Re: Sichere Verbindung zu anderen Netzen

From: Michael Gusek <michael.gusek(at)web.de>
Date: Tue, 01 Sep 2009 19:53:48 +0200

Uwe Laverenz schrieb:
> Hallo Michael,
>
>> ich möchte gerne eine Verbindung von unserem Hauptnetz zu anderen
>> Netzen unserer Firma herstellen. Zur Zeit verwende ich hierfür
>> OpenVPN. Folgende Anforderungen habe ich:
>>
>> * die Verbindung muss verschlüsselt sein
>> * zwischen den Netzen muss geroutet werden können
>> * es existieren > 15 Netze die verbunden werden müssen
>> * als Gegenstelle kommt neben FreeBSD auch Linux in Frage, Windows
>> wäre eine theoretische Möglichkeit, aber nett wenn es ginge
>
> All das geht doch auch problemlos mit OpenVPN, warum willst Du denn zu
> IPsec wechseln?
Ich hab nicht gesagt, ich will zu IPsec wechseln, ich habe es als
Alternative in Erwägung gezogen. Mich stört an OpenVPN, dass es mit
steigender Netzanzahl langsamer wird, zudem würde ich gerne was
preferieren, was FreeBSD schon 'mitbringt'.
>
>> Welche Möglichkeiten kämen da in Betracht ? Ich habe mir bereits im
>
> Ich habe früher IPsec verwendet, meistens mit kleinen HW-Firewalls die
> das von Haus aus konnten. Mittlerweile benutze ich nur noch OpenVPN,
> am liebsten auf Alix mit pfsense. :)
>
> OpenVPN ist flexibel, läuft einfach auf allem und funktioniert auch
> problemlos hinter einer Firewall.
Ja das stimmt ohne Zweifel.
>
>> Handbuch das Kapitel "14.10 VPN over IPsec" angesehen, welches viel
>> versprechend ist, aber ich habe noch nicht herausgefunden, wie ich
>> mehr als zwei Netze darüber verbinden soll.
>
> Für jedes anzubindende Netz setzt Du einen eigenen Tunnel auf.
Nun das dachte ich mir bereits. Das ist schade, aber ich habe keine
Lust, da nachher eine zweistellige Anzahl Netzwerkinterfaces zu haben.
>
> Aber egal ob IPsec oder nicht, wenn Verfügbarkeit eine Rolle spielt,
> würde ich für die Anbindung anderer Netze immer kleine, dedizierte
> Firewalls (neudeutsch "Appliances") benutzen, die ohne Lüfter, Platten
> oder anderes ausfallträchtiges Zeugs auskommen. Ausserdem ist es immer
> lästig, wenn die VPN-Verbindung gerade auf dem Rechner gehostet wird,
> den man remote updaten will...
Ich verwende für diesen Zweck die kleinen von Soekris, auf der CF ist
das Betriebsystem, auf einem USB-Stick die Konfiguration (rc.conf,
OpenVPN-Zertifikate, usw.) die dann via unionfs über das Basissystem
gemounted wird. Ist auch sehr schick und mittlerweile gut 1 Jahr in
mehreren Orten im Einsatz.
>
> Gruss,
> Uwe
>
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 01 Sep 2009 - 19:53:51 CEST

search this site