Server für VPN-Netzwerk

[keepcurry]

Hallo.

Ich habe eine Frage die mich schon seit Tagen beschäftigt. Ich hoffe mal das ich hier richtig bin.

Ich soll für eine kleine Firma mit 5 Außenstellen ein VPN-Netz erstellen. Dieses dient praktisch nur dazu, Office-Dateien überall zugänglich zu machen. Ich habe dafür erstmal ca. 1000€ zur Verfügung. Die Außenstellen sollen so nach und nach angeschlossen werden.

Die einfachste möglichkeit wäre natürlich nun, für jeden Standort einen Router mit Geräte-VPN, und im Hauptbüro einen kleinen Fileserver aufzustellen. Allerdings habe ich keinen Router im Preisrahmen gefunden, der gleichzeitig auch "Software-VPN" beherrscht. Einige Mitarbeiter sollen sich auch von außen einwählen können.

Die zweite Möglichkeit wäre ein etwas potenterer Rechner als Server, auf welchem ein VPN-Server unter Ubuntu und der Fileserver läuft. Vll. mit XEN. Alle Windows-Rechner (pro Standort einer) in der Firma wählen sich dann dort nach bedarf ein.

Der Server soll jede Nacht ein Backup auf DVD/ext. HDD ziehen, daher fällt die einfache anbindung eines NAS schonmal aus. FTP ist nicht gewünscht.

Kennt ihr Router, die meine Anforderungen erfüllen. Evtl. würde ich auch Mischformen installieren, so dass sich nur die Gelegenheits-Verbindungen auf ddem Server einwählen, der Rest über Geräte-VPN verbunden wird. Wie stark sollte der Server bei den verschiedenen Lösungen sein (geringer Stromverbrauch ist wichtig)?

Gruß
kc

 

[h00ch]

Wie sind die bislang Standorte verbunden? Nur über Internet, static IPs/DSL/Standleitung?
Wie kommen die Clients/Server der Standorte ins Internet (Gateway/Router, Server (Betriebssysteme?) oder Standalone)?
1000€ für alles oder für einen Standort?
Betriebsysteme der Clients?
Anwendererfahrung der Nutzer der Clients?
Gibt es bislang einen globalen Verzeichnisdienst? Soll einer kommen? Wie soll das mit den Rechten laufen wenn alle in einem großen Netz sind?
Dürfen ausserhalb der 5 Standort noch andere Clients ran? Soll für die bevor sie ins VPN kommen eine Securityrule überprüfung stattfinden (Stand der Updates/Virenscanner/Firewall)?

 

[keepcurry]

Die Standorte sind bis jetzt überhaupt nicht verbunden. 4 Stück haben DSL (normale "Haushaltsanschlüsse"), einer soll vorerst über ISDN eingebunden werden, da noch kein DSL verfügbar ist. Des weiteren soll der Leiter sich auch über seinen privaten DSL Anschluß von zu Hause einloggen können.

Habe mir die Standorte noch nicht alle angesehen, aber ich rechne damit, dass an jedem Standort ein Rechner mit Zugangssoftware benutzt wird. Also nur Modem vorhanden.

Software auf den Clients ist Win XP. Eine kleine Schulung muss ich wohl eh machen, aber ich schätze ein Linux werde ich nicht "durchbekommen". Für viel mehr als eine kleine Arbeitsumgebung reichen meine Kenntnisse bei Linux allerdings auch noch nicht.

Erstmal 1000€für alles. Evtl sollen nicht sofort alle Standorte angeschlossen werden.

Ich habe keine Ahnung was ein globaler Verzeichnisdienst ist, aber ich denke, soetwas brauche ich nicht. Die gesamten Daten sollen nur per Samba geshared werden. Das VPN ist wichtig, da es sich hierbei um Datenschutzkritische Daten handelt. Das ganze soll möglichst komfortabel und einfach zu bedienen sein. Praktisch nur eine Ordner-Verknüpfung auf dem Win-Desktop, in dessen Ordner dann alle weiteren Ordner für die einzelnen Standorte liegen. Alles natürlich auf dem einen Server. Zugriffsrechte würde ich dann gerne per Samba verteilen.

Eine Securityrule-überprüfung hört sich erstmal gut an. Wahrscheinlich wird es dann aber an meinem können scheitern. Ich denke aber, dass ich durch das nachtliche Backup, regelmäßige Ausdrucke von nicht mehr zu ändernden Dateien und Ubuntu auf der Serverseite schon relativ sicher sein sollte. Für den Home-Client des Leiters könnte ich eine VM mit Ubuntu einrichten welche nur hierfür genutzt wird. Mhhh, hoffe das reicht.

Nochmal zur klarstellung: Außer den DSL-Anschlüssen besteht noch keinerlei vernetzung der Standorte. Alles soll jetzt aufgebaut werden.

