Hallo, möglicherweise ist meine Frage in irgendeiner Form schon mal gestellt worden, dann bitte ich um Entschuldigung. Ich habe allerdings nichts brauchbares gefunden. Ich suche eine Hardware- oder Software-Lösung um einen VPN-Tunnel zu Kundensystemen herzustellen, zwecks Service-Einsatz. Meine Vorstellung wäre, ich gebe einem Kunden irgendwo auf der Welt eine Kiste mit 2 Ethernet-Schnittstellen. An die eine schliesst er das Kunden-System an, die andere Schnittstelle kann er in sein Firmen-Netzwerk stecken. Die Kunden-Systeme sind normalerweise vom Netzwerk getrennt. Sie sind proprietäre Anlagen mit wenig Sicherheits-Funktionalität, daher kann man sie nicht direkt mit dem Firmennetz verbinden. Internet-Verbindung wird nur für Service gebraucht. Bei der Geschwindigkeit würde bereits 1 MBit reichen, mehr wäre natürlich ok, Zuverlässigkeit der Verbindung ist viel wichtiger. Auf meiner Seite hätte ich dann auch gerne eine solche Kiste, die ich mit meinem Firmennetz verbinde und an der 2ten Ethernetschnittstelle würde direkt das Kundensystem zur Verfügung stehen. Das ganze sollte (natürlich) ;-) nicht viel kosten, ist ja nur für Service. Wenn sich das mit 2 irgendwie gearteten Rechner-Kisten nicht realisieren lässt, ginge natürlich auch eine Lösung mit irgendeinem Server auf meiner Seite und/oder Software oder irgendeinem Dienst im Internet. Besonders hochwertige Verschlüsselung ist nicht notwendig, da die Verbindung nur sehr selten und nur für kurze Zeit hergestellt wird. Wichtiger ist die Zuverlässigkeit und das es auch z.B. mit China oder Indien funktioniert. Vielen Dank schon mal für Antworten und Vorschläge
Thorsten R. schrieb: > Ich suche eine Hardware- oder Software-Lösung um einen VPN-Tunnel zu > Kundensystemen herzustellen, zwecks Service-Einsatz. [...] > Wenn sich das mit 2 irgendwie gearteten Rechner-Kisten > nicht realisieren lässt, ginge natürlich auch eine Lösung mit > irgendeinem Server auf meiner Seite und/oder Software oder irgendeinem > Dienst im Internet. Wenn ich richtig verstehe, sollte das mit der Portforwarding-Funktionalität von SSH gehen. Bei instabilen Internetverbindungen kann das noch zusätzlich über AutoSSH stabilisiert werden.
Ok, das heisst für mich ich könnte z.B. 2 Raspberries nehmen, entsprechend konfigurieren und noch als 2te Netzwerkkarte jeweils einen USB-Adapter anschliessen? Vielleicht könnte es damit gehen. Problem ist hier nur, ich bin kein LINUX Fachmann, nur Anwender. Ich wüsste jetzt nicht was ich dafür an Software brauche und wie es einzurichten ist. Wie würden sich die beiden Raspberries im Internet finden? Wahrscheinlich müssten dafür auch Ports von aussen ins Firmennetz freigeschaltet werden, oder? Bräuchte ich feste IP-Adressen? Ich träume immer noch von einer nicht zu teuren fertigen Lösung, die man kaufen kann? Irgendwelche VPN-Router? Braucht man dann noch einen Server oder einen Dienst im Internet?
