VPN Sessions zwischen Server - Sinn oder Unsinn?

[funnydingo]

Hallo zusammen,

ich habe da mal eine Frage zu Sinn (oder auch Unsinn) zu einer Ã?berlegen betreff VPN.

Ich habe mehrere Root-Server und möchte Daten zwischen diesen Austauschen. Um den Austausch so sicher wie möglich zu machen, kam ich auf die Idee, auf einer Maschiene einen VPN-Server einzurichten, auf dem sich die anderen Maschienen verbinden können.

Zu dem hätte dies den Vorteil, das ich verschiedene Dienste, (MySQL via Netzwerk, Webmin, FTP etc) auf die nicht jeder Zugreifen soll, nur auf der VPN Adresse lauschen lassen könnte. Diese würde mir z.B. die Möglichkeit bieten, mich von meinem Windows-Client via VPN in das "Netzwerk" einzuwählen und dort z.B. den MySQL-CC oder ähnliches zu nutzen.

Mich würde eure Meinung zu dieser Ã?berlegung interessieren.

Gruß,


Funny

[oxygen]

Im Prinzip ein denkbare Sache, aber bei wenigen Diensten würde ich der einfach halt halber einen ssh-Tunnel vorziehen.

[funnydingo]

Also,

ich habe gestern Abend noch mal versucht das VPN (via PPTPd) einzurichten, doch leider will mein Windows-Client die Verbindung nur aufbauen, wenn ich der Client-Seite den Zwang der verschlüsselung deaktiviere - nicht so ganz sinn der Sache.

Also hab ich mich kurzer Hand doch für den sshTunnel entschieden. Leider habe ich damit ein kleines Problem: Er will nicht :-(

Ich habe ein Forward von Client-Port 9000 auf "localhost:25" eingerichtet. Meines Wissens nach sollte ich nun bei einem "telnet localhost 9000" auf dem Client, eine SMTP-Verbidnung zum Mail-Server bekommen. Aber ich aus fliege aus der (Tunnel-) Session raus (die SSH-Session selbst bleibt bestehen). Im syslog kann ich auch keine Fehlermeldungen finden.

Hat jemand einen Tip?

[captaincrunch]

Ja: wenn du schon an ein VPN denkst, benutz keine Software, die äußerlich zwar wie ein VPN aussieht, aber trotzdem löchrig wie ein Schweizer Käse ist. Bei PPTP kannst du gleich auf eins verzichten.

Gegenvorschläge: IPSec oder OpenVPN

[funnydingo]

Habs ja auch mit IPsec/FreeSWAN probiert. Aber eigentlich hat sich VPN schon erledigt ;-) Ich möchte einfach nur den nicht funktionierenden sshTunnel zum laufen bekommen.

[darkspirit]

Lässt sich FreeSWAN nach der offiziellen Einstellung des Projektes eigentlich noch mit gutem Gewissen nutzen? Wer kümmert sich um Bugfixes und ähnliches?

[captaincrunch]

Es gibt zwei Forks: OpenSwan und (AFAIR) SuperSwan. Ersteres ist von dem Typen, der vorher die x.509-Erweiterungen etc. geschrieben hat. Ã?ber zweiteres kann ich gerade herzlich wenig sagen.

Das Projekt ist also alles andere als tot.

[funnydingo]

Der SSH-Tunnel läuft. Auf die Einfachste Idee kommt man ja nie:

L900 localhost:25 geht nicht, aber
L900 127.0.0.1:25 geht.

Nun ja! Danke trotzdem für eure Meinung zu VPN, der SSH-Tunnel ist dann doch wohl die bessere Entscheidung ;-)