Mehrere VPN-Verbindungen um mehrere Server gleichzeitig zu monitoren?

[stk]

Moin,

Ausgangskonstellation: mehrere Kunden mit je einem OS X Server, alle per VPN ansprechbar. Einwahl zu den Servern sequentiell per »Internet-Verbindung«. Verwaltung und Monitoring per ARD, WGM und Serveradmin. Internetzugang per Draytek 2200x (der wohl auch immer nur eine VPN-Verbindung zu gleich kann, wenn ich das richtig sehe)

Ziel: alle Server zu gleichzeitig ansprechbar und permanentes Monitoring über Serveradmin-Zusammenfassung.

Fragen: überhaupt machbar? Braucht's zusätzliche/andere Hard- und/oder Software um mehrere VPNs zugleich offen zu halten? Gibt es andere Lösungen um zum beschriebenen Ziel zu kommen? Idealerweise ohne, das ich auf Kundenseite in den Routern weitere Ports öffnen/weiterleiten muß (das wäre die einfachste Möglichkeit, die mir spontan einfiele).

Gruß Stefan

 

[pepi]

Per Software Internet Connection kann man offiziell nur 2 VPN Verbindungen unterschiedlichen Typs gleichzeitig aufbauen. Also eine PPTP und eine L2TP Verbindung. Das ist leider etwas wenig. Theoretisch glaube ich, daß der zugrundeliegende racoon derer gleichartiger auch mehrere verarbeiten könnte. Bliebe wohl nur der Weg übers Terminal.

Inwiefern Dir mit IPsecuritas geholfen wäre vermag ich nicht zu beurteilen, es ist, da kostenlos, auf alle Fälle einen Blick wert.

Alternativ könntest Du Dir einen anderen Router bei Dir zulegen. Ich selbst verwende einen Draytek Vigor 2900g, der inzwischen durch die noch bessere 2910 Serie abgelöst wurde. Mit diesen beiden Serien sind mehrere ein- und ausgehende VPN Tunnel gleichzeitig möglich. (i, g und v Varianten natürlich optional.)

Ob ich das wirklich wollte permanent per VPN beim Kunden drinnen zu sein lasse ich mal offen. Immerhin würde dies auch ein Gerät von mir im LAN des Kunden durch eine IP exponieren.

Alternativ eine SSH Verbindung auf einem non-standard Port auf eine Quell IP eingeschränkt und mit SSH keys versehen zum Tunneln verwenden. Dies würde natürlich zumindest einen weiteren offenen Port implizieren.

Damit wäre auch das potentielle Routingproblem welches bei vielen VPN Verbindungen entstehen kann einfacher in den Griff zu bekommen. Sobald nämlich zwei oder mehr Deiner Kunden die idente IP Range verwenden hast Du mit den VPNs ein Problem. (Einer der Gründe warum ich über die LAN Ranges meiner Kunden Buch halte und versuche jedem eine eigene Range zu verpassen. Erleichtert es auch den Kunden sich vom Heim-LAN ins Firmen LAN zu hängen wenn nicht alle mit 192.168.0.0/24 unterwegs sind.)

Die letzte Idee wäre bei jedem Kunden einen OpenVPN Server einzurichten. Ob man dann stattdessen die L2TP/PPTP VPN Ports zugunsten dessen schließt oder nicht sei dahingestellt.
Gruß Pepi

 

[ezi0n]

Fragen: überhaupt machbar? Braucht's zusätzliche/andere Hard- und/oder Software um mehrere VPNs zugleich offen zu halten? Gibt es andere Lösungen um zum beschriebenen Ziel zu kommen? Idealerweise ohne, das ich auf Kundenseite in den Routern weitere Ports öffnen/weiterleiten muß (das wäre die einfachste Möglichkeit, die mir spontan einfiele).

Gruß Stefan

denke da kommst du ohne zusätzliche hardware nicht weiter ... du brauchst bei dir nen gateway was verbindungen zu all deinen kunden aufbauen kann und die halten kann also zB wenn der router VPN kann dann ein Gateway bei dir was dir mehrere verbindungen aufbauen kann .. das würd mir jetzt so ad hoc einfallen ..

