Fragen zum Thema Standortvernetzung

[gnude]

Hallo
ich möchte gern 2 Standorte Verbinden und habe nun Fragen dazu:
Erstmal zur Ausgangsbasis:
Im Moment wird das Internet noch über KenDSL genuitzt,
aber in absehbarer Zukunft wird ein DSL Router dafür eingesetzt.
Dieser Router bietet ja dank NAT bereits einfachen Schutz vor dem Internet.

Das interne Netz arbeitet mit festen IP Adressen,
unter anderem ist ein Debian 5 Rechner vorhanden, der als Server dient.
Nun ist meine Idee (ohne das ich zu beginn dieses Postings auf die Technikdetails eingehen möchte, dazu später mehr),
das ich auf dem Debian Server einen VPN Server installiere, und auf dem DSL Router den entsprechenden Port freigebe.
Vom Internetanbieter möchte ich mir eine feste IP Adresse geben lassen, so das ich von den Geschäftsstellen leichter an mein Netz komme.

Nun soll in der Aussenstelle auch ein Rechner mit Linux stehen, der die Verbindung zur Hauptgeschäftsstelle aufbaut und dann das Lan zur Verfügung stellt, so das ich auch hier z.b. Windows Rechner anschliessen kann.
So sollen die Windows Rechner der Niederlassung Dienste Nutzen, die im Netz der Hauptgeschäftsstelle verfügbar sind (Datenbank, eMail, Intranet etc).

Jetzt kommen meine drei Fragen:

1. Ist dieer Aufbau in der Theorie so richtig und ich könnte mich an die praktische Umsetzung wagen?

2. Ich lese immer wieder, das man mit SSH auch Dienste tunneln kann. Ist das eine Sinnvolle option???

3. Nun gibt es ja auch DSL-Router mit VPN zu kaufen, z.b.
http://www.mix-computer.de/html/product ... leId=56730
welche Vorteile oder Nachteile hat eine solche Lösung? Ist sowas schwieriger einzurichten?

[crane]

Hallo
ich möchte gern 2 Standorte Verbinden und habe nun Fragen dazu:
Erstmal zur Ausgangsbasis:
Im Moment wird das Internet noch über KenDSL genuitzt,
aber in absehbarer Zukunft wird ein DSL Router dafür eingesetzt.
Dieser Router bietet ja dank NAT bereits einfachen Schutz vor dem Internet.

Naja zumindest sind alle Ports (d.h. Eingangstore von außen in dein Netzwerk) standardmäßig gesperrt. Du kannst also entweder einen DSL-Router mit integreritem Modem oder ein DSL-Modem und Router extra verwenden.

Das interne Netz arbeitet mit festen IP Adressen,
unter anderem ist ein Debian 5 Rechner vorhanden, der als Server dient.
Nun ist meine Idee (ohne das ich zu beginn dieses Postings auf die Technikdetails eingehen möchte, dazu später mehr),
das ich auf dem Debian Server einen VPN Server installiere, und auf dem DSL Router den entsprechenden Port freigebe.

Das ist möglich,ja.

Vom Internetanbieter möchte ich mir eine feste IP Adresse geben lassen, so das ich von den Geschäftsstellen leichter an mein Netz komme.

Alternativ kannst du dir auch einen Account bei einem dyndns-Anbieter machen und die Zugangsdaten in den jeweiligen Router eintragen. So kannst du dann über eine Webadresse wie example.dyndns.org:12345 auf den Server von außen zugreifen, was in dem Fall wahrscheinlich viel Geld sparen würde.

Nun soll in der Aussenstelle auch ein Rechner mit Linux stehen, der die Verbindung zur Hauptgeschäftsstelle aufbaut und dann das Lan zur Verfügung stellt, so das ich auch hier z.b. Windows Rechner anschliessen kann.
So sollen die Windows Rechner der Niederlassung Dienste Nutzen, die im Netz der Hauptgeschäftsstelle verfügbar sind (Datenbank, eMail, Intranet etc).

Jetzt kommen meine drei Fragen:

1. Ist dieer Aufbau in der Theorie so richtig und ich könnte mich an die praktische Umsetzung wagen?

2. Ich lese immer wieder, das man mit SSH auch Dienste tunneln kann. Ist das eine Sinnvolle option???

3. Nun gibt es ja auch DSL-Router mit VPN zu kaufen, z.b.
http://www.mix-computer.de/html/product ... leId=56730
welche Vorteile oder Nachteile hat eine solche Lösung? Ist sowas schwieriger einzurichten?

