hallo allerseits :)
ich stehe vor dem problem zwei firmenstandorte, die per dsl im internet sind (also mit dyn. IPs) sicher und kostengünstig miteinander zu vernetzen.
hatte da an eine vpn-lösung gedacht..auf den ersten blick erschien mir http://www.freeswan.org als hilfreich...leider wird hier vorrausgesetzt dass beide standorte über feste IPs verfügen :oops:
kennt vielleicht jemand eine andere möglichkeit das ganze ohne standleitungen zu lösen?
das würde mir sehr helfen :-D
danke im vorraus für eure antworten!
andreas
VPN-Frage
Re: VPN-Frage
so richtig wird das wahrscheinlich nicht funktionieren, da DSL nur 128 kb Upstream hat. Das mit der "nicht" festen IP wird nicht so dass Problem sein, die IP kannst du ja durch Abfrage der DynDNS einfach und leicht erfahren...
Re: VPN-Frage
der speed ist hier nicht das problem..im zweifel würde man sich für ein schnelleres dsl-angebot entscheiden.
es geht mir darum :?
es geht mir darum :?
Requirements
To configure the network-to-network connection you must have:
two Linux gateways with static IPs
a network behind each gate. Networks must have non-overlapping IP ranges.
Linux FreeS/WAN installed on both gateways
tcpdump on the local gate, to test the connection
Re: VPN-Frage
Servus,
du kannst eine statische IP bei z.B http://www.noip.com bekommen, da wird dann Deiner dynamischen IP immer eine statische zugewiesen. Vielleicht hilft das weiter.
cu
Michael
du kannst eine statische IP bei z.B http://www.noip.com bekommen, da wird dann Deiner dynamischen IP immer eine statische zugewiesen. Vielleicht hilft das weiter.
cu
Michael
Re: VPN-Frage
danke für den link aber ich glaube das hilft mir auch nicht weiter :
der rechner wäre dann zwar über eine feste ip zu erreichen würde jedoch immer über die jeweilige dynamische ip daten rausschicken und umgekehrt..dass auch augehende pakete mit der festen ip maskiert werden können halte ich nicht für möglich..
ich glaube hier muss ein grundanderer ansatz her :o
der rechner wäre dann zwar über eine feste ip zu erreichen würde jedoch immer über die jeweilige dynamische ip daten rausschicken und umgekehrt..dass auch augehende pakete mit der festen ip maskiert werden können halte ich nicht für möglich..
ich glaube hier muss ein grundanderer ansatz her :o
Re: VPN-Frage
Hi.
Ich habe so etwas im Einsatz.
Im Groben läuft das so, dass ein Script im Hintergrund läuft. Dieses prüft periodisch, ob sich die IP einer vergebenen dyndns-adresse geändert hat. Wenn ja (sprich: Partner hat sich neu eingewählt), wird die Verbindung neu geladen (ipsec auto --replace xxx), und somit ist wieder eine Verbindung möglich.
In der ipsec.conf sind beider Partner mit den dyndns-adressen eingetragen. Bei einer Neueinwahl (über ip-up) wird ipsec gestartet, bei Trennung (über ip-down) gestoppt. Das ist auch wichtig, da das Routing völlig hinüber ist, wenn ipsec bei der Einwahl noch läuft.
Es ist erst einmal ein wenig 'bastelarbeit' nötig, aber dann läuft es gut.
Gruss
cruz-r
Ich habe so etwas im Einsatz.
Im Groben läuft das so, dass ein Script im Hintergrund läuft. Dieses prüft periodisch, ob sich die IP einer vergebenen dyndns-adresse geändert hat. Wenn ja (sprich: Partner hat sich neu eingewählt), wird die Verbindung neu geladen (ipsec auto --replace xxx), und somit ist wieder eine Verbindung möglich.
In der ipsec.conf sind beider Partner mit den dyndns-adressen eingetragen. Bei einer Neueinwahl (über ip-up) wird ipsec gestartet, bei Trennung (über ip-down) gestoppt. Das ist auch wichtig, da das Routing völlig hinüber ist, wenn ipsec bei der Einwahl noch läuft.
Es ist erst einmal ein wenig 'bastelarbeit' nötig, aber dann läuft es gut.
Gruss
cruz-r
Re: VPN-Frage
hatte schon gedacht hier weiss kein mehr rat :o
verwendest du in deiner konfiguration auch frees/wan?
das von dir erwähnte script würde mich auf jeden fall sehr interessieren :-D
danke,
andreas
verwendest du in deiner konfiguration auch frees/wan?
das von dir erwähnte script würde mich auf jeden fall sehr interessieren :-D
danke,
andreas
Eigener DYN Server und Bind
Die Frage ist welche Daten geschaufelt werden.
Ich habe die Problematik mit nem eigenen Server gelöst der fest im Netz steht und nen DYN Server eingerichtet. Dann lokal jeweils Bind und entsprechende Einträge. Das VPN wird darüber gesteuert. Mail geht allerdings bei diesen Lösungen nicht. Sobald Du was mit Mail machen möchtest vergiss DYN IP, es sei denn Du akzeptierst Mailverlust.
Sonst gibts für sowas ne brauchbare Anleitung in der CT.
Die Bastelei lohnt sich für den Hausgebrauch ne Standleitung ist für ne Firma günstiger. Lass Dirs mal von nem Steuerexperten und BWLer durchrechnen.
Ich habe die Problematik mit nem eigenen Server gelöst der fest im Netz steht und nen DYN Server eingerichtet. Dann lokal jeweils Bind und entsprechende Einträge. Das VPN wird darüber gesteuert. Mail geht allerdings bei diesen Lösungen nicht. Sobald Du was mit Mail machen möchtest vergiss DYN IP, es sei denn Du akzeptierst Mailverlust.
Sonst gibts für sowas ne brauchbare Anleitung in der CT.
Die Bastelei lohnt sich für den Hausgebrauch ne Standleitung ist für ne Firma günstiger. Lass Dirs mal von nem Steuerexperten und BWLer durchrechnen.
Re: VPN-Frage
mail soll über dieses system nicht abgewickelt werden.
es soll "lediglich" ermöglicht werden sicheren zugang zu einem samba-server, der an einem standort stehen wird zu gewährleisten sowie zu einem intranet-webserver.
in welcher c't-ausgabe steht denn etwas zu dieser problematik?
ciao
andreas
es soll "lediglich" ermöglicht werden sicheren zugang zu einem samba-server, der an einem standort stehen wird zu gewährleisten sowie zu einem intranet-webserver.
in welcher c't-ausgabe steht denn etwas zu dieser problematik?
ciao
andreas
Re: VPN-Frage
War irgendeine ct' um Ausgabe 20 rum von diesem Jahr. Eigentlich ein Artikel zur Connection zu nem Spieleserver. Diskette so wie beschrieben vorbereiten. ist ein Minilinux. Damit bekommst Du das VPN zustande zischen 2 Netzen. Die Kommunikation zwischen den beiden Netzen übernimmt DYN DNS. Bei mir mit nem eigenen DYN Server geregelt, der fest im Netz steht. Bei Tiscalli im Rechenzentrum. Schema : VPN konnektiert zum DYN Server. Das machen Local Netze beide getrennt und haben somit die jeweilige IP. Die findest Du dann automatisch über 2 Bind Versionen raus auch jeweils Local. Erneute VPN Verbindung direkt zum anderen Local Server, nachdem du ja die IP hast. Nutze sozusagen dafür den Local Bind, der auf jedem Rechner installiert ist und die Domain beherbergt. Obs mit 1und1 Server geht weiss ich noch nicht.Andreas wrote:mail soll über dieses system nicht abgewickelt werden.
es soll "lediglich" ermöglicht werden sicheren zugang zu einem samba-server, der an einem standort stehen wird zu gewährleisten sowie zu einem intranet-webserver.
in welcher c't-ausgabe steht denn etwas zu dieser problematik?
ciao
andreas
Re: VPN-Frage
hmm also wird bei deinem ansatz auch wieder eine feste ip benötigt.
das kommt wohl dem "road-warrior" szenario gleich http://www.freeswan.org/freeswan_trees/ ... #config.rw
das macht mich immer noch nicht ganz glücklich denn ich wollte das ganze ohne einen dritten host lösen.
