VPN für Doofe....

04/11/2009 - 18:09 von Bernd Hohmann | Report spam
Irgendwie hab ich auch Blockade...

Normalerweise mach ich VPNs (für Wartungszwecke im Kundennetz) so, dass
ich billiges PPTP auf dem billigen DSL-Router des Kunden mache.

Nun hab ich Kundenseitig 'ne zickige Diva (bintec r1200), die ein
angepasstes PPTP-Setup braucht - das missfàllt mir etwas.

Frage 1: Kann ich auf einer Linuxbüchse hinter dem Router irgendeinen
VPN-Server aufsetzen, dem Router ein Portforwarding verpassen und gut ist?

Frage 2: wenn (1) geht, welche einfache VPN-Lösung gibt es, wofür es
Server wie Clientseitig einfache Server+Client Programme für Windows und
Debian/Ubuntu gibt die keine grösseren Installationsklimmzüge erfordern
(ausser vielleicht User, Kennwort oder Zertifikat eintragen - gut ist).

Da gibt es nàmlich 2 Probleme:

1) Wir virtualisieren verstàrkt Windows-Clients und drücken dem Chef
einen USB-Stick in die Hand mit dessen Hilfe er sich problemlos von
Zuhause ins Firmennetz einwàhlen kann. Zzt. geht das über ein einfaches
Batch und eine RAS-Datei für PPTP, das neue System sollte auf dem
USB-Stick sàmtliche Hilfsprogramme enthalten, mit dem der Zugriff von
einem beliebigen Windows-PC aus möglich ist (mit Option, desgleichen von
einem Debian/Ubuntu-PC zu machen).

2) Einfach deshalb, weil ich für die Installation irgendeinen
Mitarbeiter auf eine Windows-Kiste locken muss der dort eine
Fernwartungssoftware startet damit ich dort den VPN-Server installieren
und konfigurieren kann (Router ist nicht das Problem, da haben wir in
der Regel Remotezugriff).

Ideen, Hilfestellungen?

Bernd

Visit http://www.nixwill.de and http://www.spammichvoll.de
jean.oliver@nixwill.de & bernado.bernhardi@spammichvoll.de
 

Lesen sie die antworten

#1 Juergen Ilse
04/11/2009 - 19:19 | Warnen spam
Hallo,

Bernd Hohmann wrote:
Irgendwie hab ich auch Blockade...
Normalerweise mach ich VPNs (für Wartungszwecke im Kundennetz) so, dass
ich billiges PPTP auf dem billigen DSL-Router des Kunden mache.
Nun hab ich Kundenseitig 'ne zickige Diva (bintec r1200), die ein
angepasstes PPTP-Setup braucht - das missfàllt mir etwas.
Frage 1: Kann ich auf einer Linuxbüchse hinter dem Router irgendeinen
VPN-Server aufsetzen, dem Router ein Portforwarding verpassen und gut ist?



Mit IPSEC oder PPTP wird das nicht so einfach gehen, da zusaetzlich zu
einem UDP-Port (oder war es bei PPTP TCP?) auch noch ein (i.d.R nicht
gerade "nat-freundliches") weiteres Protokoll (ESP, AH, GRE) geforwarded
werden muesste (was viele "Billigrouter" evt. nicht koennen und was bei
AH ohnehin nicht funktionieren wuerde). Bei IPSEC mit NATT ginge es aber
trotzdem (fuer NATT wird bei IPSEC IIRC UDP/4500 verwendet).

Frage 2: wenn (1) geht, welche einfache VPN-Lösung gibt es, wofür es
Server wie Clientseitig einfache Server+Client Programme für Windows und
Debian/Ubuntu gibt die keine grösseren Installationsklimmzüge erfordern
(ausser vielleicht User, Kennwort oder Zertifikat eintragen - gut ist).



OPENVPN waere eine Moeglichkeit (fuer viele Systeme, einschliesslich
Linux, Windows und MacOS X verfuegbar, und benoetigt nur einen UDP oder
TCP Port.

Da gibt es nàmlich 2 Probleme:
1) Wir virtualisieren verstàrkt Windows-Clients und drücken dem Chef
einen USB-Stick in die Hand mit dessen Hilfe er sich problemlos von
Zuhause ins Firmennetz einwàhlen kann. Zzt. geht das über ein einfaches
Batch und eine RAS-Datei für PPTP, das neue System sollte auf dem
USB-Stick sàmtliche Hilfsprogramme enthalten, mit dem der Zugriff von
einem beliebigen Windows-PC aus möglich ist (mit Option, desgleichen von
einem Debian/Ubuntu-PC zu machen).



Der VPN-Client wird (egal, was man da verwendet) mit Admin-Rechten
installiert werden muessen, und damit der Verbindungsaufbau ohne
Admin-Rechte moeglich ist, wird man wohl einen im Hintergrund lau-
fenden Dienst dafuer brauchen (ist zumindest beim Cisco-VPN-Client
so, der eine simple Moeglichkeit waere, wenn in der Firma ein Cisco-
Geraet als VPN-Endpunkt zum Einsatz kaeme ...).

2) Einfach deshalb, weil ich für die Installation irgendeinen
Mitarbeiter auf eine Windows-Kiste locken muss der dort eine
Fernwartungssoftware startet damit ich dort den VPN-Server installieren
und konfigurieren kann (Router ist nicht das Problem, da haben wir in
der Regel Remotezugriff).
Ideen, Hilfestellungen?



Eine "remote-Administrationsmoeglichkeit" koennte mit "putty" und vorkon-
figurierter "Session mit remote-Portforwarding" realisiert werden (da
rdesktop oder VNC nur einen TCP-Port benoetigt, koennte man als anderen
Endpunkt z.B. einen Linux-Server bereitstellen, auf den man sich dann
zwecks Remote-Konfiguration des Kundesrechners verbinden koennte).
Das waere quasi der "Billig-Ersatz" fuer Loesungen wie "teamviewer"
oder dergleichen ... Gab es fuer VNC nicht auch eine Loesung, die
ohne die von mir erwaehnte SSH-Session fuer den Transport auskommt?
Ich bin mir jetzt gerade nicht sicher, weil ich das dann noch nie ver-
wendet habe ...

Abgesehen davon sollte eine OpenVPN-Installation nicht so schwierig sein
(die Konfiguration kann man ja schon fuer dn Kunden vorbereiten).
Das sind jetzt zwar nur einige (noch nicht vollstaendig ausgearbeitete)
Ideen, aber vielleicht helfen sie dir trotzdem weiter ...

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen