| View previous topic :: View next topic |
| Author |
Message |
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
 Posted: Tue Sep 19, 2006 2:37 pm Post subject: VPN Route und Windows Rechner |
 |
|
Hallo,
ich habe derzeit folgendes Netzwerk:
| Code: |
Client - Server (Router) - Gateway - Internet
| |
| ------ VPN 1 -> Server1
|
|------- VPN 2 -> Server2
|
Server 1 und 2 stehen in einem RZ und werden durch die Internetverbindung über den Server hergestellt. Nun will ich das Netzwerk so ändern, dass der normale Internettraffic über VPN1 und Server1 läuft. Mein Problem ist jetzt, dass sobald ein anderes default Gateway angegeben wird, ich die Verbindung ins Internet verliere und auch vom VPN disconnected werde.
Hat jemand eine Idee?
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
 |
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Sep 19, 2006 7:49 pm Post subject: |
|
|
verschoben ins Diskussionsforum
Also das das VPN zusammenbricht wenn du das Default-GW wegnimmst ist in dem Fall logisch.
Kannst du auf Server-1 etwas installieren? Squid oder dante zum Beispiel?
Alleine mit Routing kommst du da nicht sehr weit - d.h. ohne dir dabei halb die Pfoten zu brechen. Gehen (könnte) es schon, wenn du im VPN eine eigene IP-Adresse hast. (Hostroute Server-1 über das normale Default-GW, default-GW über VPN-IP von Server-1 wobei das erst aktiviert wird wenn VPN besteht)
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
moe
Veteran
Joined: 28 Mar 2003
Posts: 1289
Location: Potsdam / Germany
|
| Posted: Wed Sep 20, 2006 10:58 am Post subject: |
|
|
Wenn der Client die beiden VPN Verbindungen herstellt, sollte eigentlich folgendes funktionieren
| /etc/conf.d/net: |
config_eth0=( "$LOKALEIP netmask 255.255.255.0" )
routes_eth0=( "-host $SERVER1 via $LOKALERGW"
"-host $SERVER2 via $LOKALERGW"
"default via $VPNSERVER1" ) |
Oder sowas in der Art, keine Gewähr auf syntaktische Richtigkeit. Vielleicht können wir ja besser helfen, wenn du das Scenario etwas mehr detailreicher darstellst..
Gruss Maurice
_________________
Signaturen sind doof. |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Wed Sep 20, 2006 11:31 am Post subject: |
|
|
ok, das ganze Scenario ist das folgende:
Eine Firma hat drei Standorte. GF / Produktion / Vertrieb. Die beiden letzten Standorte verfügen über Server, auf denen wichtige Daten liegen. Alle Mitarbeiter der Fa. können auf das Internet zugreifen. Das wird auch von der Geschäftsführung auch so erlaubt. Der Vertrieb verfügt zusätzlich über Notebooks, die die Mitarbeiter mitnehmen können.
Nun ist der Geschäftsführung aufgefallen, dass wenn die Mitarbeiter im Internet surfen, die IP Adresse des Netzes übertragen wird, aus dem sie kommen (ist ja auch klar). Und genau das sollte verhindert werden. Stattdessen sollte eine IP eines Unwichtigen Netzes übertragen werden, wie die der GF.
Da die Rechner sowieso automatisch eine VPN Verbindung (vor allem die Notebooks) zu dem GF Server herstellen, war das ganze auch kein Problem. Ich habe einfach Privoxy auf dem Server aufgespielt und die IP Adresse als Proxyserver im Browser eingetragen.
Nun ist denen aber eingefallen, dass man auch mit anderen Programmen auf das Internet zugreifen kann. z.B. FTP oder (eine Schande sowas in der Firma zuzulassen) World of Warcraft. Diese zusätzlicne Programme werden i.d.R. von den Mitarbeitern selbst installiert. (auch erlaubt)
Zugriff habe ich auf die Clients und den Server der GF. Die Clients der Produktion gehen alle direkt über ein Hardware GW ins Internet. Es ist deshalb auch nicht möglich dort etwas zu installieren.