meine hoffnungen konzentrieren sich auf cruz-r's ansatz :o
trotzdem danke für deine ausführungen :)
das kommt wohl dem "road-warrior" szenario gleich http://www.freeswan.org/freeswan_trees/ ... #config.rw
das macht mich immer noch nicht ganz glücklich denn ich wollte das ganze ohne einen dritten host lösen.
meine hoffnungen konzentrieren sich auf cruz-r's ansatz :o
trotzdem danke für deine ausführungen :)
Re: VPN-Frage
ist auch im weitesten Sinne das gleiche. Nur mit dem Unterschied, dass ich selbst den DYN-Server kontrolliere. Wer sagt Dir denn bei der anderen Lösung, ob es nicht so ist, dass sich auf dem Fremd Dyn Server nicht jemand mit ner Man Of THe Middle Attack dazwischen klemmt und die Dyn IP steuert. Da frage ich mich warum denn überhaupt ein VPN? Stell Dir vor, jemand greift die IP ab und ändert sie? Kontrollieren kannst das kaum. Nur der Name, dass Du ein VPN da reinsetzt. Sicherheit kostet. Sinnvoll ist das was Du vorhast IMHO eh nicht wenns um den Produktiveinsatz geht.Andreas wrote:hmm also wird bei deinem ansatz auch wieder eine feste ip benötigt.
das kommt wohl dem "road-warrior" szenario gleich http://www.freeswan.org/freeswan_trees/ ... #config.rw
das macht mich immer noch nicht ganz glücklich denn ich wollte das ganze ohne einen dritten host lösen.
meine hoffnungen konzentrieren sich auf cruz-r's ansatz :o
trotzdem danke für deine ausführungen :)
Re: VPN-Frage
Ach ja, einfach grundsätzliche Gedanken um das Riskmanagement machen, Jahresbuged für Security in der Firma ausloten, Ist Status, Analyse, Managementempfehlung.Doc wrote:ist auch im weitesten Sinne das gleiche. Nur mit dem Unterschied, dass ich selbst den DYN-Server kontrolliere. Wer sagt Dir denn bei der anderen Lösung, ob es nicht so ist, dass sich auf dem Fremd Dyn Server nicht jemand mit ner Man Of THe Middle Attack dazwischen klemmt und die Dyn IP steuert. Da frage ich mich warum denn überhaupt ein VPN? Stell Dir vor, jemand greift die IP ab und ändert sie? Kontrollieren kannst das kaum. Nur der Name, dass Du ein VPN da reinsetzt. Sicherheit kostet. Sinnvoll ist das was Du vorhast IMHO eh nicht wenns um den Produktiveinsatz geht.Andreas wrote:hmm also wird bei deinem ansatz auch wieder eine feste ip benötigt.
das kommt wohl dem "road-warrior" szenario gleich http://www.freeswan.org/freeswan_trees/ ... #config.rw
das macht mich immer noch nicht ganz glücklich denn ich wollte das ganze ohne einen dritten host lösen.
meine hoffnungen konzentrieren sich auf cruz-r's ansatz :o
trotzdem danke für deine ausführungen :)
Dann Projektmanagement und Projektierung. Bei ner VPN hört das ganze noch lange nicht auf.
Re: VPN-Frage
es handelt sich um eine mittelständige firma der druckindustrie mit 40 mitarbeitern deren budget für IT ohnehin gering ist (sonst würden sie den kram nicht von nem studenten machen lassen :o )
ich werde mir die tage auch noch angebote für ne standleitung (512-1024k) zwischen den beiden standorten einholen.
weiss da vielleicht einer von euch einen anbieter mit gutem preis-leistungs-verhältnis?
ich werde mir die tage auch noch angebote für ne standleitung (512-1024k) zwischen den beiden standorten einholen.
weiss da vielleicht einer von euch einen anbieter mit gutem preis-leistungs-verhältnis?
Re: VPN-Frage
Ruf mal an, geb Dir ne private Beratung...Andreas wrote:es handelt sich um eine mittelständige firma der druckindustrie mit 40 mitarbeitern deren budget für IT ohnehin gering ist (sonst würden sie den kram nicht von nem studenten machen lassen :o )
ich werde mir die tage auch noch angebote für ne standleitung (512-1024k) zwischen den beiden standorten einholen.
weiss da vielleicht einer von euch einen anbieter mit gutem preis-leistungs-verhältnis?
