Fragen, OpenVPN Netzwerk

[Domi83]

Hallo Leute, ich habe mal eine kleine aber doch spezielle Frage... Bei meinen Kunden habe ich auf den Servern einen OpenVPN installiert, der mir die Möglichkeit gibt von extern auf das Netzwerk zuzugreifen, wenn es Probleme gibt. Unter anderem mache ich dadurch auch am späten Abend die Kontrolle der Datensicherungen etc.

Nun kam mir folgender Gedanke (falls das überhaupt geht), ich habe mehrere Server in den Rechenzentren und einer davon besitzt sogar einen VPN Dienst. Mein Gedanke wäre nun, einen OpenVPN Server auf einem separaten Port zu starten, alle Server von meinen Kunden verbinden sich dort hin und ich selbst verbinde mich von meinem Notebook auch zu diesem Server und kann auf alle Netzwerke zugreifen. Das ist ja eine Site-to-Site Verbindung, wobei mein Notebook eigentlich wieder ein Endpunkt ist und nicht das gesamte Netzwerk Verfügbar machen soll.

Die Netze haben alle unterschiedliche Adressen, somit wäre das Problem schon mal vom Tisch. Nun wäre aber die Frage, kann man im OpenVPN sagen das die Netze meiner Kunden sich nicht untereinander ansprechen dürfen, ich aber von meinem Notebook / Client aus alle Netze ansprechen kann, oder muss man dafür wieder andere Dienste in Anspruch nehmen?

Vorteil wäre, ich könnte via RDP alle Server ansprechen, ohne das ich immer zu einem anderen VPN Netz umschalten muss und sollte mal einer meiner Kunden (hab da einen, der sich auch mal selbst hilft) den Router wegen einem Defekt tauschen, muss ich mich nicht darum kümmern einen Port frei zu geben

Gruß, Domi

 

[Bagbag]

Nicht direkt eine Lösung für deine Frage, aber auch eine Möglichkeit, die einfacher wäre (zumindest wenn es sich um Linux Server handelt):

SSH-Tunnel. Einfach in dein SSH Client (Putty?) die Verbindungen abspeichern, dann kannst du per Doppelklick darauf einen Tunnel starten und kannst per RDP immer über die gleiche Adresse auf den aktiven Tunnel zugreifen.

 

[Raijin]

Klar geht das. Grundsätzlich ist OpenVPN ja nichts anderes als eine (virtuelle) LAN-Verbindung. Das heißt man kann auch die Firewall des Servers entsprechend konfigurieren.

Welches Betriebssystem hat dein Server? Meine dringende Empfehlung wäre hier ein Linux oder ein Windows Server, kein Windows Desktop. Mit Linux würdest du dann in den iptables entsprechend den Traffic zwischen den Subnetzen blockieren bzw. nur die Verbindung von deinem Laptop aus erlauben. Dazu könntest du zB deinem Laptop im OpenVPN-Server eine statische VPN-IP geben und nur diese bzw. falls gewünscht noch das lokale Server-LAN in der Firewall für den Zugriff auf die Kundennetzwerke freigeben.

 

[Domi83]

Hallöchen, also die Server bei meinen Kunden sind größtenteils Windows Server, mein Server im Rechenzentrum der als zentrale Schnittstelle dienen soll (mit dem sich alle verbinden), ist aber ein Linux basiertes System. Falls das eine der Hauptfragen beantwortet

Aber gut, an iptables hab ich schon gedacht, hätte aber sein können das man in der server.conf (die auf dem zentralen Server) solche Regeln mitteilen kann. Der Server im Rechenzentrum wäre ja so etwas wie ein Switch, oder eher gesagt wie ein Router und dem muss ich ja dann nur sagen das er bestimmte Verbindungen nicht erlauben soll, soweit korrekt?

Gruß, Domi

 

[Raijin]

In der server.conf gibt es die Option client-to-client. Wenn sie drinsteht, dann wird ein großes VPN-Subnetz gebaut und jeder VPN-Client kann jeden VPN-Client direkt erreichen, also zB pingen. Fehlt diese Option bzw. ist auskommentiert, dann bekommt jeder VPN-Client ein eigenes kleines /30er Subnetz und kann die anderen Clients nicht sehen.

Allerdings gilt das nur für direkte Verbindungen zwischen den Clients. Das heißt VPN-Client bei Kunde1 kann nicht direkt in das Subnetz von Kunde2 über dessen VPN-IP routen, weil er dessen VPN-IP nicht kennt bzw. erreichen kann. Wenn das Routing aber entsprechend gesetzt ist (zB VPN-Client ist gleichzeitig Default Gateway für das LAN), kann es trotzdem sein, dass man von einem PC bei Kunde1 auf einen PC bei Kunde2 kommt.
Hier kommen dann die iptables ins Spiel, die das grundsätzlich blocken.

Ich habe bei uns in der Firma seinerzeit zwei parallele OpenVPN-Instanzen aufgesetzt. Eine für die Kundenverbindungen und eine für die Techniker. So kann man explizit Traffic zwischen verschiedenen Interfaces bzw. Subnetzen mit der Firewall reglementieren und zB für das TechVPN auch Zugriff auf das Zentrale Server-LAN zulassen, während das aus dem KundenVPN verhindert wird. Wenn Techniker und Kunden in einem Subnetz sind, ist es etwas tricky, die auseinanderzuhalten und entsprechend zu blocken.