Was mir jetzt noch einfällt: Ein weiterer Standort soll später per W-LAN eingebunden werden um einen DSL-Anschluss einzusparen. Diese möglichst auch per VPN gesichert.

Für alle die trotz des langen Textes nun an dieser stelle sind: Danke fürs lesen!!!

Gruß
kc

 

[h00ch]

Gut, das sieht bislang alles sehr klein aus.
Ich gebe mal 3 Vorschläge, jedoch wäre es sinnvoll noch zu wissen wieviele gleichzeitige Clients im VPN sich tummeln, nicht damit die Lösungen unterdimensioniert sind:

OpenVPN (ideal bei max 2 PCs pro Standort):
- Du richtest auf einem Server (Linux/Windows) einen OpenVPN Server ein. Auf Clientseite belässt du die vorhandende Router/Modem Hardware.
Du installierst auf jedem Windows XP Rechner die OpenVPN Software (gibt eine sehr gute GUI dafür) und konfigurierst alles.
Somit muss sich jeder Client selber einwählen, bekommt eine eigene IP Adresse im VPN (kann man auch statisch machen) und kann auf den Server zugreifen.
Vorteil: OpenVPN ist gratis, plattform übergreifend
Nachteil: Bei vielen Clients zu hoher Konfigurationsaufwand (da auf jedem Rechner installiert/konfiguriert werden muss), wobei eine OpenVPN Installation mit Vorwissen zügig geht.

Netgear Client-Site ( VPN/SSL/Firewall : Netgear )
Eine VPN Firewall kaufen und je nach Anzahl der Clients die Clientsoftware.
Vorteil: guter Support vom Hersteller, Hardwarelösung
Nachteil: kostet Geld, Clientsoftware meines Wissens nur für Windows

Netgear Site-Site (s.o.)
Mehrere VPN Firewall kaufen und per VPN Tunnel verbinden.
Ideal bei vielen Clients.
Vorteil: unabhängige Netze, spart Lizensen, unabhängig von Client PCs (Neuinstall, Updates, Betriebsysteme), Remote Management
Nachteil: Kostet am meisten (Bei vielen Clients dann wieder billiger).

Cisco und LANCOM sind meines Wissens weit über deinem Budget Rahmen.
LANCOM hat mir auch von der Einrichtung/Herstellersupport nicht gefallen.

Solltest du detaillierte technische Fragen kannst du sie gerne stellen. Das ist nur ein Überblick deiner Möglichkeiten.

 

[keepcurry]

Erstmal danke für deine Antworten!

Also, es kann schon passieren das alle Clients gleichzeitig im VPN sind (ca. 5). Ich stelle mir das so vor, dass der Nutzer mit wenig Ahnung morgens kommt, den Rechner einschaltet und dann jederzeit schnell und komfortabel auf die benötigten Dateien zugreifen kann wenn er sie braucht. Es wird aber nicht permanent mit diesen Dateien gearbeitet.

Es wäre schön, wenn sich der Nutzer nicht noch mit einwählen usw. herumschlagen muss. Also würde ich schon die Site-Site-Variante bevorzugen. Allerdings sollten die Router dann nicht über 200€/Stück liegen. Die Gelegenheitsverbindungen könnten ruhig über OpenVPN laufen. Da ist der Komfortverlust dann nicht so gravierend.

Bei der Site-Site-Variante könnte dann vielleicht auch der Server relativ klein, alt und günstig ausfallen denke ich.

Gruß
kc

 

[h00ch]

Für VPN muss der Server nicht viel Ressourcen haben.
Jedoch kann man Netgear und OpenVPN soweit ich weiss nicht mixen.

Du müsstest dann Clients von Netgear kaufen.
Der kleinste VPN Router FVS318 kostet ca 95€ und bietet 8 Connections, sowie site-to-site.
Eine Anleitung zum Einrichten kannst du dir auf Wireless Netzwerk-Technologie Switches Router Netgear angucken.

 

[Mercenary]

Ich haette da noch einen netten Text zu dem Thema
Grundlagen: VPN : Netgear
dort besonders interessant duerfte der letzte Abschnitt sein "Mobile VPN User und Drittanbieter" oder die Tabelle unter "NETGEAR bietet derzeit folgende VPN Produkte an:" (nach Textfolge suchen lassen).
Ich kann auch die Webpraesenz von Alternate als Informationslieferant empfehlen, breites und tiefes Sortiment samt netter Produktbeschreibungen, "Preisvorstellung" und der Moeglichkeit des direkten Vergleichs aehnlicher Produkte sind ganz brauchbar ... Einkaufen kann man ja dort wo's nah und guenstig ist.
Da findet man dann auch so ausgefallene Sachen wie den hier (fuer Dich evtl. in Zukunft interessant) ALTERNATE. Hardware - Software - Entertainment .

