Hallo
Bei der Konzeption und der Installation einer technischen Lösungen für die Einwahl mobiler Arbeitsplätze in ein Arbeitsgruppennetzwerk via VPN sind einige Fragen aufgekommen, für welche ich bislang keine Antwort habe finden können. Deshalb wende ich mich mit diesen vertrauensvoll an dieses Forum, in der Hoffnung, passende Antworten zu bekommen.
Der technische Ist-Zustand sieht wie folgt aus:
Es existiert eine Arbeitsgruppe mit mehreren Clients und einem zentralen Fileserver. Alle Clients als auch der Server laufen unter Mac OS X 10.5.x.
Bislang stellt der Server nur Filesharing-Dienste zur Verfügung.
Sowohl die Clients als auch der Server werden innerhalb eines virtuellen LANs eines großen institutionellen Netzwerkes betrieben, sind von diesem aber institutionell, rechtlich, personell und finanziell unabhängig.
Um in der Zukunft zu verhindern, daß Mitglieder der Arbeitsgruppe sich kurzfristig benötigte Dateien via E-Mail schicken (müssen), soll Mitgliedern im Außeneinsatz der direkte Zugriff auf die Daten des Servers ermöglicht werden.
Hierbei soll eine VPN-Technologie zum Einsatz kommen.
Obwohl die Hard- als auch Software des Servers in der Lage ist, die Funktion eines VPN-Gateways zu übernehmen soll hierfür eine dedizierte Hardwarelösung angeschafft und betrieben werden.
Diese Entscheidung basiert auf dem Umstand, daß der Betreiber des übergeordneten Netzes keine mehrfach kaskadierenden VNP-Strukturen aufbauen und deshalb einem VPN-Gateway der Arbeitsgruppe nur eine externe IP sowie einen DNS-Eintrag zuweisen wird. Der VPN-Einwahlpunkt steht damit exponiert im WAN.
Aus diesem Grund soll die VPN-Lösung nicht über Software auf dem Server, sondern mittels spezialisierter Hardware realisiert werden. Potentielle ungebetene Gäste können sich dann an der separaten Maschine und dessen OS bzw. Einstellungen abreagieren und haben keinen unmittelbaren direkten Kontakt mit einem anderenfalls exponierten Server.
Da die Arbeitsgruppe jedoch weder ideellen noch finanziellen oder personellen Support vom übergeordneten Netzbetreiber bezüglich der Einrichtung einer VPN-Lösung bekommen wird und die finanziellen Ressourcen der Arbeitsgruppe leider sehr begrenzt sind, muß die VPN-Lösung in Eigenregie entwickelt, aufgebaut und betrieben werden.
Hier nun die bislang offenen Fragen:
1.
Welche Hardwarelösung (VPN-Router) ist empfehlenswert für den Betrieb von max. 5 VPN-Tunneln via IPSec?
a)
Wichtigstes Entscheidungskriterium bei der Hardwarebeschaffung ist die Einfachheit derer Administration.
b)
Die Verbindung zwischen VPN-Gateway und externem Arbeitsplatz sollte möglichst clientless, d.h. mit Bordmitteln von Mac OS X 10.5 und nicht mittels separaten Clients wie z.B. denen von Cisco oder Lancom möglich sein.
2.
Was ist der wesentliche Unterschied zwischen Geräten der 100-Euro- und der 500-Euro-Klasse? Auf den Datenblättern nehmen sich die Geräte kaum etwas oder weisen die gleichen Merkmale auf.
3.
Um die Administration der Technik so einfach wie möglich zu halten, soll das VPN-Gateway die zulässigen VPN-Nutzer anhand der Nutzerrechte auf dem Fileserver bestimmen (Gruppe der VPN-Nutzer auf dem Server). Mit welcher Technik kann man dies erreichen?
Vielen Dank für die Hilfe durch die Beantwortung der Fragen.
