1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Einwahl in ein Arbeitsgruppennetzwerk via VPN

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Rubashov, 25.04.08.

  1. Rubashov

    Rubashov Braeburn

    Dabei seit:
    06.02.05
    Beiträge:
    42
    Hallo

    Bei der Konzeption und der Installation einer technischen Lösungen für die Einwahl mobiler Arbeitsplätze in ein Arbeitsgruppennetzwerk via VPN sind einige Fragen aufgekommen, für welche ich bislang keine Antwort habe finden können. Deshalb wende ich mich mit diesen vertrauensvoll an dieses Forum, in der Hoffnung, passende Antworten zu bekommen.

    Der technische Ist-Zustand sieht wie folgt aus:

    Es existiert eine Arbeitsgruppe mit mehreren Clients und einem zentralen Fileserver. Alle Clients als auch der Server laufen unter Mac OS X 10.5.x.
    Bislang stellt der Server nur Filesharing-Dienste zur Verfügung.
    Sowohl die Clients als auch der Server werden innerhalb eines virtuellen LANs eines großen institutionellen Netzwerkes betrieben, sind von diesem aber institutionell, rechtlich, personell und finanziell unabhängig.

    Um in der Zukunft zu verhindern, daß Mitglieder der Arbeitsgruppe sich kurzfristig benötigte Dateien via E-Mail schicken (müssen), soll Mitgliedern im Außeneinsatz der direkte Zugriff auf die Daten des Servers ermöglicht werden.
    Hierbei soll eine VPN-Technologie zum Einsatz kommen.

    Obwohl die Hard- als auch Software des Servers in der Lage ist, die Funktion eines VPN-Gateways zu übernehmen soll hierfür eine dedizierte Hardwarelösung angeschafft und betrieben werden.
    Diese Entscheidung basiert auf dem Umstand, daß der Betreiber des übergeordneten Netzes keine mehrfach kaskadierenden VNP-Strukturen aufbauen und deshalb einem VPN-Gateway der Arbeitsgruppe nur eine externe IP sowie einen DNS-Eintrag zuweisen wird. Der VPN-Einwahlpunkt steht damit exponiert im WAN.
    Aus diesem Grund soll die VPN-Lösung nicht über Software auf dem Server, sondern mittels spezialisierter Hardware realisiert werden. Potentielle ungebetene Gäste können sich dann an der separaten Maschine und dessen OS bzw. Einstellungen abreagieren und haben keinen unmittelbaren direkten Kontakt mit einem anderenfalls exponierten Server.

    Da die Arbeitsgruppe jedoch weder ideellen noch finanziellen oder personellen Support vom übergeordneten Netzbetreiber bezüglich der Einrichtung einer VPN-Lösung bekommen wird und die finanziellen Ressourcen der Arbeitsgruppe leider sehr begrenzt sind, muß die VPN-Lösung in Eigenregie entwickelt, aufgebaut und betrieben werden.

    Hier nun die bislang offenen Fragen:

    1.
    Welche Hardwarelösung (VPN-Router) ist empfehlenswert für den Betrieb von max. 5 VPN-Tunneln via IPSec?

    a)
    Wichtigstes Entscheidungskriterium bei der Hardwarebeschaffung ist die Einfachheit derer Administration.

    b)
    Die Verbindung zwischen VPN-Gateway und externem Arbeitsplatz sollte möglichst clientless, d.h. mit Bordmitteln von Mac OS X 10.5 und nicht mittels separaten Clients wie z.B. denen von Cisco oder Lancom möglich sein.

    2.
    Was ist der wesentliche Unterschied zwischen Geräten der 100-Euro- und der 500-Euro-Klasse? Auf den Datenblättern nehmen sich die Geräte kaum etwas oder weisen die gleichen Merkmale auf.

    3.
    Um die Administration der Technik so einfach wie möglich zu halten, soll das VPN-Gateway die zulässigen VPN-Nutzer anhand der Nutzerrechte auf dem Fileserver bestimmen (Gruppe der VPN-Nutzer auf dem Server). Mit welcher Technik kann man dies erreichen?



    Vielen Dank für die Hilfe durch die Beantwortung der Fragen.


    Nikolas
     
  2. blueberry

    blueberry Idared

    Dabei seit:
    11.05.08
    Beiträge:
    27
    Hallo,

    wir betreiben ein VPN in einer aehnlichen Infrastruktur. Vllt kann ich ein paar Anregungen dazu geben.

    zu 1.)
    Wir nutzen ein OpenVPN. Als Hardware koennen je nach gewuenschter Verfuegbarkeit Desktop Hardware, Rackserver mit Raid oder Embedded Systeme eingesetzt werden.
    -a) Webbasierte Administration
    -b)Leider nicht Clientless ( je nach Nutzerzahl nicht unbedingt ein Nachteil)

    zu 2.)
    Die Geraete unterscheiden sich im Tatsaechlichen Durchsatz bei mehreren Nutzern
    (Wir haben eine Boxed Loesung gegen den OpenVPN verglichen und die Leistung der Box war wesentlich geringer)

    zu 3.)
    Je nach Authentifizerungsmethode waere ein Export der User auf das VPN System denkbar.
    Der Nutzen haengt dann von der Nutzerzahl ab. Unter 20 Nutzer koennen auch mit geringem
    Aufwand haendisch verwaltet werden.

    Gruesse!
     

Diese Seite empfehlen