Fuer eine Entscheidung zwischen Software- und Hardwareloesung sollte noch die Flexibelitaet der Loesungen in Betracht gezogen werden.
Die Softwareloesung besonders wenn OpenSource laesst sich unabhaengig von der Hardwareumgebung flexibel skalieren ->
Hardwareunabhaengigkeit kommt zum Tragen wenn es um Anwendungsfaelle wie W-LAN, Leiter im Hotelzimmer mit ISDN geht, dann ist die physikalische Thematik nicht auch noch mit dem Thema VPN verheiratet (auch hier Schlagwort Drittanbieter).
Wenn ich das in der Produktdoku richtig verstehe werden die VPN Tunnel des DSL-Routers auch immer ueber die WAN Schnittstelle also DSL aufgebaut, wenn ich dann auch via W-LAN in die Zentrale will brauche ich dafuer womoeglich auch andere (zusaetzliche) Hardware in der Zentrale (fuer ISDN nur, wenn die Clients sich direkt ins Firmennetzwerk einwaehlen statt ins Internet sofern ich da noch ein VPN brauche ... hmmm ).
Der Faktor Lizenzen kommt zum Tragen wenn man heute in der Zentrale eine Hardwareloesung fuer 8 parallele Tunnel implementiert und in 3 Monaten dann feststellt, dass man 9 braucht.
Auch sind Backuploesungen "billiger" zu machen bei der Hardwareloesung solltest Du von jedem Geraetetyp ein Geraet bevorraten was interessant wird, wenn fuer ISDN, DSL, W-LAN unterschiedliche Gearaetetypen gebraucht werden.
Wenn das Budget reicht ist das aber ja auch kein Thema, Geraete dieser Preisklasse sind auch im ersten Jahr schon abschreibungsfaehig.

Ansonsten ist die Hardwareloesung besonders auf der Clientseite sicher pflegeleicht, schnell und einfach zu implementieren.
Zumal ein Themenbereich (Netzwerkkonfiguration + Anbindung) ausser Reichweite des Anwenders gehalten werden kann wenngleich ...
Wenn der die falsche Tastenkombination drueckt (format c:<ENTER>) dann ist es womoeglich wenig relevant, wenn die Netzwerkanbindung dadurch unberuehrt bleibt aber das ist Geschmackssache, dazu muss man seine Anwender halt kennen und einschaetzen.
Was sicher nicht auf Akzeptanz beim Anwender stoesst ist, wenn jemand der bereits mit labtop und Handy ins Internet geht zukuenftig noch einen Router und eine Mehrfachsteckdose mitschleppen soll.
Im Uebrigen habe ich von Netgear einen ganz guten Eindruck was den Bereich SOHO-Produkte angeht.

Was ich bisher noch nicht herausgelesen habe ist
- Wieviele Leiter verbinden sich wie -> Bei der Hardwareloesung brauchen die auch jeweils einen passenden Router z.B. daheim und unterwegs; Das ist fuer einen mobilen Einsatz (z.B. Hotel oder Autobahnrastplatz) weniger geeignet dort sollte man auf der Clientseite eine Softwareloesung zur Hand haben.
- Wie ist eigentlich die Zentrale an das Internet angebunden?
- Wie sieht die Topologie in der Zentrale aus oder ist da nichts und soll auch nichts sein ausser ein Fileserver+VPN-Gateway fuer die Filialen?

Ach so und was die Hardwareanforderungen fuer die reinen Netzwerkdienstleistungen um VPN herum angeht kann ich Hooch nur beipflichten, fuer einen VPN-Gateway-host sollte ein 1,- Euro Buchpostengeraet voellig reichen (wird i.d.R. so um die 2-4 Jahre alt sein).
Siehe auch die "Bemerkung" in dieser Produktbeschreibung:
ALTERNATE. Hardware - Software - Entertainment
Der host fuer den Fileserver hat ganz anderen Ressourcenbeduerfnissen zu genuegen als fuer die VPN Loesung da macht es aus meiner Sicht (auch im Hinblick auf die Zukunft) Sinn das zu trennen (dazu auch die Frage nach der Topologie in der Zentrale).

Und weil ich's neulich noch zur Hand hatte hier noch ein Link zu weiteren Software Loesungen:
Virtual Private Network - Wikipedia

Ciao,
Mercy.

 

[Radioamatur]

Es wäre schön, wenn sich der Nutzer nicht noch mit einwählen usw. herumschlagen muss.