 

[slowfranklin]

VPNTracker
Professionel Version -> 1. Feature das die Personal Edition nicht hat

-Ralph

 

[Patrick]

Der Vigor 2200x kann mehrere (AFAIR 8) VPN-Kanäle gleichzeitig, allerdings muß man die von Hand aktivieren, sprich die Verbindung aufbauen. Mein 2200e+ machte das dann selbständig (wie auch mein aktueller 2800er), sowie eine entsprechende IP angefordert wurde. Hatte zur Folge, daß jedes Öffnen von ARD mit den bekannten Computern sofort etliche VPN-Kanäle aufgebaut hat.

 

[stk]

Per Software Internet Connection kann man offiziell nur 2 VPN Verbindungen unterschiedlichen Typs gleichzeitig aufbauen. Also eine PPTP und eine L2TP Verbindung.

Also nur eine . PPTP kommt mir nicht in die Tüte.

Inwiefern Dir mit IPsecuritas geholfen wäre vermag ich nicht zu beurteilen, es ist, da kostenlos, auf alle Fälle einen Blick wert.

Das ist doch schon mal ein Suchansatz. Thx.

Alternativ könntest Du Dir einen anderen Router bei Dir zulegen.

Der Vigor 2200x kann mehrere (AFAIR 8) VPN-Kanäle gleichzeitig, allerdings muß man die von Hand aktivieren, sprich die Verbindung aufbauen.

Da steckt im Moment noch der größte Klärungsbedarf. Ich kann in der Tat mehrere VPN-Verbindungen anlegen, sehe aber noch nicht, wie ich die parallel betreiben kann. Zumal die Rechneridentifizierung (im Moment i.d.R. als Shared Secret eingestellt) nur einmalig anzugeben ist, aber jeder Kundenserver natürlich ein anderes PW hat.

Gibt's irgendwo ein HowTo, wo die Konfiguration dieses, oder auch eines anderen Vigors mit multiplen VPNs Verbindungen beschrieben ist? Oder könnte mir jemand ein paar (anonymisierte) Screenshots bereitstellen?

Ob ich das wirklich wollte permanent per VPN beim Kunden drinnen zu sein lasse ich mal offen. Immerhin würde dies auch ein Gerät von mir im LAN des Kunden durch eine IP exponieren.

Damit könnte ich leben.

Alternativ eine SSH Verbindung auf einem non-standard Port auf eine Quell IP eingeschränkt und mit SSH keys versehen zum Tunneln verwenden. Dies würde natürlich zumindest einen weiteren offenen Port implizieren.

Hmm, na ja … wenn alle Stricke reissen …

Damit wäre auch das potentielle Routingproblem welches bei vielen VPN Verbindungen entstehen kann einfacher in den Griff zu bekommen. Sobald nämlich zwei oder mehr Deiner Kunden die idente IP Range verwenden hast Du mit den VPNs ein Problem. (Einer der Gründe warum ich über die LAN Ranges meiner Kunden Buch halte und versuche jedem eine eigene Range zu verpassen. Erleichtert es auch den Kunden sich vom Heim-LAN ins Firmen LAN zu hängen wenn nicht alle mit 192.168.0.0/24 unterwegs sind.)

In der Tat - das Lehrgeld zahle ich gerade. Natürlich haben so ziemlich alle Kundennetze identische Ranges, aber gut, das würde ich anfassen, so viel Aufwand ist's nicht, wie ich jüngst feststellen konnte.

VPNTracker
Professionel Version -> 1. Feature das die Personal Edition nicht hat

$ 200. Auch gilt oben gesagtes zu den Stricken … .

Danek schon mal bis hierher, das waren ein paar sehr gute Inputs, die ich erstmal weiterverarbeiten werde.

Gruß Stefan

 

[Patrick]

Da steckt im Moment noch der größte Klärungsbedarf. Ich kann in der Tat mehrere VPN-Verbindungen anlegen, sehe aber noch nicht, wie ich die parallel betreiben kann.

Guckst Du hier oder hier, hilft vielleicht.

Die 2200er (also X/W/etc.) waren bis auf bestimmte Features (ISDN, WLAN, USB, etc.) baugleich. Laut dem hier konnte der 2200We 8 gleichzeitige VPN-Kanäle, also sollte das gleiche auch für den 2200X gelten.