Thorsten R. schrieb: > Ok, das heisst für mich ich könnte z.B. 2 Raspberries nehmen, > entsprechend konfigurieren und noch als 2te Netzwerkkarte jeweils einen > USB-Adapter anschliessen? Theoretisch ja. Praktisch... siehe unten. > Problem ist hier nur, ich bin kein LINUX Fachmann, nur Anwender. Kein Problem -- es ist noch kein Meister vom Himmel gefallen. ;-) > Ich wüsste jetzt nicht was ich dafür an Software brauche und wie es > einzurichten ist. Naja, unter Raspbian brauchst Du nur OpenSSH und ggf. AutoSSH. OpenSSH ist meines Wissens schon in der Minimal-Installation mit dabei, autossh kann einfach mit
1 | sudo apt-get install autossh |
installiert werden. > Wie würden sich die beiden Raspberries im Internet finden? Das ist der Teil, den ich unter "Praktisch..." oben meinte, genau das ist nämlich das hüpfende Komma, äh, der springende Punkt. > Wahrscheinlich müssten dafür auch Ports von aussen ins Firmennetz > freigeschaltet werden, oder? Bräuchte ich feste IP-Adressen? Nein und nein. Du brauchst allerdings einen definierten Endpunkt, auf den sich der RasPi bei Deinem Kunden verbinden kann und der ihm idealerweise vorher bekannt ist. Sowas kann man aber mit DynDNS-Diensten oder einem festen Serverendpunkt machen. > Ich träume immer noch von einer nicht zu teuren fertigen Lösung, die man > kaufen kann? Irgendwelche VPN-Router? Braucht man dann noch einen Server > oder einen Dienst im Internet? Du kannst natürlich zwei VPN-Kistchen nehmen, aber auch da muß die eine -- die beim Kunden -- ja die andere finden und eine entsprechende Verbindung aufbauen, insofern Du damit wieder vor demselben Problem stündest wie mit den RasPis. Sowas kann man aber mit DynDNS-Diensten oder... genau. Wollen wir den Fall mit den RasPis einfach mal durchgehen? Am Ende kannst Du immer noch entscheiden, ob Du es verstanden hast und benutzen willst.
theoretisch funktioniert das alles, praktisch wirst Du Probleme haben den"wasauchimmer" auf Kundenseite ins Netz zu bekommen. Mal gibts DHCP, mal nicht, dann vermutlich noch technische Laien auf der anderen Seite, es wird Dich in den Wahnsinn treiben Brauchst Du es wirklich weltweit ? Wie wärs mit einer Verbindung über UMTS?
Heinz schrieb: > Mal gibts DHCP, mal nicht, dann vermutlich noch technische Laien auf der > anderen Seite, es wird Dich in den Wahnsinn treiben ... Mal gibts Firewalls und Proxies die berücksicht werden müssen ein ander mal gibts den Admin der sagt "Du schließt das nicht an" ;) oder es gibt enorme Probleme, wenn über den RasPi von außen jemand Zugang zum Firmenlan erlangt. > Brauchst Du es wirklich weltweit ? Wie wärs mit einer Verbindung über UMTS? Wäre deutlich unproblematischer, das in eine Firma zu bekommen. Aber auch hier sind Probleme zu erwarten: schlechter Empfang, hohe Latenz, ggf. keine "echte" IP Gruß Roland
Sheeva P. schrieb: >> Problem ist hier nur, ich bin kein LINUX Fachmann, nur Anwender. > > Kein Problem -- es ist noch kein Meister vom Himmel gefallen. ;-) Dummerweise sollte man für diesen Zweck das Linux entsprechend "härten": Zertifikate passend konfigurieren, Benutzerkonten passend einstellen, unnötige Dienste beenden, ... Ein Fehler und alles ist bestenfalls nutzlos, schlimmstenfalls schädlich Roland P. schrieb: > ... Mal gibts Firewalls und Proxies die berücksicht werden müssen ...normalerweise wird JEDES VPN im Firmeneigenen Firewall terminiert und dann ggf. mit einem weiteren VPN firmenintern zum client weitergeleitet. Sonst könnte man ja Löcher in den Firewall bohren. Heinz schrieb: > Brauchst Du es wirklich weltweit ? Länderspizifische Firewalls gibts auch noch. Wirksamkeit und Umfang ist Länderabhängig. Diktatoren möchten so mediale Landschaftspflege betreiben, es darf ja nicht sein, dass die Untertanen feindlicher Propaganda ausgesetzt sind...
Schreiber schrieb: > Dummerweise sollte man für diesen Zweck das Linux entsprechend "härten": Ach so. > Zertifikate passend konfigurieren, Benutzerkonten passend einstellen, > unnötige Dienste beenden, ... Was Du nicht sagst. ;-)
Ganz tolle Idee, Deine Sicherheitsfeatures bei der Idee sind überragend. Thorsten R. schrieb: > Besonders hochwertige Verschlüsselung ist nicht > notwendig, da die Verbindung nur sehr selten und nur für kurze Zeit > hergestellt wird. Mit der Einstellung würdest Du bei uns keine Fernwartung einrichten dürfen. Du willst Löcher in Firmennetze schießen und da irgendwelche Bastellösungen, die möglichst billig sind, ranbasteln. Es gibt für solche Zwecke VPN-Router die einen eigenen DSL/LTE/was-auch-immer Anschluß bekommen und unabhängig von allen anderen Netzen an der zu wartenden Anlage hängen. Wenn Du dann da Mist baust, trift es wenigstens keine anderen Systeme. Und ja, die kosten Geld, sind aber immer noch billiger als bei jeder kleinen Störung den Techniker anreisen zu lassen.
