freund von Internet VPN`s, ist ja aber ein weit verbreitetes und einfaches Mittel.

Du brauchst:

auf beiden Seiten VPN fähige Router
auf beiden Seiten idealerweise eine statische IP Adresse Deines Internetproviders
(geht vom Prinzip her auch per DynDNS, dann wird das mit dem VPN Zertifikaten aber etwas komplizierter)

Ähnlich wie beim „VPN Server“ (nennen wir es VPN Gateway) und dem VPN Client gehst Du auch bei der Site2Site VPN Verbindung vor.

Der eine Router ist das VPN Gateway, der andere Router ist der VPN Client.
Da die Verbindung zwischen den Routern direkt aufgebaut wird, ist auf den einzelnen Rechnern kein Client notwendig.

Beide Standort LAN müssen unterschiedliche Ip Adresskreise haben. z.B. 192.168.1.x am Standort 1 und 192.168.2.x am Standort 2.

Das VPN baut ein sogenanntes Transfernetz zwischen den Standorten auf, durch welches die Verbindungen zwischen den beiden LAN Netzen geroutet werden.

Daher stimmt Dein Ansatz mit den 4 IP Adressen vom Grundsatz her schon.

Es gibt allerdings viele VPN Arten, welche sich im Wesentlichen durch unterschiedlich hohe Sicherheitsmechanismen voneinander unterscheiden. Da Du die Verbindung über das öffentlich Internet aufbauen willst, würde ich mir hier besondere Gedanken machen!

VPN Verbindungen über SSL Zertifikate (hhtps) oder gar PPTP Verbindungen sind zwar schnell eingerichtet aber dafür für fast jeden Hacker überhaupt keine Hürde! GErade bei der Vernetzung von Firmen Netzen fällt das eigentlich aus. Das ist ganz nett, wenn man von Unterwegs auf seine Musiksammlung zuhause zugreifen will, für mehr taugt das aber nicht.

Du solltest daher mindestens ein sogenanntes IPsec VPN mit Preshared Key einrichten. Dabei wird die Verbindung nicht nur relativ hoch verschlüsselt. Zusätzlich muss die Gegenstelle auch noch einen Key kennen (ähnlich dem WLAN WPA2 Key), um auf Daten des anderen Standortes zugreifen zu können. Das macht den Angriff bedeutend schwieriger (wurde aber auch schon geknackt…)

Prüfe daher bitte vorher, ob Deine Router an den Standorten IPsec VPN ermöglichen. Viele einfache Router können das leider nicht.

Wenn Du eine gute Firewall im Einsatz hast (leider sagt mir Securepoint gar nichts), kannst Du auf dieser in der Regel sehr einfach mittels eines Assistenten VPN Zertifikate erstellen und dort den Preshared Key anlegen. Danach wird auf der Gegenseite im Router das IPsec VPN Zertifikat installiert und der Preshared Key eingetragen. Wenn Du auf beiden Seiten feste IP Adressen Deines Providers hast, finden sich nach dem VPN Start die beiden Standorte fast von alleine. Wenn Du mit DynDNS arbeiten musst, weil Du nur dynamische IP Adressen wie bei einem Privatkundenprodukt hast, müssen beide Router auch noch DynDNS unterstützen. Spätestens jetzt scheidet nach meinem Wissen der Speedport aus!

Auf der Firewall (VPN Gateway) kannst Du jetzt noch definieren, auf welche IP Adressen im LAN der entfernte Standort zugreifen darf und anders herum. In der Regel richtet man hier zunächst das sog. Any to Any ein. Jeder Rechner darf alle Rechner des anderen Standortes erreichen. Einschränungen kann man dann nachher immer noch vornehmen.

Eine sehr gute und professionelle Lösung für Deine Anforderung stellt die Firewall von Astaro ab V8 mit dem sog. VPN RED Device dar. Diese Kombination passt exakt auf Deine Anforderung und ist auch für kleinere Firmennetze mit einem extrem hohen Sicherheitsstandard und Funktionsumfang sehr bezahlbar. Man trägt in der Astaro nur einmal die Seriennummer und MAC Adresse des VPN RED Device ein und der Rest konfiguriert sich komplett alleine. Selbst bei dynamischen IP Adressen!
Man kann aber auch einfach 2 Astaro Firewalls mittels Site2Site VPN aufsetzen. Das machen die dank Assistenten fast von Alleine.

