| 1 |
Hi, |
| 2 |
> Hi, |
| 3 |
> |
| 4 |
> Volker Katz schrieb: |
| 5 |
> > Soweit ich das gesehen habe, kann OpenVPN das alles. Nun habe ich noch |
| 6 |
> > ein Problem: |
| 7 |
> > Was passiert, wenn jemand auf seinem Notebook händisch eine IP-Adresse |
| 8 |
> > aus dem virtuellen Subnetz eingibt? Kann ich ihn auf dem Router irgendwie |
| 9 |
> > abblocken - vielleicht nach dem Motto, dass diese Adressen nicht von ethX |
| 10 |
> > kommen dürfen? |
| 11 |
|
| 12 |
legt OpenVPN nicht auch für die Tunnel eigene Netzwerk-Devices an. Ich hab das |
| 13 |
zwar die letzte Zeit nicht mehr gemacht, aber damals zu den Zeiten von |
| 14 |
FreeSWAN wurde die Tunnel über ein eigenes Interface (ipsecX) eingerichtet, |
| 15 |
VTUN und PPTP macht dies genauso. Daher könnte man dieses Problem über |
| 16 |
entsprechende Firewall-Regeln behandeln. Zum Tunnel-Server wird sich auf dem |
| 17 |
normalen Netzwerkdevice (ethX z.B.) verbunden und IP-Adressen, die eigentlich |
| 18 |
für den Tunnel gedacht sind, gesperrt. Für die Tunneldevices werden nur die |
| 19 |
vorgesenen IP-Adressbereiche erlaubt. Beim PPTP kann man auch die IP-Adressen |
| 20 |
für den Tunnel selbst vergeben, so daß man auch keine Probleme mit doppelter |
| 21 |
Vergabe bekommen sollte. |
| 22 |
|
| 23 |
> |
| 24 |
> Mit einem V-LAN (Virtuell LAN) fähigen Router könntest du das und |
| 25 |
> wahrscheinlich dann sogar auf die VPN-Lösung komplett verzichten. |
| 26 |
> V-LAN's lassen sich meines Wissens nach so einrichten, dass sie nur |
| 27 |
> Rechner ins Netzwerk lassen, die sich authentifizieren können. Wenn ich |
| 28 |
> mich richtig erinnere, läuft die Authentifizierung über Schlüssel und |
| 29 |
> Zertifikate ab. Habe das nie gemacht, sondern nur drüber gelesen. |
| 30 |
|
| 31 |
Hier hast Du VLAN und VPN verwechselt. VLANs werden auf den Switchen |
| 32 |
eingerichtet und damit eine logische Trennung der Netzwerke erreicht. Im |
| 33 |
Prinzip teilt man hiermit ein physikalisches Netz in mehrere logische Netze |
| 34 |
auf, wo der Switch dafür sorgt, daß Pakete von einem VLAN nicht ins andere |
| 35 |
gelangen und die Verbindung zwischen verschiedenen VLAN muß dann wieder ein |
| 36 |
Router übernehmen (der ggf. über einen physikalischen LAN-Anschluß mehrere |
| 37 |
VLANs erhält, sog. Truncs). Eine Authentisierung erfolgt jedoch nicht. |
| 38 |
|
| 39 |
> |
| 40 |
> Ich würde VPNs nur einsetzen, wenn ich zwei Netzwerke (oder Rechner und |
| 41 |
> Netzwerk) über das Internet verbinden will. Hinter einem Router sind |
| 42 |
> V-LANs eleganter. |
| 43 |
> |
| 44 |
> > Eine weitere Bedingung wäre, dass das ganz möglichst einfach für unsere |
| 45 |
> > Windows-User ist. Am liebsten wäre mir, sie bräuchten gar nichts zu |
| 46 |
> > installieren. Aber wenn, sollte es möglichst einfach sein. Ich habe |
| 47 |
> > gesehen, zu OpenVPN gibt es einen Windows-Client mit GUI. Hat den jemand |
| 48 |
> > mal ausprobiert? Ist der absolut unkompliziert? |
| 49 |
|
| 50 |
Für Windows ist sicherlich PPTP eine Möglichkeit, da dies mitgeliefert wird |
| 51 |
(für viele Win-Versionen), IPSec ist ja erst bei neueren Versionen in |
| 52 |
irgendeiner Form mit dabei (wie man das aber einrichtet, keine Ahnung). |
| 53 |
Soweit ich weiß, gibt es aber hierfür keine einfachen GUIs. |
| 54 |
|
| 55 |
Soweit ich das verstanden habe, möchtest Du irgendwie ein lokales Netz |
| 56 |
absichern - d.h. keine VPN-Tunnel übers Internet. Da wäre PPTP sicherlich |
| 57 |
eine Wahl, für VPN über Internet muß man sich aber bewust sein, das PPTP |
| 58 |
nicht eine besonders sichere VPN-Variante ist. |
| 59 |
|
| 60 |
Jedoch, wenn es nur um die Absicherung von WLAN gehen sollte (oder kann sich |
| 61 |
jeder bei Dir in der Wohnung ins Netz einstöpseln?), dafür gibt es doch auch |
| 62 |
bereits Verschlüsselungen für den Datentransfer (WEP und Co.), doppelte |
| 63 |
Verschlüsselung bietet eben nicht umbedingt mehr Sicherheit, jedoch mehr |
| 64 |
Verwaltung, Fehlerstellen usw. |
| 65 |
|
| 66 |
Gruß |
| 67 |
|
| 68 |
Tobias |
| 69 |
|
| 70 |
-- |
| 71 |
Tobias Brinkert |
| 72 |
eMail: T.Brinkert@××××××××.de |
| 73 |
WWW: www.SemiByte.de |
Archives