VPN Konfiguration (Vorsicht technisch!)

foo_on_air

OC Addicted

Registered: Jun 2007
Location: Wien
Posts: 769

13.08.2007 - 23:50

Kann mir jemand den Ablauf erklären, wie eine VPN-Verbindung aufgebaut wird? Sozusagen erst die Vermittlung von Grundwissen, um dann tief in die Materie einzusteigen, wo es richtig technisch wird.

Ich brauche das für die Firma, damit sich die Mitarbeiter ins Intranet einwählen können. Die haben unterschiedliche Internet-Zugänge und einige verwenden einen Router.

Muss ein Router VPN unterstützen, damit man über ihn eine VPN-Verbindung aufbauen kann? Erfolgt die Konfiguration des VPNs dann am Router (Port-Weiterleitung nötig?) oder auf dem PC, der den Tunnel aufbaut?

In meiner vorigen Firma habe ich mich über eine zusätzliche Netzwerkverbindung eingewählt. Nun haben wir ein eigenes Programm von Checkpoint, das die VPN-Einwahl ermöglicht. Was tut so ein Verschlüsselungsprogramm? Wenn der Einstieg nur mit der SW möglich ist, kann man dann über einen Router überhaupt einsteigen? Auf einen Router kann man ja nix installieren wie auf einen PC.

Noch was, was mich interessiert: Wenn ich eine Internet-Verbindung und eine für VPN gleichzeitig aktiv habe, wie weiß das System, welches Paket über welche Verbindung geschickt wird?

mfg
foo_on_air

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11919

14.08.2007 - 00:03

Kurz: Kommt stark auf die verwendete VPN-Loesung an.
OpenVPN zum Beispiel tunnelt IP ueber UDP/IP auf einem Port einer existierenden Verbindung; dabei wird ein virtueller Netzwerk-Adapter (TUN/TAP) genutzt, der all seinen Verkehr via OpenSSL verschluesselt. Andere VPN-Implementationen verwenden zum Beispiel IPsec, um die Verbindung sicher zu machen. OpenVPN braucht, um einen VPN-Tunnel in ein Netz hinter NAT/Masquerading aufbauen zu koennen, pro netzexternem Client einen Port, der auf den Rechner mit dem OpenVPN-Server dahinter forwarded wird.

Welche Pakete ueber welches Interface zu welchem Gateway abgeladen werden, entscheidet der TCP/IP-Stack deines Betriebssystems mithilfe seiner Routing-Tabelle (`route -n` unter GNU/Linux gibt dir die zum Beispiel aus).

Hth.

foo_on_air

OC Addicted

Registered: Jun 2007
Location: Wien
Posts: 769

14.08.2007 - 11:15

Das hieße ich kann davon ausgehen, dass IP Forwarding am Router vor dem VPN Server notwendig ist, damit der Client auf den Server connecten kann.

Wie verhält es sich in die umgekehrte Richtung, also vom Server zum Client? Die Verbindung wird ja vom Client initiiert. Brauche ich zusätzlich eine Port-Weiterleitung am Router, über den sich der Client zum Server verbindet?

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11919

14.08.2007 - 14:32

Nope, einmal Forwarden reicht. Der Client initiiert die Verbindung zum Server, der (hinter der NAT des Routers) einen Port listening gebunden hat. Der "Rueckkanal" ist dabei dann automatisch so geflagt, dass die NATs aller dazwischenliegender Router dafuer sorgen, dass alle notwendigen Pakete am VPN-Client ankommen.
Ist uebrigens bei allen anderen vernuenftigen Services ueber TCP/IP gleich.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3673

14.08.2007 - 14:37

Da hat der Hr. Colo überraschenderweise wiedermal ganz recht (

), für die VPN Nutzung ist das aber eh periphär wichtig. OpenVPN sollte in rasender Geschwindigkeit eingerichtet sein, und wer mehr als 1 Netzbereich nutzt (wie eine Firma es vermutlich tut, DMZ & co.), pushed einfach die entsprechende Route an die Clients. Auf der OpenVPN Seite kann man sich übrigens auch köstlich zum Thema informieren.

foo_on_air

OC Addicted

Registered: Jun 2007
Location: Wien
Posts: 769

14.08.2007 - 14:57

Herzlichen Dank an euch beide. Haltet mir die Daumen dass es netzt.

