Moinsen!
Ich möchte meine SuSE 10.1 so einrichten, dass ich eine VPN Verbindung zu der Watchguard Firewall in meiner Firma aufbauen kann. Die Windows Software, den Key etc. habe ich alles. Ich weiß nur nicht, wie ich das einzurichten habe, denn einen Linux Client für die Software gibt es anscheinend nicht.
Des weiteren müsste ich mich auf einen Windows 2003 Terminal Server verbinden. Gibt es da eine stabile und zuverlässige Möglichkeit?
Unser Sicherheitsbeauftragte äußerte das Bedenken, dass ich mir auf meinem Rechner das Netzwerk versehentlich so einrichten könnte, dass auch externe "Gäste" über meinen Rechner in das Firmen VPN kommen könnten. Da hat er natürlich nicht ganz unrecht. Wie ginge das abzusichern und zwar so, dass ich auch diese Bedenken nachweislich ausräumen kann?

Zur Not installiere ich mir eine VMWare, möchte aber nur ungern von hinten durch die Brust ins Auge...

Ferrosti

Moinsen!


Hi,



Ich möchte meine SuSE 10.1 so einrichten, dass ich eine VPN Verbindung zu der Watchguard Firewall in meiner Firma aufbauen kann. Die Windows Software, den Key etc. habe ich alles. Ich weiß nur nicht, wie ich das einzurichten habe, denn einen Linux Client für die Software gibt es anscheinend nicht.


Korrekt, einen Linux Client gibt es nicht. Du könntest OpenS/WAN nehmen um einen IPSec Tunnel zu deiner Firewall aufzubauen. Was für eine Firebox ist denn das genau und welche WFS verwendest du?

Alternativ kannst du dir von NCP den NCP Secure Entry Linux Client (http://www.ncp.de/deutsch/filedownload/DB_Entry_Linux.pdf) mal ansehen. Ich verwende die Windows Variante des Clients mit diversen Firewalls. Von Watchguard, über Juniper Netscreen bis Checkpoint.



Des weiteren müsste ich mich auf einen Windows 2003 Terminal Server verbinden. Gibt es da eine stabile und zuverlässige Möglichkeit?


Ja, rdesktop.



Unser Sicherheitsbeauftragte äußerte das Bedenken, dass ich mir auf meinem Rechner das Netzwerk versehentlich so einrichten könnte, dass auch externe "Gäste" über meinen Rechner in das Firmen VPN kommen könnten. Da hat er natürlich nicht ganz unrecht. Wie ginge das abzusichern und zwar so, dass ich auch diese Bedenken nachweislich ausräumen kann?


Da hat sie völlig recht. Daher würde ich von deinem Vorhaben auch Abstand nehmen und mir im Zweifelsfall von der Firma einen Rechner zu Hause hinstellen. So hast du das auch sauber getrennt.

Um das Risiko zu minimieren solltest du eine Split-Tunnel Konfiguration vermeiden und deinen Rechner aktuell halten. Zudem solltest du mit dem Routing aufpassen, damit nichts versehentlich über den Tunnel geroutet wird.



Zur Not installiere ich mir eine VMWare, möchte aber nur ungern von hinten durch die Brust ins Auge...


Nein, der einzige wirklich sinnvolle Weg - eine Sandbox.

Den Typ der Watchguard etc. müsste ich erfragen. Ich habe das Teil nicht eingerichtet, sonst würde ich mich damit auch besser auskennen. Spielt der Typ denn tatsächlich eine Rolle?
Ich brauche auf alle Fälle einen Firmenzugang und alle IT-Mitarbeiter haben die Mögichkeit mit dem privaten Rechner und eben dieser Watchguard Software eine Verbindung per VPN auf unseren TS herzustellen. Mein einziges manko ist, dass meine alte Windows Platte aus der berüchtigten IBM Serie ist und es nicht mehr lange tut. Aus diesem Grunde möchte ich die Funktionalität auf Linux rüber bringen.
Alternativ könnte ich auch immer das Bereitschaftsnotebook mitnehmen. Allerdings macht das Arbeiten über die GSM Anbindung auf dem TS auch nicht wirklich "Spaß".

Genau das, was Du mit dem Routing angesprochen hast ist halt das Problem. Ich wüsste nur nicht, was man da verkehrt machen könnte? Ich hänge ohne Router direkt an meinem DSL Modem. Die SuSE Firewall ist auch aktiv, wenn auch nur mit den Default-Einstellungen zzgl. einer Portfreigabe für Bittorrent.

Ferrosti