Beim OpenVPN gibt es die Möglichkeit sich Automatisch verbinden zu lassen sobald das System hochgefahren ist und bevor man sich angemeldet hat (wäre auch gut falls es mal ein ActiveDirectory gibt). Dazu muss einfach der OpenVPN Service (bei Dienste) auf Automatisch gestellt werden. Allerdings darf dann das Keyfile nicht mit einem Passwort geschützt sein, da das sonst nicht funktioniert.

Ich nutze diese Möglichkeit um vom Geschäft aus eine automatische Verbindung zu mir nachhause aufzubauen und es funktioniert problemlos. Der User merkt davon garnichts. Das VPN-Netzwerk steht dann einfach zur Verfügung.

Gruss
Radioamatur

 

[keepcurry]

Soooo, da habe ich jetzt erstmal einiges zum lesen. Habe in der nächsten Woche 6 Klausuren vor mir, daher ist jetzt büffeln angesagt. Ich komme dann wieder auf dieses Thema zurück wenn die Prüfungszeit vorbei ist.

Bis hier her erstmal vielen Dank an alle die geantwortet haben.

Gruß
kc

 

[LuWo]

Ich bin wirklich nicht der M$ Fan, aber das, was du beschreibst, schreit nach SBS.
Unter den Vorgaben, die du gemacht hast, brauchst du auch keinen überirdischen Server (RAM und Prozessor).
VPN mit XP ist leicht und ist die Gegenseite (Server) ein MS, dann ist es mehr als leicht.
Keine zusätzliche Installation ist notwendig.

 

[elias5000]

Es gibt openVPN auch für OpenWRT.
Die Standorte sollten als LAN-to-LAN angeschlossen werden und die Roadwarriors entweder auch per Router (zu Hause) wie die Standorte oder per Client auf dem Rechner (im Hotel, Hotspot, etc.).

Router mit OpenWRT gibt es <100EUR. Für den Server empfiehlt sich ein Linux-PC (Irgendwas mit einigermaßen zeitgemäßer CPU, RAM nicht so wichtig und RAID-1 sollte mit ATA-HDDs auch im Rahmen bleiben)

Für 1000EUR Materialwert kann man das locker einrichten.

@LuWo: Seit wann hat MS eine brauchbare VPN-Lösung?

 

[LuWo]

@LuWo: Seit wann hat MS eine brauchbare VPN-Lösung?

Seit Windows Server 2000.
Ist wirklich easy.
Routing und RAS ist das Stichwort.

 

[elias5000]

Seit Windows Server 2000.
Ist wirklich easy.
Routing und RAS ist das Stichwort.

Ich kenne das. Worauf es mir ankam war das "brauchbar".
PPTP ist nicht gerade das, was man unter einem brauchbaren VPN versteht.
MS verlauft ein VPN in Form des ISA. Aber der kostet ordentlich extra.

 

[LuWo]

Brauchbar ist VPN over PPTP schon lange!
Sicher?
Kommt auf den Betrachter an. Wer aber mehr will geht auf L2TP.

Ich bin bestimmt kei M$ Fan. Aber man muss auch mal über den Tellerrand schauen.
Einen SMTP-Server würde ich nie unter M$ betreiben, denn da gibt es nichts, was Postfix, qMail, Exim und auch dem alten SendMail, das Wasser reichen kann.

 

[LuWo]

MS verlauft ein VPN in Form des ISA. Aber der kostet ordentlich extra.

Man braucht nicht den ISA um eine VPN-Verbindung herzustellen, was für ein Schwachsinn.
Ich hoffe, dass mein Quote klein war, um nicht in Ungnade zu fallen.
Sachdienliche Beiträge zum Thema VPN vermisse ich.
Was ist ISA?
ISA ist ein Proxi und eine Firewall.

 

[elias5000]

ISA ist ein Proxi und eine Firewall.

Echt? Auf der Seite von MS hab ich da auch was von VPN gelesen. Dann haben die da hoch gestapelt.

Im hier vorliegenden Fall habe ich meine Meinung schon dargelegt.
OpenVPN mit Zweigstellen per OpenWRT-Gerät und RoasWarriors per OpenVPN-Client.

Ich hab einige OpenVPNs laufen und das rockt wie Sau. Egal, ob da ein Windows, OSX oder Linux an einem der Enden ist.
IPSec ist auch recht umständlich im Vergleich zu OpenVPN und kommt u.U. mit NAT-Routern nicht klar bzw. die NAT-Router nicht mit IPSevc.

Den letzten PPTP-Server hab ich vor einiger Zeit schon abgestellt. Das will man nicht wirklich mit einem Linux machen.
Und Windows auf einem VPN-Server ist einfach eine lächerliche Vorstellung. Dieses Windows ist vieleicht gut, um ein Büro mit einer Dokumentenverwaltung zu versorgen. Aber wenn es ums Thema Netzwerke geht, greift man doch besser zu den unixoiden.