Welcher VPN Server, Anleitungen, Empfehlungen

[Obile]

Hallo,

ich suche derzeit nach einer einfachen VPN Lösung.

Die VPN sollte eigentlich nur zur Datenübertragung zur NAS und für RDP genutzt werden.

Welche Lösung könnt ihr mir empfehlen?

Ist openVPN auch für Anfänger geeignet?
Kennt ihr für meine Anforderungen gute Tutorials?

Könnt ihr sonst noch eine VPN Lösung empfehlen?

Danke

 

[Pascal_Peter]

Ich habe vor kurzem, 2 Monate oder so, mal was auf OpenVPN Basis gemacht. Hatte dazu ein Buch von einem Kollegen zur Hand (http://www.galileocomputing.de/1802?GPP=opubu5).

Hier mal mein kurzer Input:
Willst du auf einen einzelnen PC zugriff habe oder auf "das Ganze" Netz?

Ich hatte damals einen Laptop im Netz als VPN Endpunkt und musste zugriff auf das Ganze Netz haben. Für die Verbindung musste ich auf dem Router Port Forwarding konfigurieren. Für den Zugriff auf das Ganze Netz musste auf dem Default Gateway eine statische Route gesetzt werden. (Port Forwarding und Statische Route werden nicht von allen „billig“ Router unterstützt.)

Einfacher wäre gewesen den Router als VPN Endpunkt zu haben (benötigt aber einen entsprechenden Router mit „VPN Endpunkt Funktion“).

Willst du nur auf einen PC verbinden und arbeiten, Bsp. RDP/MSTSC und dein Router hat die Möglichkeit für Port Forwarding ist OpenVPN Volkommen ausreichend.

EDIT: Verstehe ich dich richtig. Du bist unterwegs (mit NB) und benötigst zum Beispiel eine Datei von deinem NAS zuhause oder willst was auf deinem HomeServer machen? Du hast Internet unterwegs (UMTS oder Public WLAN) und möchtest dich nun via VPN Verbindung und so nun Zugriff auf NAS und Server habe? Sprich du benötigst Zugriff auf dein Heimnetz. Hier wäre es m.M.n sinnvoll für etwas Geld eine(n) Firewall/Router mit VPN Funktion (Endpunkt!) zu kaufen und dort direkt VPN zu konfigurieren.

 

[Obile]

Danke für den Link.

Hier mal mein kurzer Input:
Willst du auf einen einzelnen PC zugriff habe oder auf "das Ganze" Netz?

Zugriff auf das ganze Netz.

Für den Zugriff auf das Ganze Netz musste auf dem Default-Gateway eine statische Route gesetzt werden. (Port Forwarding und statische Route werden nicht von allen „billig“ Router unterstützt.)

Einfacher wäre gewesen den Router als VPN Endpunkt zu haben (benötigt aber einen entsprechenden Router mit „VPN Endpunkt Funktion“).

Modem wäre ein ZyXEL P-660H-D1, ohne VPN Funktion.

Willst du nur auf einen PC verbinden und arbeiten, Bsp. RDP/MSTSC und dein Router hat die Möglichkeit für Port Forwarding ist OpenVPN Volkommen ausreichend.

Wäre die natürlich einfachste Möglichkeit. Dabei wäre aber das Problem mit der Datenübertragung und der NAS.
Die VPN wird auch für den ESXi benötigt, wo auch der VPN Server installiert werden sollte.

 

[webmi]

Letzte Woche PPTP-VPN unter Linux aufgesetzt, waren 30 min Arbeit.
Super simple eigenltich. Das HIER hilft evtl. (Optional) (Optional)

Je nachdem wie schnell deine iNet-Verbindung ist macht die Datenübertragung jedoch weniger Spaß
Videostreaming aufs iPad im VPN mit der aktuell noch 16er Leitung ist nicht zu empfehlen ;D
Hoffentlich schalten die mir bald meine 100Mbit

 

[Pascal_Peter]

Also du willst OpenVPN auf einer virtuellen Maschine installieren? Ich bin nicht 100% sicher ob das auch alles mit Virtuellen PC funktioniert, sollte aber schon... denk ich mal ...

