1 |
Hi, |
2 |
> Hi, |
3 |
> |
4 |
> Volker Katz schrieb: |
5 |
> > Soweit ich das gesehen habe, kann OpenVPN das alles. Nun habe ich noch |
6 |
> > ein Problem: |
7 |
> > Was passiert, wenn jemand auf seinem Notebook händisch eine IP-Adresse |
8 |
> > aus dem virtuellen Subnetz eingibt? Kann ich ihn auf dem Router irgendwie |
9 |
> > abblocken - vielleicht nach dem Motto, dass diese Adressen nicht von ethX |
10 |
> > kommen dürfen? |
11 |
|
12 |
legt OpenVPN nicht auch für die Tunnel eigene Netzwerk-Devices an. Ich hab das |
13 |
zwar die letzte Zeit nicht mehr gemacht, aber damals zu den Zeiten von |
14 |
FreeSWAN wurde die Tunnel über ein eigenes Interface (ipsecX) eingerichtet, |
15 |
VTUN und PPTP macht dies genauso. Daher könnte man dieses Problem über |
16 |
entsprechende Firewall-Regeln behandeln. Zum Tunnel-Server wird sich auf dem |
17 |
normalen Netzwerkdevice (ethX z.B.) verbunden und IP-Adressen, die eigentlich |
18 |
für den Tunnel gedacht sind, gesperrt. Für die Tunneldevices werden nur die |
19 |
vorgesenen IP-Adressbereiche erlaubt. Beim PPTP kann man auch die IP-Adressen |
20 |
für den Tunnel selbst vergeben, so daß man auch keine Probleme mit doppelter |
21 |
Vergabe bekommen sollte. |
22 |
|
23 |
> |
24 |
> Mit einem V-LAN (Virtuell LAN) fähigen Router könntest du das und |
25 |
> wahrscheinlich dann sogar auf die VPN-Lösung komplett verzichten. |
26 |
> V-LAN's lassen sich meines Wissens nach so einrichten, dass sie nur |
27 |
> Rechner ins Netzwerk lassen, die sich authentifizieren können. Wenn ich |
28 |
> mich richtig erinnere, läuft die Authentifizierung über Schlüssel und |
29 |
> Zertifikate ab. Habe das nie gemacht, sondern nur drüber gelesen. |
30 |
|
31 |
Hier hast Du VLAN und VPN verwechselt. VLANs werden auf den Switchen |
32 |
eingerichtet und damit eine logische Trennung der Netzwerke erreicht. Im |
33 |
Prinzip teilt man hiermit ein physikalisches Netz in mehrere logische Netze |
34 |
auf, wo der Switch dafür sorgt, daß Pakete von einem VLAN nicht ins andere |
35 |
gelangen und die Verbindung zwischen verschiedenen VLAN muß dann wieder ein |
36 |
Router übernehmen (der ggf. über einen physikalischen LAN-Anschluß mehrere |
37 |
VLANs erhält, sog. Truncs). Eine Authentisierung erfolgt jedoch nicht. |
38 |
|
39 |
> |
40 |
> Ich würde VPNs nur einsetzen, wenn ich zwei Netzwerke (oder Rechner und |
41 |
> Netzwerk) über das Internet verbinden will. Hinter einem Router sind |
42 |
> V-LANs eleganter. |
43 |
> |
44 |
> > Eine weitere Bedingung wäre, dass das ganz möglichst einfach für unsere |
45 |
> > Windows-User ist. Am liebsten wäre mir, sie bräuchten gar nichts zu |
46 |
> > installieren. Aber wenn, sollte es möglichst einfach sein. Ich habe |
47 |
> > gesehen, zu OpenVPN gibt es einen Windows-Client mit GUI. Hat den jemand |
48 |
> > mal ausprobiert? Ist der absolut unkompliziert? |
49 |
|
50 |
Für Windows ist sicherlich PPTP eine Möglichkeit, da dies mitgeliefert wird |
51 |
(für viele Win-Versionen), IPSec ist ja erst bei neueren Versionen in |
52 |
irgendeiner Form mit dabei (wie man das aber einrichtet, keine Ahnung). |
53 |
Soweit ich weiß, gibt es aber hierfür keine einfachen GUIs. |
54 |
|
55 |
Soweit ich das verstanden habe, möchtest Du irgendwie ein lokales Netz |
56 |
absichern - d.h. keine VPN-Tunnel übers Internet. Da wäre PPTP sicherlich |
57 |
eine Wahl, für VPN über Internet muß man sich aber bewust sein, das PPTP |
58 |
nicht eine besonders sichere VPN-Variante ist. |
59 |
|
60 |
Jedoch, wenn es nur um die Absicherung von WLAN gehen sollte (oder kann sich |
61 |
jeder bei Dir in der Wohnung ins Netz einstöpseln?), dafür gibt es doch auch |
62 |
bereits Verschlüsselungen für den Datentransfer (WEP und Co.), doppelte |
63 |
Verschlüsselung bietet eben nicht umbedingt mehr Sicherheit, jedoch mehr |
64 |
Verwaltung, Fehlerstellen usw. |
65 |
|
66 |
Gruß |
67 |
|
68 |
Tobias |
69 |
|
70 |
-- |
71 |
Tobias Brinkert |
72 |
eMail: T.Brinkert@××××××××.de |
73 |
WWW: www.SemiByte.de |