Kannst Dich ja noch einmal melden, wenn Du mehr Infos brauchst. Ist per Forum nicht so ganz einfach, da VPN sehr stark vom jeweiligen Router abhängt. Daher hätte eine Erklärung hier keine Allgemeingültigkeit. Je nachdem wo Deine Firmenstandorte sind, kann ch Dir auch bei der EInrichtung vor Ort helfen.

Gruß, Marcus

Zuerst einmal eine Korrektur:
„- sofern die Securepoints nicht Default-Gateway sind“
muss natürlich
„- sofern die Securepoints Default-Gateway sind“
heißen.

Ich kenne mich der SP nicht aus, aber üblicherweise werden keine eth*-Schnittstellen für VPN-Tunnels benutzt. Wenn eine Schnittstelle auftaucht (was nicht zwangsweise so ist), dann eher sowas wie tunnel* (in Verbindung mit OpenVPN tap* or tun*).

Und damit kommen wir zum schwierigen Teil. Die SP kann OpenVPN, was ein SSL-VPN ist, und IPSec mit PSK oder Zertifikat. Beides ist geeignet, ich würde aber IPSec mit PSK empfehlen. Dazu sollte (laut SP-Forum) eine Anleitung vorliegen, die das Einrichten beschreibt. Und zwar besser, als ich das in allgemeinen Begriffen könnte. Trotzdem mal ganz kurz die Grundlagen:

Zu einem IPSec VPN gehört die Festlegung der Verbindungsdaten:
* IP der Gegenseite, Verschlüsselung für die Aushandlung der eigentlichen Verschlüsselung und für die Identifizierung des Partners. Meistens wählt man zur Identifizierung als „Zugriffsberechtigung“ einen sogenannten Pre-Shared Key (PSK), das ist nicht anderes als ein möglichst langes Kennwort.
Dieser Teil wird häufig „Phase 1“ genannt.

* Eigentliche Verschlüsselung und Absicherung, sowie Austauch von Netzwerkinformationen (gewünschter und gewährter Zugriff).
Dieser Teil wird häufig „Phase 2“ genannt.

* Firewall-Definitionen, um den Verkehr über den Tunnel zu erlauben.

Als „Verschlüsselung“ habe ich zusammengefasst:
* Verschlüsselungsalgorithmus und Schlüssellänge. Bsp. AES und 192bit.
* Authentifizierungsverfahren. Hier gibt es SHA-1, SHA-2 (256bit) und MD5. Letzteres gilt als zu leicht knackbar, und wird deshalb nicht mehr empfohlen.
Die Authentifizierung soll sicherstellen, dass Pakete auch wirklich von der erwarteten Gegenstelle kommen.
* Diffie-Hellman-Kodierung. Diese (optionale) Komponente, häufig auch PFS (Perfect Forward Security) genannt, soll die Fälschung von Paketen verhindern.

Ich hoffe, das war nicht zuviel und nicht zuwenig, um eine Ahnung von der Konfiguration zu bekommen. Mit der tatsächlichen Konfiguration kann ich leider nicht helfen. Aber wenn Du präzise Verständnisfragen hast, wahrscheinlich schon.

Gruß
Clemens

Hi,
um zwei Standort miteinander per VPN zu verbinden, schlage ich vor, dass Du jeweils einen expliziten Gateway benutzt (diese können auch je nach Ausführung weitere Optionen/Funktionen im jeweiligen LAN übernehmen, z.B. Routing, DHCP etc.).

Wenn Du die beiden Gateways verbindest (Site2Site), hast Du ein LAN, in dem die User ohne Software-Client auf beiden Sites arbeiten können.

Sollten die User unterwegs sein, kamm mittels eines SW-Clients eine Verbindung ins VPN Netz hergestellt werden.

Ein Anbieter ist beispielsweise die Fa. Watchguard.
Mehr Infos gibts hier:
http://www.watchguard.com/international/de/products/…

Gruß
Boom