Standortvernetzung mit VPN

[gnude]

Hallo,
ich möchte gerne eine Niederlassung an der Zentrale anbinden.
Für die Zentrale plane ich eine feste IP Adresse von der Telekom zu bekommen,
so das sie immer gleich zu erreichen ist.

Für den Internetzugang der beiden Netzwerke habe ich folgenden Router ausgesucht:
http://www.alternate.de/html/product/Ne ... &l2=Router
Der sollte hoffentlich in der Lage sein das VPN weiter zu leiten.
Auf beiden Seiten steht ein Linux Server, der in der Zentrale soll die VPN Verbindung annehmen und die Niederlassung soll diese aufbauen (weil sie ja zur festen IP verbindet).

1. Frage: Ist der Router dafür geeignet?
2. Frage: Welche Pakete nehme ich bei Debian 5 dafür und wie richte ich das ein?

[uname]

Bei einer Firmenvernetzung würde ich persönlich wahrscheinlich eher Router nehmen, die selbst VPN unterstützen. Ist wahrscheinlich einfacher zu konfigurieren und ausfallsicherer. Leider weiß ich nicht welche VPN-Protokolle zum Einsatz dabei kommen würden. Wäre wichtig wenn sich auch z.B. Linux-Clients verbinden sollen.

[gnude]

Ich dachte das eine Linux Lösung flexibler ist...
Würd ungern auf die VPN per Router zurückgreifen.

[gnude]

gibt es irgendwo nen guten howto für openvpn mit debian?

[gbotti]

Ich kann aus eigener Erfahrung sagen, dass sich OpenVPN auf allen Linuxen gleich verhält und eigentlich keine Umgewöhnung notwendig ist.

Such mal nach EasyRSA. Damit kann man relativ einfach die Schlüssel für den Server und die Clients erstellen. Dann braucht man noch einen DH-Schlüssel und ich hab mir für meinen Server noch eine ta.key erstellt.

Hier ist ein HOWTO von openvpn.org. Da wird auch auf easy-rsa eingegangen.

[Colttt]

gibt es irgendwo nen guten howto für openvpn mit debian?

das deutschsparachige wiki ist ebstimmt ne guet anlaufstelle
http://wiki.openvpn.eu/index.php/Hauptseite

[Alternativende]

Das Gerät unterstützt doch VPN, also wo ist das Problem? Zwei von den Geräten kaufen, einrichten und fertig ist es. Oder willst du unbedingt da ein Linux draufspielen? Dann könntest du OpenWRT verwenden. Ich persönlich mache das ganze mit OpenVPN und IpCops. Läuft aber nur auf normalen Rechnern.

Edit:
Nun hab ichs verstanden, der Linux Server soll eine Point to Point Verbindung aufbauen? Das funktioniert mit OpenVPN und Zertifikaten hier völlig problemlos und automatisch. OpenWRT und ddwrt sollen Openvpn auch drauf haben.

[gnude]

Diese Anleitung geht davon aus, das ein TUN Treiber im Kernel vorhanden ist.
Ist das bei einem "standart" Debian der Fall,
so das ich diese Anleitung auf Lenny befolgen kann??

[gbotti]

Ja.

[gnude]

so
ich habe jetzt diese anleitung abgearbeitet:
http://wiki.ubuntuusers.de/OpenVPN
und den debian server so eingerichtet.
wie sicher ist das?
hier steht ja z.b. "die authentifizierung des openvpn-servers ist für einen ersten test nicht notwendig, für spätere benutzung aus sicherheitsgründen aber empfohlen"
heisst das,
der server ist jetzt offen von aussen erreichbar,
ich möchte ihn so sperren das man das zertifikat und kennwort benötigt.

[gbotti]

Das hat aber nix mit der Verschlüsselung und dem Kennwort zu tun. Das ist "lediglich" die Prüfung, ob der Client am richtigen Server angemeldet wird...

Stichwort TLS...

[gnude]

genau das soll er ja machen.
der server soll nur clients mit dem richtigen key zulassen,
sonst kann sich ja jeder anmelden.
oder stehe ich jetzt auf dem schlauch???

[uname]

Also wenn du der Anleitung korrekt gefolgt bist lässt er nur entsprechende Zertifikate zu. Alternativ kann man im übrigen auch Preshared-Keys nutzen, die man ähnlich eines WLAN-Keys sicher überträgt. Beim Umstieg von TUN auf TAP und der Einbindung des zweiten Clients (Seagate Dockstar) ging das mit Preshared-Keys jedoch irgendwie nicht mehr und so habe ich meine eigene kleine CA gebaut.

[dftd]

1. Frage: Ist der Router dafür geeignet?

Für ein SSL-Vpn ist jeder Router geeignet. Nur bei PPTP und IPsec muss man aufpassen.

Ich dachte das eine Linux Lösung flexibler ist...
Würd ungern auf die VPN per Router zurückgreifen.

Ich wüsste nicht was OpenVPN bei einer Standortverbindung flexibler macht.
Es sein denn es sollen Leute von unterwegs oder von zu Hause auf das LAN zugreifen können oder die Last ist so groß, dass die Router das nicht stemmen können.
Wenn das nicht nicht so ist, dann würde ich die Router als VPN-Gateway nutzen.

Das ubuntuusers HOWTO ist sehr rudimentär. Dich mit der OpenVPN Webseite zu beschäftigen kann nicht schaden.

Um es "sicher" zu machen würde ich zudem einen Router mit einem DMZ-Port kaufen. Aber dann darauf achten, dass es eine echter DMZ-Port ist und nicht eine "exposed host" Funktion. Ausserdem findest Du auf der OpenVPN-Webseite auch angaben, wie man ein OpenVPN-Gateway härtet. Wenn Du das so nicht willst, sondern die Gateways einfach ins LAN stellst, dann sollte diese aber keine weiteren Dienste anbieten, sondern nur als Gateway dienen. Dann kannste aber auch gleich eine Firewall-Distribution wie IPCOP nehmen oder pfSense und in dem Fall die Anschaffungskosten für die Router sparen...^^

[gnude]

Hallo
erstmal vielen Dank für die Antworten!
Ich habe auch die Lösung über Router in Betracht gezogen,
möchte aber bei der Software Lösung mit Linux bleiben. Man weiss nie, wie sich das
alles Entwickelt.
Primär ist erstmal die Anbindung eines Standortes mit geringer Last geplant,
auf beiden Seiten stehen Linux Rechner, bietet sich also an.

Später soll auch die Möglichkeit von Unterwegs gegeben werden.
Sicherlich ist openvpn auch hier die bessere Wahl.

Ich weiss das da noch viel vor mir liegt,
da diese Vernetzung aber nicht mein einzigstes Projekt ist,
und meine Zeit zum Einlesen auch begrenzst ist, bin ich über jede Hilfe froh!