So, das ist so in etwa die Zusammenfassung der ganzen Geschichte. Das größere Problem ist, dass die Clients teilweise auch Windows Kisten sind.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Sep 20, 2006 6:56 pm Post subject: |
|
|
| LL0rd wrote: | | Nun ist der Geschäftsführung aufgefallen, dass wenn die Mitarbeiter im Internet surfen, die IP Adresse des Netzes übertragen wird, aus dem sie kommen (ist ja auch klar). Und genau das sollte verhindert werden. Stattdessen sollte eine IP eines Unwichtigen Netzes übertragen werden, wie die der GF. |
Na und? Ist doch völlig egal - oder habt ihr in der Firma etwa offizielle geroutete Adressen an jedem Arbeitsplatz vergeben? (Die dann womöglich auch noch direkt hinter einem Router hängen ohne jegliche Firewall etc.?)
Wenn es 10.x/172.16.x/192.168.x sind wird doch sowieso auf die Adresse des NAT-Gateways umgenattet.
Mindestens eine Adresse muß ja so oder so aus Internetsicht bekannt sein sonst klappt ja nichts...
Weiß die GF das du sie als unwichtig abstempelst? 
| LL0rd wrote: | | Zugriff habe ich auf die Clients und den Server der GF. Die Clients der Produktion gehen alle direkt über ein Hardware GW ins Internet. Es ist deshalb auch nicht möglich dort etwas zu installieren. |
Sollte trotzdem machbar sein - wenn beide Gateways eine feste IP im Internet haben
Denkanstoß:
- Filter auf Internet-Gateway Produktion erstellen der nur 'Destination-IP Internet-Gateway GF zuläßt
wenn Source-IP=Produktionsnetz'; das müßte eigentlich auch mit vielen (billigeren) Routern machbar sein; Pakete die vom Router Produktion selbst abgehen sind von dem Filter nicht betroffen (außer das ist ein völlig krankes Teil das sich selbst nach aussen nattet oder so)
- auf Gateway GF ein passendes Port-Forwarding zum Proxy einrichten sofern das ein Nat-GW ist, ansonsten natürlich nicht
und schon müssen alle die im Produktionsnetz hängen wenn sie ins Internet wollen zwangsweise über den Proxy der bei der GF steht.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Thu Sep 21, 2006 1:02 am Post subject: |
|
|
| Think4UrS11 wrote: |
Weiß die GF das du sie als unwichtig abstempelst?
|
Ich denke schon Aber ich kann denen gleich mal eine Mail schreiben, ob die wissen, dass ich die GF für unwichtig und inkompetent halte
Aber mal zurück zum Thema. Ich kann deinen Denkanstoß nicht ganz nachvollziehen. Ok, die Uhrzeit mag auch eine Rolle spielen, aber trotzdem:
Wie bekomm ich den Traffic zum Proxy? Wenn ich das richtig verstanden habe, würdest du einen transparenten Proxy nutzen, der im GF Netz läuft? Kann man einen transparenten Proxy für SOCKS aufbauen? Wenn ja, dann ist alles kein Problem!
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Thu Sep 21, 2006 9:44 pm Post subject: |
|
|
| LL0rd wrote: | | Wenn ich das richtig verstanden habe, würdest du einen transparenten Proxy nutzen, der im GF Netz läuft? Kann man einen transparenten Proxy für SOCKS aufbauen? Wenn ja, dann ist alles kein Problem! |
Nö, nix transparentes; ganz klassischen Squid zum Beispiel.
Du mußt nur dafür sorgen das jemand aus dem Netz $Produktion nur auf Netz $GF zugreifen darf und alles andere verworfen wird (auf dem Gateway
Produktion -> Internet) sofern es aus dem Netz $Produktion kommt.
Damit müssen die aus der Produktion zwangsweise wenn sie ins Internet wollen durch einen Proxy bei der GF.
Das einzige was auf den Clients in der Produktion einzustellen wäre ist der Proxy im IE oder was auch immer als Browser benutzt wird.
Sofern du nicht mit Userauthentifizierung und PAC-Files arbeitest kommt damit inzwischen fast jede Anwendung klar.
tricky ist nur die Kombination aus den letzten beiden; du kannst darauf wetten das diverse Anwendungen (die angeblich voll proxytauglich sind damit überhaupt nicht klarkommen)
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