1. Ja, wie oben schon geschieben, wäre das eine denkbare Konfiguration.
2. Grundsätzlich lässt sich für den Zugriff auf einen Dienst auch ssh nutzen. Das hat aber den Nachteil, dass auf jedem Server, auf den du zugreifen möchtest (Datenbank, Email, Intranet etc), auch ein ssh-Server laufen muss (sofern es nicht auf dem gleichen Rechner ist).
Grundsätzlich gibt es folgenden Unterschied zwischen ssh und vpn:Du autentifizierst dich also mit einem Benutzernamen, Kennwort und Zertifikat am VPN-Server und dieser gewährt dir dann Zugriff auf das Netzwerk (z.B. Zugriff mit einem Laptop von außen ins Firmennetzwerk). Die Server, die hinter dem VPN-Server stehen, merken nicht, dass du von außerhalb des Netzwerkes kommst.

Bei SSH baust du jeweils eine Verbindung zwischen dem SSH-client und dem Server auf. Du kannst dann auf diesem Server Kommandos ausführen, Daten übertragen etc, aber du hast keinen Zugriff auf das Ntzwerk (also auf andere PCs, Intranet etc.)
Beiden Protokollen ist gemein, dass sie die Datenübertragung zwischen beiden Punkten verschlüsseln.

3. So etwas hat einfach den Vorteil, dass der eigentliche VPN-Server, den du in diesem Fall mit einem Debian-Server realisieren würdest, bereits in dem DSL-Router integriert ist und dafür kein zusätzlicher Rechner im Netzwerk benötigt wird. Die Einrichtung des VPN-Servers auf einem Router ist im Grunde einfache zu realisieren als auf einem extra Server, da in der Regel alle Netzwerkkomponenten, auf die zugegriffen werden soll, sowieso mit dem Router verbunden sind und nicht extra zusätzlich mit dem Server verbunden werden müssen.

Grüße

[gnude]

Ok
ich habe jetzt einige Produkte angeschaut und Handbücher überflogen und
bin zu folgenden Entschluss gekommen.

Die VPN Software soll auf dem Linux Server laufen. Das kostet bedeutent weniger, und
ist wohl auch flexibler.
Als DSL Router hab ich mir ein Modell von D-Link ausgesucht das VPN Passthrough unterstützt.
Laut Anleitung kann man auch eine feste IP vom DSL Anbieter einfügen.
Die feste IP werd ich mir auf jeden Fall vom Anbieter zuweisen lassen,
diese dann hier eintragen.

Es sollte mit der IP dann sicherlich kein Problem sein von aussen eine Einwahl in die Firma zu bekommen.
Die Aussenstellen können doch ruhig wechselnde IP's behalten, wenn sie getrennt werden, kommt halt eine
Wiedereinwahl und fertig, oder?

Der Router bietet auch eine SPI Firewallfunktion neben NAT und damit sollte für die Sicherheit auf dieser Ebene genüge getan sein.


Welche Software benötige ich nun für die Einrichtung under Debian,
und wie konfiguriere ich diese am besten?

[DynaBlaster]

Grundsätzlich kannst du OpenVPN oder IPSEC als Grundlage für die Standortanbindung verwenden. OpenVPN ist imho leichter zu konfigurieren und ist auch defintiv genügsamer, was die VPN Passthrough-Fähigkeiten der Router an den anzubindenden Standorten angeht. Dafür ist IPSEC der Quasi-Industrie-Standard und viele Router der etwas gehobeneren Preisklasse können von Haus aus als IPSEC-Client oder als IPSEC-Server arbeiten. Das würde einen zusätzlichen Rechner an den jeweiligen Standorten einsparen - auch unter stromtechnischen Gesichtspunkten eine durchaus sinnvolle Überlegung. Sofern der Debian-Server am Hauptstandort eh 24/7 läuft, spricht technisch nichts dagegen, den zum VPN-Server zu machen. Sicherheitstechnisch sieht das natürlich anders aus, da der Server oder zumindest der VPN-Dienst direkt aus dem Internet erreichbar ist. Eine Sicherheistlücke in der VPN-Serversoftware und du hast ein grösseres Problem, als wenn der Angreifer sich von diesem System erst zum nächsten mit den tatsächlich wichtigen Diensten und Daten vorarbeiten muss

Je nachdem wie professionell das Ganze sein muss, kannst du natürlich auch einen stinknormalen Linksys WRT-Router oder ähnliches nehmen, eine freie Firmware wie bspw. OpenWRT drüberbügeln und dann IPSEC oder OpenVPN nachinstallieren.