Nikolas
Bei der Konzeption und der Installation einer technischen Lösungen für die Einwahl mobiler Arbeitsplätze in ein Arbeitsgruppennetzwerk via VPN sind einige Fragen aufgekommen, für welche ich bislang keine Antwort habe finden können. Deshalb wende ich mich mit diesen vertrauensvoll an dieses Forum, in der Hoffnung, passende Antworten zu bekommen.
Der technische Ist-Zustand sieht wie folgt aus:
Es existiert eine Arbeitsgruppe mit mehreren Clients und einem zentralen Fileserver. Alle Clients als auch der Server laufen unter Mac OS X 10.5.x.
Bislang stellt der Server nur Filesharing-Dienste zur Verfügung.
Sowohl die Clients als auch der Server werden innerhalb eines virtuellen LANs eines großen institutionellen Netzwerkes betrieben, sind von diesem aber institutionell, rechtlich, personell und finanziell unabhängig.
Um in der Zukunft zu verhindern, daß Mitglieder der Arbeitsgruppe sich kurzfristig benötigte Dateien via E-Mail schicken (müssen), soll Mitgliedern im Außeneinsatz der direkte Zugriff auf die Daten des Servers ermöglicht werden.
Hierbei soll eine VPN-Technologie zum Einsatz kommen.
Obwohl die Hard- als auch Software des Servers in der Lage ist, die Funktion eines VPN-Gateways zu übernehmen soll hierfür eine dedizierte Hardwarelösung angeschafft und betrieben werden.
Diese Entscheidung basiert auf dem Umstand, daß der Betreiber des übergeordneten Netzes keine mehrfach kaskadierenden VNP-Strukturen aufbauen und deshalb einem VPN-Gateway der Arbeitsgruppe nur eine externe IP sowie einen DNS-Eintrag zuweisen wird. Der VPN-Einwahlpunkt steht damit exponiert im WAN.
Aus diesem Grund soll die VPN-Lösung nicht über Software auf dem Server, sondern mittels spezialisierter Hardware realisiert werden. Potentielle ungebetene Gäste können sich dann an der separaten Maschine und dessen OS bzw. Einstellungen abreagieren und haben keinen unmittelbaren direkten Kontakt mit einem anderenfalls exponierten Server.
Da die Arbeitsgruppe jedoch weder ideellen noch finanziellen oder personellen Support vom übergeordneten Netzbetreiber bezüglich der Einrichtung einer VPN-Lösung bekommen wird und die finanziellen Ressourcen der Arbeitsgruppe leider sehr begrenzt sind, muß die VPN-Lösung in Eigenregie entwickelt, aufgebaut und betrieben werden.
Hier nun die bislang offenen Fragen:
1.
Welche Hardwarelösung (VPN-Router) ist empfehlenswert für den Betrieb von max. 5 VPN-Tunneln via IPSec?
a)
Wichtigstes Entscheidungskriterium bei der Hardwarebeschaffung ist die Einfachheit derer Administration.
b)
Die Verbindung zwischen VPN-Gateway und externem Arbeitsplatz sollte möglichst clientless, d.h. mit Bordmitteln von Mac OS X 10.5 und nicht mittels separaten Clients wie z.B. denen von Cisco oder Lancom möglich sein.
2.
Was ist der wesentliche Unterschied zwischen Geräten der 100-Euro- und der 500-Euro-Klasse? Auf den Datenblättern nehmen sich die Geräte kaum etwas oder weisen die gleichen Merkmale auf.
3.
Um die Administration der Technik so einfach wie möglich zu halten, soll das VPN-Gateway die zulässigen VPN-Nutzer anhand der Nutzerrechte auf dem Fileserver bestimmen (Gruppe der VPN-Nutzer auf dem Server). Mit welcher Technik kann man dies erreichen?
Vielen Dank für die Hilfe durch die Beantwortung der Fragen.
Nikolas