Thorsten R. schrieb: > Wichtiger ist die Zuverlässigkeit und das es auch z.B. > mit China oder Indien funktioniert. Bei China wäre ich mir nicht sicher, weil dort bekanntermaßen viel zensiert und gesperrt wird. Aber ansonsten sind die Sophos RED genau für sowas gemacht: https://utm-shop.de/utm/utm-hardware/sophos-red/ Alles, was sie auf Clientseite benötigen, ist ein funktionsfähiger Internetzugang. In eurer Firma muß eine passende Sophos UTM Firewall installiert sein, in der die Konfiguration für alle REDs zentral gespeichert wird. Beim Anstöpseln an das Internet nehmen die Client-REDs automatisch Verbindung zu eurer UTM auf und holen sich dort die Config. Das Zeug ist nicht ganz billig, funktioniert aber sehr gut. Bei deinen offensichtlich nicht sehr tief gehenden Kenntnissen in Netzwerktechnik würde ich dir jedoch kategorisch abraten, das selbst einrichten zu wollen. Eine mangelhafte Verschlüsselung gefährdet bspw. akut die Sicherheit der Kundennetzwerke, denn sie dient hauptsächlich dazu, Angreifern den Verbindungsaufbau unmöglich zu machen. Schlecht abgesicherte VPN-Einwahlen sind ein absolut inakzeptables Risiko. Also laßt es von jemandem einrichten, der es beherrscht.
Mein Vorschlag wäre eine echte Einwahlverbindung ohne irgendwelche Eingriffe in das vorhandene Firmennetzwerk. So haben wir das in spionagegefährdeten Systemen auch gemacht. Dazu braucht man ein Modem an der Steuerung und einen Telefonanschluss, am besten ein POTS der alten Machart. Wenn auf dem Zielsystem ein Linux/Unix schon läuft, beschränkt sich die Konfiguration mehr oder weniger auf ein getty auf der betroffenen TTY.
:
Bearbeitet durch User
Matthias S. schrieb: > Dazu braucht man ein Modem an > der Steuerung und einen Telefonanschluss, am besten ein POTS der alten > Machart. In Zeiten, wo gerade flächendeckend auf VoIP umgestellt wird, über das Modemverbindungen alles andere als zuverlässig funktionieren, wohl keine gute Idee. Außerdem sind RAS-Einwahlen sicherheitstechnisch nicht mehr zeitgemäß und erfordern Konfigurationsaufwand vor Ort. Von der unterirdischen Geschwindigkeit einer Modemverbindung gar nicht zu reden, selbst RDP ist damit eine Qual.
Man sollte auch das andere Ende der Verbindung berücksichtigen! Wenn jemand seinen Laptop anstelle der Maschine an den Kasten anschliesst hat er ein tolles VPN in eure Firma! Das Ende muss also auch abgedichtet werden.