Gehen wir mal davon aus das du OpenVPN auf dem virt. PC installiert hast. Port Forwarding (Port 1194 oder so...) von Router/Default-Gateway auf den virt. PC konfiguriert hast. Nun hast du nur Zugriff auf den virt. PC, d.h. du verbindest dich via. RDP/MSTSC auf den virt. PC und von dort kannst du arbeiten. Um zum Beispiel Dateien mit dem NAS auszutauschen muss du diese dann vom NB auf den virtl. PC kopieren und von dort weiter auf das NAS.

Damit du dir diesen komischen weg sparen kannst, musst du das Ganze Netz für dein NB zugänglich machen. Du musst dazu auf deinem Router/Default-Gateway eine statische Route einrichten. Ansonsten landen die Antwort-Pakete „routing“-technisch direkt im Internet und nicht im VPN-Tunnel.

Zu deinem Modem/Router kann ich gerade nichts sagen, habe ich mir gerade nicht angeschaut.

 

[Obile]

Damit du dir diesen komischen weg sparen kannst, musst du das Ganze Netz für dein NB zugänglich machen. Du musst dazu auf deinem Router/Default-Gateway eine statische Route einrichten. Ansonsten landen die Antwort-Pakete „routing“-technisch direkt im Internet und nicht im VPN-Tunnel.

Das mit der statischen Route habe ich anscheinend noch nicht ganz verstanden.
Wozu sollte eine Statische Route benötigt werden?

Wenn die Subnetze so aufgebaut wären:
Client: 192.168.2.1 (VPN: 192.168.1.2)
Server: 192.168.1.1

Werden dann nicht die Pakete die für die 192.168.1.* Range bestimmt sind, direkt durch die VPN geleitet werden?

 

[webmi]

dein vpn-gateway (openvpn in der VM) stellt die verbindung zwischen client [192.168.2.1 (VPN: 192.168.1.2)] und deinem Netz [192.168.1.1] her. Somit hast du auch zugriff auf andere Geräte im Netz zb. dem NAS mit 192.168.1.10

dein vpn-gateway muss dazu natürlich einmal dein lokales netz kennen und einen weg nach draußen zb. via dyndns und der portfreigabe auf deinem DSL router

 

[Pascal_Peter]

Also... ich versuche das mal verständlich zu erklären.

Dein NB im Public_WLAN
Dein VM_OpenVPN Server im Lokalen Netz: 192.168.1.10
Dein NAS: 192.168.1.11
Dein Router/Default-Gateway: 192.168.1.254

Wird mit OpenVPN die Verbindung aufgebaut, wird automatisch ein „Virtuelles VPN Netz“ zwischen deinem NB und den VM_OpenVPN Server aufgebaut (Subnetz frei wählbar...)

Wir nehmen dazu das Netz 10.10.10.0, dein NB hat also 10.10.10.2 und dein VM_OpenVPN Server nimmt automatisch 10.10.10.1.

Schickst du nun eine Anfrage an dein NAS wandert dein Packet in den VPN-Tunnel (10.10.10.0 Netz) und kommt beim VM_OpenVPN Server raus und geht an dein NAS. Als Absender des Paketes ist aber 10.10.10.2 eingetragen. Dein NAS „kennt“ aber das Netz 10.10.10.0 nicht, ergo geht das Antwort-Paket an den Standard-Default-Gateway. Der Gateway kennt das Netz 10.10.10.0 aber auch nicht und verwendet für die Weiterleitung ebenfalls die Standard 0.0.0.0 Route -> Ergo geht das Paket ins Internet und ist somit verloren.

Du musst also auf dem Gateway eine statische Route hinterlegen für das Netz 10.10.10.0, Zielhost 192.168.1.10 OpenVPN Server (dieser Host kennt das 10.10.10.0 Netz ja, da er darin „Mitglied ist). So wird das Paket dann am Ende wieder in den VPN Tunnel gepackt und landet wieder bei deinem NB.

