VPN-Gateway

[squawsys]

hallo liebes forum,

würde gerne mal eure meinung zu folgendem thema hören:

gegeben ist ein kleines w2k-netzwerk mit active directory (6 clients). meine aufgabe ist es für die aussendienstmitarbeiter einen vpn-zugang einzurichten. habe mir nun schon einiges an lektüren besorgt, bin mir aber nach wie vor unsicher, welche lösung ich für uns vorschlagen werde. welche erfahrungen habt ihr bisher gemacht, auf was muss ich besonders achten ? gut wäre eine open source-lösung .... jedoch ist es keine bedingung . danke für eure hilfe ....

[lordy]

Nach meiner Erfahrung gibt es zwei brauchbare Lösungen im OSS-Bereich:

- IPSec/L2TP: Linux mit OpenSWAN, l2tpd, pppd und Zertifikaten

- OpenVPN: Linux/Windows Server mit Zertifikaten oder statischen Schlüsseln

Die erste Lösung hat den Vorteil, das Sie ohne extra Software auf Client-Seite auskommt, ist aber dafür aufwändiger einzurichten.

Die zweite Lösung setzt eine Software-Installation vorraus ist aber deutlich einfacher zu konfigurieren und zu betreiben.

[squawsys]

hi lordy,

deine zweite antwort gefällt mir schon ganz gut - habe mir nämlich gerade von addison wesley ein linux/vpn buch besorgt, um meine wissenslücken etwas zu schliessen. muss mich erstmal in diese ganze schlüsselthematik reinlesen - hab sowas bislang noch nicht gemacht. wird aber vermutlich auf openVPN hinauslaufen . (?)

edit: bin mir aber noch nicht sicher, ob es ein linux o. windows-server wird ...

[k0ph]

Hi squawsys,

was Du vielleicht auch in Betracht ziehen könntest wäre ein Hardware VPN Gateway.

Ich persönlich habe gute Erfahrungen mit Geräten aus der Symantec Security Gateway Reihe gemacht. Bei Deiner angegebenen Firmengröße reicht sicherlich ein Gerät aus der 300er Reihe, wie z.B. das Symantec Gateway Security 320. Dort bekommst Du eine ziemlich verlässliche und supportete VPN Lösung für ca. 300 €. Ich denke das ist für Deine beschriebene Firmengröße nicht überdimensioniert. Vielleicht eine Überlegung wert?

Viele Grüße

k0ph

[janand2]

Hi,

nehm OpenVPN, ist eine super Software. Aber keinesfalls mit Preshared Keys (relativ unsicher), sondern mach das ganze über Zertifikate.

Ich hab OVPN in unsere Firma zusatzlich mit ADS Authentisierung implementiert.

[squawsys]

@k0ph :

habe mich mittlerweile für openvpn entschieden - bin sehr zufrieden mit dem ergebnis, bietet ne menge features u. wird ständig von einer grossen community weiterentwickelt. trotzdem danke für den tipp !

@janand2 :

hast recht - preshared keys habe ich auch drauf verzichtet. habe mir die erstellung der zertifikate wesentlich komplizierter vorgestellt - war aber ganz unspektakulär ...

[janand2]

Cool ist natürlich auch die Integration der ADS

[anesti]

hi

hast du vielleicht ne doku, wie du es gemacht hast?? also technisch gesehen, wäre interessant mal sich sowas durch zu lesen.

[squawsys]

@anesti :

alle relevanten infos findest du unter http://openvpn-forum.de. sowohl tutorials, als auch beispiel-configs, für alle möglichen szenarien.

[anesti]

danke;)

[janand2]

In dem oben genannten Forum findest du ebenfalls Einträge meinerseits, denke damit müsstest du klar kommen bezüglich ADS Integration, ansonsten melde dich einfach nochmal.

[SirVival]

Ich setze bei uns auch OpenVPN ein. Ebenfalls mit Zertifikaten ( Die Anbindung ans AD hat mich aber neugierig gemacht )

OpenVPN läuft übrigens auch stabil und gut einsetzbar auf openwrt fähigen Routern.

Sinnvoll, wenn man keinen Client installieren will und eine einstecken&glücklich sein Lösung sucht.

[janand2]

@SirVival:

die Benutzer werden über Winbind gegenüber der ADS authorsiert.

Such einfach mal im OpenVPN Forum, da sind einige Einträge von mir (gleicher Benutzername)... wenn du nicht klar kommst meld dich einfach nochmal.

Grüsse

Janand2

[SirVival]

danke, dann ists klar

für Squid etc gehts ja ähnlich

bin grade am überlegen ob mans nicht ggfs eleganter direkt über ldap machen kann.

Ich meld mich, wenn mir was einfällt

[janand2]

Wenn du was rausgefunden hast, dann meld dich einfach nochmal.

Wobei ich mit meiner jetzigen Lösung super zufrieden bin.