mfg
foo_on_air

foo_on_air OC Addicted Registered: Jun 2007 Location: Wien Posts: 769	13.08.2007 - 23:50 Kann mir jemand den Ablauf erklären, wie eine VPN-Verbindung aufgebaut wird? Sozusagen erst die Vermittlung von Grundwissen, um dann tief in die Materie einzusteigen, wo es richtig technisch wird. Ich brauche das für die Firma, damit sich die Mitarbeiter ins Intranet einwählen können. Die haben unterschiedliche Internet-Zugänge und einige verwenden einen Router. Muss ein Router VPN unterstützen, damit man über ihn eine VPN-Verbindung aufbauen kann? Erfolgt die Konfiguration des VPNs dann am Router (Port-Weiterleitung nötig?) oder auf dem PC, der den Tunnel aufbaut? In meiner vorigen Firma habe ich mich über eine zusätzliche Netzwerkverbindung eingewählt. Nun haben wir ein eigenes Programm von Checkpoint, das die VPN-Einwahl ermöglicht. Was tut so ein Verschlüsselungsprogramm? Wenn der Einstieg nur mit der SW möglich ist, kann man dann über einen Router überhaupt einsteigen? Auf einen Router kann man ja nix installieren wie auf einen PC. Noch was, was mich interessiert: Wenn ich eine Internet-Verbindung und eine für VPN gleichzeitig aktiv habe, wie weiß das System, welches Paket über welche Verbindung geschickt wird? mfg foo_on_air
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11919	14.08.2007 - 00:03 Kurz: Kommt stark auf die verwendete VPN-Loesung an. OpenVPN zum Beispiel tunnelt IP ueber UDP/IP auf einem Port einer existierenden Verbindung; dabei wird ein virtueller Netzwerk-Adapter (TUN/TAP) genutzt, der all seinen Verkehr via OpenSSL verschluesselt. Andere VPN-Implementationen verwenden zum Beispiel IPsec, um die Verbindung sicher zu machen. OpenVPN braucht, um einen VPN-Tunnel in ein Netz hinter NAT/Masquerading aufbauen zu koennen, pro netzexternem Client einen Port, der auf den Rechner mit dem OpenVPN-Server dahinter forwarded wird. Welche Pakete ueber welches Interface zu welchem Gateway abgeladen werden, entscheidet der TCP/IP-Stack deines Betriebssystems mithilfe seiner Routing-Tabelle (`route -n` unter GNU/Linux gibt dir die zum Beispiel aus). Hth.
foo_on_air OC Addicted Registered: Jun 2007 Location: Wien Posts: 769	14.08.2007 - 11:15 Das hieße ich kann davon ausgehen, dass IP Forwarding am Router vor dem VPN Server notwendig ist, damit der Client auf den Server connecten kann. Wie verhält es sich in die umgekehrte Richtung, also vom Server zum Client? Die Verbindung wird ja vom Client initiiert. Brauche ich zusätzlich eine Port-Weiterleitung am Router, über den sich der Client zum Server verbindet?
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11919	14.08.2007 - 14:32 Nope, einmal Forwarden reicht. Der Client initiiert die Verbindung zum Server, der (hinter der NAT des Routers) einen Port listening gebunden hat. Der "Rueckkanal" ist dabei dann automatisch so geflagt, dass die NATs aller dazwischenliegender Router dafuer sorgen, dass alle notwendigen Pakete am VPN-Client ankommen. Ist uebrigens bei allen anderen vernuenftigen Services ueber TCP/IP gleich.
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3673	14.08.2007 - 14:37 Da hat der Hr. Colo überraschenderweise wiedermal ganz recht (), für die VPN Nutzung ist das aber eh periphär wichtig. OpenVPN sollte in rasender Geschwindigkeit eingerichtet sein, und wer mehr als 1 Netzbereich nutzt (wie eine Firma es vermutlich tut, DMZ & co.), pushed einfach die entsprechende Route an die Clients. Auf der OpenVPN Seite kann man sich übrigens auch köstlich zum Thema informieren.
foo_on_air OC Addicted Registered: Jun 2007 Location: Wien Posts: 769	14.08.2007 - 14:57 Herzlichen Dank an euch beide. Haltet mir die Daumen dass es netzt. mfg foo_on_air

VPN Konfiguration (Vorsicht technisch!)

Forum Index > Hardware > Peripherie > Netzwerktechnik

foo_on_air

COLOSSUS

foo_on_air

COLOSSUS

nexus_VI

foo_on_air