Hallo,

folgende Ausgangssituation:
mehrere entfernte Netzwerke sollen zusammengeschlossen werden.
Alle Netzwerke haben DSL mit dynamischer IP und jeweils Linux-Firewall mit iptables (FWbuilder).
DNS wird über DynDNS.org gemacht. SSH ist bereits in alle Richtungen machbar.
Fast alle Netzwerke haben hinter der Firewall zusätzlich interne Router, welche jeweils interne Class-C-Netze routen.
Alle Netze haben im dritten Segment(x) 192.168.x.0 keine Überschneidungen.
Zunächst sollen alle Clients (MacOS und Windows) in alle anderen Netz zugreifen können.
Zugriffseinschränkungen sollen erst später hinzukommen, weil erst über die Praxis Erfahrungen gesammelt werden sollen.

Beim Googlen bin auf das Thema OpenVPN gestoßen ... aber irgendwie sind die Links down.
Hat jemand mal eine Idee, wie dies zu bewerkstelligen wäre oder auch andere Tips.

Vielen Dank
Gruß Miru

OpenVPN ist dazu gut geeignet, hier sind einige gute Links:
http://linuxforen.de/forums/showthread.php?t=179239

Am einfachsten ist es wenn du das ganze über einen VPN-Gateway pro Standort löst - dann mußt Du auch keine Software auf den Clients installieren sondern das ganze ist transparent.

Daher: Was sind das für Firewalls?

Steht pro Standort ein (älterer) Rechner zur verfügung?

mfg
cane

Hallo cane,

vielen Dank für die schnelle Antwort :-)


OpenVPN ist dazu gut geeignet, hier sind einige gute Links:
http://linuxforen.de/forums/showthread.php?t=179239

Die hatte ich auch schon gelesen ... aber irgendwie landen die Links meist bei www.openvpn.net ...
wo z.Zt. nur folgendes "This domain is currently Under Construction. Please check back soon." erscheint.


Am einfachsten ist es wenn du das ganze über einen VPN-Gateway pro Standort löst - dann mußt Du auch keine Software auf den Clients installieren sondern das ganze ist transparent.

So hatte ich mir das gedacht.


Daher: Was sind das für Firewalls?

In der Regel 1-2 Jahre alte Pentium 4 auf MSI-Boards mit gespiegelten Platten sowie Suse 9.0-9.1 ...
Regelwerk für iptables wurde mit FWBuilder generiert ... gutes Tool ;-)


Steht pro Standort ein (älterer) Rechner zur verfügung?

Kann ich die VPN-Gateways nicht auch auf diesen Firewalls realisieren, welche eher im normalen Tagesbetrieb völlig unterfordert sind ?

fragt Miru

Hi,

hier einmal Beispieleinstellungen:


--local XXX.dyndns.org
--remote YYY.dyndns.org
--resolv-retry "infinite"
--float
--dev tun1
--ifconfig 10.4.1.1 10.4.1.2
--verb 4
--secret /batch/key.standort
--daemon
--log-append /var/log/openvpn/standort.log
--comp-lzo
--route 192.168.60.0 255.255.255.0 10.4.1.1 1
--ping 15
--ping-restart 120
--port 1194
--tun-mtu 1500
--tun-mtu-extra 32
--mssfix 1450


Gruß

Grazie,

für die Antworten :)
seit eben geht auch der openvpn.net-Link wieder ;)
da werde ich mich mal durchkämpfen :o

Miru

Die hatte ich auch schon gelesen ... aber irgendwie landen die Links meist bei www.openvpn.net ...
wo z.Zt. nur folgendes "This domain is currently Under Construction. Please check back soon." erscheint.

Hmm - bei mir ist http://openvpn.net erreichbar...



In der Regel 1-2 Jahre alte Pentium 4 auf MSI-Boards mit gespiegelten Platten sowie Suse 9.0-9.1 ...
Regelwerk für iptables wurde mit FWBuilder generiert ... gutes Tool ;-)

Kann ich die VPN-Gateways nicht auch auf diesen Firewalls realisieren, welche eher im normalen Tagesbetrieb völlig unterfordert sind ?


ja sicher - die Rechenleistung sollte in jedem Fall ausreichen...

Was jetzt noch interessant wäre:

Soll Windows-Networking oder andere dienste die mit Broadcasts arbeiten über Standortgrenzen hinaus funktionieren? Dann muß das tap- anstelle des tun-Device verwendet werden...

Achte besonders auf die Sicherheit der Firewall-Rechner:
- alle unnötigen dienste abgeschaltet?
- alle Updates eingespielt?

mfg
cane

Hallo cane,

wie gesagt, der Link hatte den ganzen Vormittag nicht funktioniert ... gegen 14:00 Uhr ging er dann auf einmal wieder.

Das mit dem tap-device hatte ich auch schon in Erwägung gezogen, weil smb-Dienste schon benötigt werden. Da wird dann wohl am Wochenende das Problem auf mich zu kommen, wer denn wo wie den Master-Browser spielen darf/muss ... oder kann jedes entfernte Netz seinem eigenen Master-Browser haben ... zum Einen habe ich einen W2K-Server und 2x Helios-PCShare-Server auf Solaris8/9.

Es sollen im ersten Angang auch nur drei Netze zusammengeschlossen werden. Bremen, Heidelberg und Sinsheim. Dann wird erstmal getestet.

Andere Frage:

Auf der Newbie-Seite habe mir auch das Thema VPN zu WLAN angeschaut. Z.Zt. betreibe ich hier insgesamt 5 WLAN-Netze (eines für mich, 4 für Nachbarn), vier für den normalen Hausgebrauch (54Mbit) und eines für Video-Streaming (108MBit). Alles funktioniert recht zufriedenstellend inklusive Roaming. Ferner habe ich in den letzten Wochen alles konsequent auf WPA/PSK bzw. AES-Verschlüssung umgestellt, weil auf einer vormals WEP-Strecke eingebrochen wurde ... alle Achtung, da hat jemand unten aus'm Dorf aber dann Tage lang mächtig gezogen ... der Traffic wuchs reichlich um mehr als 300%, bis ich's gemerkt habe.

Macht's Sinn VPN auch auf meiner Video-Streaming-Strecke einzusetzen (diese feuert nämlich am Haus des Nachbarn vorbei runter ins Dorf) oder ist die Leistung-Einbuße so groß, dass das Streaming nicht mehr ruckelfrei funktionieren wird ?

Danke Miru