06731 499 155
hmm Druckindustrie, da ist doch die Handwerkskammer zuständig. Kenne da jemand ...
Re: VPN-Frage
mehr als eine stunde telefoniert und dabei weitaus mehr mitgenommen als einen ansatz für meine fernvernetzungspläne :o
danke wilfried :-D
danke wilfried :-D
Re: VPN-Frage
Nun ja, war nicht mehr als ne Entscheidungshilfe denke ich um nicht am falschen Ende zu sparen und nen anscheinend guten Ruf zu verlieren. Ich denke wir sind uns einig, dass die Schwerpunkte für die Firma natürlich auch in einer Kostenersparnis liegen aber es vorwiegend auf die Daten ankommt. Mit ner ADSL-Flat kann man wenn es einen Server gibt, der Zentral nen Rechner steuern, der z.B. Wenn genügend Teilnehmer mit Flat mitmachen ne Clustersteuerung für die Flatrechnergibt. Das heisst ein verteiltes Clusternetz. Der gemietete Onlineserver bekommt kaum Traffic ab weils über die Flat geht. Dadurch erreicht man vollkommen ausreichende Speed zum Gamen. Trotzdem wird der zentrale Steuerungsrechner kaum belastet. Entscheidend ist aber, dass diejenigen, die gerade nicht spielen ihren Local Host mit eingebunden haben. In 2-5 Jahren hat sich das Thema Dyn IP eh erledigt da es mit V6 weitergeht.Andreas wrote:mehr als eine stunde telefoniert und dabei weitaus mehr mitgenommen als einen ansatz für meine fernvernetzungspläne :o
danke wilfried :-D
Wer sich dafür Interessiert sollte sich mal auf EU Ebene kundig machen. Sehr nett ist da der Kontakt zu dem finnisschen EU Kommisär Lykannen. Hier gibt es sogar eine EU Timeline, die Gesetzesstatus hat.
Dieses Thema haben wir gar nicht angesprochen. Aber für die betreute Firma ist es wohl sinnvoll ne stabile Netzwerkgeschichte zu bekommen und keine Experimente zu starten mit Billiglösungen. Solang es gut geht ists kein Problem. Hackt es geht aber das Spiessrutenlaufen los. Und ein möglicher finanzieller Schaden geht dann schnell in die Hunderttausende.
Dazu zählt einmal die Datensicherheit und Konkruenz. Abewr wenn das Teil ausfällt, dann ists so dass sagen wir 10 Leute nen Tag nicht arbeiten können. Macht 10x8x100 Euro. Bei nur einem Tag macht das ne Summe, Bei der die Managementebene nicht mehr so ewinfach mal mit der Schulter zuckt und sagt na und...
Sorry aber hätten wir die Dinge hier im Forum geklärt, dann wär es zu sehr zerfleddert worden und hätte ewig Zeit gekostet. Wir haben halb 4 und der Tag heute beginnt um 8 :-)
Wer sich interessiert und DYN IP nutzt der sollte mal folgendes installieren:
Genau vorher lesen!!!
http://gnudip2.sourceforge.net/
Dann kapiert man was das ist, Server unter dynip. Dann weiss man auch warum ich mich entschieden habe, keinen fremden Dynservice zu nutzen.
Nebenbei loihnt es sich wenn man es geschaft hat sich in Bind einzuarbeiten.
Re: VPN-Frage
habe gestern das project IPcop (http://www.ipcop.org) entdeckt, welches auch mit dynamischen ips an beiden enden klarkommen soll und werde das kommende woche mal auf praxistauglichkeit testen :)
Re: VPN-Frage
Du könntest als DSL Provider Kamp (http://www.kamp-dsl.de/) benutzten, die bieten für 10 â?¬ zusätzlich eine feste IP an. Das wäre vielleicht die einfachste Lösung.
Re: VPN-Frage
danke dir :) das hört sich ganz gut an!
Re: VPN-Frage
zu der sache mit dem fremden dynservice: wenn die IP gespooft wird, kann man zwar keine Verbindung zm richtigen Rechner aufbauen, aber auch nicht zum falschen, solange man die RSA-PubKeys in der ipsec.conf einträgt.