Thorsten R. schrieb: > Ok, das heisst für mich ich könnte z.B. 2 Raspberries nehme such mal bei Phytec nach dem Wega 335X Board. Das haben wir momentan für ein Projekt evaluiert. Hat 2 Netzwerkschnittstellen und kostet ab 80 €
Itoaw schrieb im Beitrag #4863788: Hallo Thorsten, wir haben jeweils eine Sophos RED 15 in China und Honkong mit einer zetrallen Sophos Firewall in Hamburg verbunden. Bisher bekommen wir unseren SSL Traffic darüber wunderbar geregelt und nutzen die Sophos in HH als Proxy, damit unsere MA in China Google und co aufrufen können :) Hier mal ein Beispiel für die RED 15 https://www.enbitcon.com/sophos-red-15 und als zentrales VPN Gateway (kommt auf deine größe an) https://www.enbitcon.com/die-sophos-sg-serie
Der Knackpunkt liegt im Anschlusspunkt zum Internet. Die eine universelle Lösung zu definieren für alle Lebenslagen zu definieren ist schwierig. Eigentlich geht nur Ethernet. Ggf. mit zusätzlichem Gerät für Internet, wenn der Kunde keinen Aufsetzpunkt in seiner Netzstruktur bieten kann oder will. Irgendwelche direkten WAN Lösungen (DSL, was auch immer) sind weltweit kaum im gleichen Gerät realistisch. Und Einwahlverbindungen sind Technik von vorgestern. In ziemlich vielen Fällen wird der Weg ins Internet über NAT laufen, teils auch durch eine Kundenfirewall hindurch. Das spricht nicht unbedingt für eine Lösung auf Basis von IPSec - es kann damit möglich sein, aber IPSec konfiguriert sich bei NAT-freien Verbindungen leichter. Bei SSH oder SSL als Basis, egal auf welcher Plattform, musst du auf Update-Möglichkeit achten, ggf. auch remote. In den letzten Jahren haben sich die Bugs die Klinke in die Hand gedrückt, weshalb man ein jahrelang ungepatchtes System getrost als Sicherheitsrisiko betrachten kann. Das wird einfacher, wenn der Gateway beim Kunden ausschliesslich selbst die VPN-Verbindung aufbaut und hält, diese also nicht von aussen aufgebaut werden kann, denn dann ist eher dein zentraler Gateway von Updates betroffen.
Thorsten R. schrieb: > Ich suche eine Hardware- oder Software-Lösung um einen VPN-Tunnel zu > Kundensystemen herzustellen, zwecks Service-Einsatz. Meine Vorstellung > wäre, ich gebe einem Kunden irgendwo auf der Welt eine Kiste mit 2 > Ethernet-Schnittstellen. An die eine schliesst er das Kunden-System an, > die andere Schnittstelle kann er in sein Firmen-Netzwerk stecken. Die > Kunden-Systeme sind normalerweise vom Netzwerk getrennt. Sie sind > proprietäre Anlagen mit wenig Sicherheits-Funktionalität, daher kann man > sie nicht direkt mit dem Firmennetz verbinden. Internet-Verbindung wird > nur für Service gebraucht. Bei der Geschwindigkeit würde bereits 1 MBit > reichen, mehr wäre natürlich ok, Zuverlässigkeit der Verbindung ist viel > wichtiger. Auf meiner Seite hätte ich dann auch gerne eine solche Kiste, > die ich mit meinem Firmennetz verbinde und an der 2ten > Ethernetschnittstelle würde direkt das Kundensystem zur Verfügung > stehen. Sowas nennt man einen VPN-Router. Gibt's von Dutzenden Anbietern, kein grosses Thema. Der springende Punkt ist dabei allerdings immer der Verbindungsaufbau, insbesondere unter Berücksichtigung des Sachverhalts, von welcher Seite aus dieser initiiert werden muss/soll. Zumindest eine Seite, nämlich die, die die Verbindung nicht initiiert, muss irgendwie "erreichbar" sein, also entweder eine feste IP-Adresse haben oder wenigstens über DNS-Namen auf eine IP auflösbar sein. Der Rest ist dann einfach nur eine korrekte Konfiguration der beteiligten Netze durch hinreichend kompetente Admins. Je nach verwendetem VPN-Protokoll ist das einfacher oder komplizierter zu erreichen. Was nicht geht: Eine "Box", die das ohne den Eingriff kompetenter Admins leisten kann. Wenn eine Box das ohne Eingriff der Admins beider Netze leisten kann, dann taugen die Admins dieser beiden Netze ganz offensichtlich schlicht rein garnix... So einfach ist das eigentlich...
Gibts in Wunschlos glücklich, aber teuer: https://www.mc-technologies.net/de/Produktgruppen/Datentechnik/Industrierouter/produkt/DE-LAN/WAN-Industrierouter-MC-LR Das Teil funkt nen (Open)VPN Server an und dein Rechner bei dir auch -> langes Netzwerkkabel von dir zum Kunden.
vpn ist nicht teuer. die antwortzeiten auszuwerten ist ein indiz, ob es einen man-in-the-middle gibt. diesen gibt es bei mir. die antwortzeiten verdoppeln sich schnell mal systematisch.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.