Ist alles sehr umständlich, einfach wäre es darum du kaufst dir „eine professionelle Firewall“ mit VPN (Endpunkt) Konfigurationsmöglichkeit (Kostenpunkt, vielleicht 100 – 200 Euro?). Dadurch entfallen Port Forwarding und statische Routen, da dein VPN Endpunkt direkt auch Default-Gateway ist. Ausserdem kannst du dann besser kontrollieren und konfigurieren auf was du mit VPN zugriff haben sollst. So das zum Beispiel alle VPN Host nur zugriff auf das NAS haben und der Rest vom Netz gesperrt ist.

Ausserdem muss du bei OpenVPN bei einer Client-to-Network Verbindung immer mit Zertifikaten arbeiten, eine Verbindung mit statischen Key ist nicht möglich. Du musst also noch eine CA installieren (Scripts dazu sind bei OpenVPN aber dabei...).

Oder eben du schaust was auf Linuxbasis möglich ist, hier kann ich aber nichts dazu sagen. Sonymike kann dir hier sicher besser Auskunft geben.

 

[Obile]

Schickst du nun eine Anfrage an dein NAS wandert dein Packet in den VPN-Tunnel (10.10.10.0 Netz) und kommt beim VM_OpenVPN Server raus und geht an dein NAS. Als Absender des Paketes ist aber 10.10.10.2 eingetragen. Dein NAS „kennt“ aber das Netz 10.10.10.0 nicht, ergo geht das Antwort-Paket an den Standard-Default-Gateway. Der Gateway kennt das Netz 10.10.10.0 aber auch nicht und verwendet für die Weiterleitung ebenfalls die Standard 0.0.0.0 Route -> Ergo geht das Paket ins Internet und ist somit verloren.

Wenn der VPN Server als Router fungiert, sollte der dann durch NAT nicht als Absenderadresse seine eigene IP eintragen?

Ausserdem muss du bei OpenVPN bei einer Client-to-Network Verbindung immer mit Zertifikaten arbeiten, eine Verbindung mit statischen Key ist nicht möglich. Du musst also noch eine CA installieren (Scripts dazu sind bei OpenVPN aber dabei...).

Was ist der Vorteil/Nachteil von Zertifikaten?

Wenn ich die Konfiguration vom openVPN Server so überfliege sehe ich dort folgende Möglichkeiten:

Local
PAM
RADIUS
LDAP

Wie sieht es eigentlich mit der Sicherheit bei der Normalen User/pwd Authentifizierung aus?

 

[webmi]

bei mir sind vpn subnetz und locales netz gleich, deshalb bin ich wahrscheinlich noch nicht über das routingproblem gestoßen

local: 192.168.54.2 - 200
vpn: 192.168.54.201 -250

ps: vpn server(linux) fungiert auch als router

 

[Pascal_Peter]

Betreffend NAT bin ich mir jetzt nicht sicher.

Vorteile von Zertifikate? Hmm im Privaten gebrauch wohl eher weniger. Zertifikate sind sinnvoll wenn du auch einen richtigen CA-Server hast, also in grösseren Unternehmen mit mehreren verschiedenen Benutzern die VPN benötigen.

Normale User/pwd Authentifizierung habe ich gar nicht angeschaut. Sicherheit ist hier aber auch wieder Passwort abhängig. Je besser das Passwort umso sicherer. Der Austausch von Informationen, Schlüssel/Zertifikate/Passwörter, funktioniert im Normalfall nur verschlüsselt.

@sonymike. Habe ich damals bei OpenVPN auch versucht. Hatte dann aber diverse Fehler und habe darum wieder mit der "Musterkonfiguration" gearbeitet bis es funktioniert hatte. Dort wird immer ein anderes Netz fürs VPN-Netz verwendet. Aber eingetlich müsste es schon funktionieren... aber kann es nicht mehr testen, da ich den Router bereits wieder zurück gegeben habe (Mit unserem aktuellen Poperouter funktioniert OpenVPN leider nicht). Wäre aber schon gut zu wissen bzw. testen...