| View previous topic :: View next topic |
| Author |
Message |
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
 Posted: Tue Mar 21, 2006 7:21 pm Post subject: |
 |
|
| Think4UrS11 wrote: | | nic0000 wrote: | Ziel des Vereins ist die Förderung von GNU/Linux und anderer OS Software im täglichen Einsatz.
Schwerpunkt sind Computer Einsteiger bzw. Anwender mit geringem Computer-Wissen.
Für diesen Personen-Kreis haben wir ein weitreichendes Schulungsangebot erstellt und bauen dieses kontinuierlich aus.
Die Workstations sind alle weitgehend identisch und haben KEIN M$ BS installiert.
Soll ich weiter erzählen oder seit ihr schon enttäuscht? |
Im Gegentum, bin beinahe schon begeistert! (ernstgemeint!)
| nic0000 wrote: | | Wenn ihr Geld verdienen wollt dann bitte per PM eine Liste von Sachen die ihr könnt bzw. machen wollt. ... |
| Anarcho wrote: | | Ich machs günstiger als Think4Ur11 |
Hose runter, Preise auf den Tisch 
Ernsthaft. Ich hab schon nen leidlich gut bezahlten Job und das geniale ist das ich da praktisch für mein Hobby bezahlt werde. Was natürlich nicht heißt das ich das dadurch erworbene Wissen nicht bei sich bietender Gelegenheit nebenher in geldwerten Vorteil umzusetzen bereit bin.
Zeit ist halt immer so eine Sache... Rechenzentren haben die dumme Angewohnheit auf Privatleben exakt gar keine Rücksicht zu nehmen. |
Dem kann ich mich anschliessen!
| Think4UrS11 wrote: | Das ist doch dann aber ein Client-to-Client oder? Dann müßte doch (dummstell) bei einem Klienten mit 2-x PC jeder einzelne PC jeweils eine gesonderte VPN-Session aufmachen, richtig?
Angenommen du willst über den Server direkt 'durchgreifen' auf die zu wartenden PCs würde doch eher etwas Sinn machen wie
10.0.1.0/24 - 'die Admins'
10.0.x.0/24 - je Klient eine C-Klasse (sollte reichen)
In Nortel-Sprache wäre sowas dann ein branchoffice-2-branchoffice VPN sprich kommend aus dem einen Tunnel kann ich auf Geräte im anderen Tunnel direkt über mein VPN-Gateway zugreifen das dann quasi nur noch als Router zwischen den Tunneln fungiert. |
Klar, wenn man ebenfalls vom gleichen VPN für die Admins ausgeht dann wäre das client-to-client (wie ich schon weiter oben schrieb).
Aber ich verstehe nicht ganz warum du jedem Client immer ein ganzes Subnetz geben möchtest. Vielleicht reden wir auch an einander vorbei, aber für mich ist jetzt ein Client genau 1 Rechner, nämlich den den ich administrieren möchte.
Für die Verbindung des Admin zum Server kann man natürlich mehrere Wege gehen, einmal den von dir beschriebenen 2. VPN Tunnel, den gleichen VPN Tunnel, also client-to-client oder man verbindet sich per SSH auf den Server und von aus weiter. Ich würde ebenfalls Variante 1 nehmen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
 |
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Tue Mar 21, 2006 7:40 pm Post subject: |
|
|
| Think4UrS11 wrote: | | Im Gegentum, bin beinahe schon begeistert! (ernstgemeint!) |
Beinahe??
| Think4UrS11 wrote: | | Zeit ist halt immer so eine Sache... Rechenzentren haben die dumme Angewohnheit auf Privatleben exakt gar keine Rücksicht zu nehmen. |
Das hast du schön gesagt
| Think4UrS11 wrote: | Hat die ne (hübsche, freie) Schwester mit Faible für EDVler?  |
Nee, aber eine AS400 Programmiererin als Mutter
Ja, die ist Solo.
| Think4UrS11 wrote: | Och naja das einzige was mich sehr effektiv zum Weglaufen bringen würde wär wenn du im realen Leben auch immer sooo bissig schaust wie dein Avatar  |
Hej, ich bin mein Avatar
| Think4UrS11 wrote: | | Anarcho wrote: | | Nein, man legt 1 Subnetz fest und jeder Client bekommt eine IP aus diesem Subnetz. Dadurch befinden sich alle Clients virtuell im gleichen Subnetz. |
Das ist doch dann aber ein Client-to-Client oder? Dann müßte doch (dummstell) bei einem Klienten mit 2-x PC jeder einzelne PC jeweils eine gesonderte VPN-Session aufmachen, richtig? |
Ich glaube ja. Was auch nicht schlimm ist, denn in fast jedem Netz ist nur ein Client oder anders Ausgedrückt: Da es sich um Private Workstations handelt stehen in der Regel 1 und nie mehr als 3 von unseren Kisten herrum. Was im Netzwerk sonst so passiert interessiert mich nicht, so es unseren Zugriff nicht stört.
| Think4UrS11 wrote: |
Angenommen du willst über den Server direkt 'durchgreifen' auf die zu wartenden PCs würde doch eher etwas Sinn machen wie
10.0.1.0/24 - 'die Admins'
10.0.x.0/24 - je Klient eine C-Klasse (sollte reichen)
In Nortel-Sprache wäre sowas dann ein branchoffice-2-branchoffice VPN sprich kommend aus dem einen Tunnel kann ich auf Geräte im anderen Tunnel direkt über mein VPN-Gateway zugreifen das dann quasi nur noch als Router zwischen den Tunneln fungiert. |
Ich habe wohl heute meinen Babelfish verloren, warum verstehe ich wieder so wenig ?
_________________
grüße
nico |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Mar 21, 2006 8:41 pm Post subject: |
|
|
Berufskrankheit. Admin; Berufszyniker; gestraft mit 'Usern'; Paranoiker aus Leidenschaft und schwer (positiv wie negativ) aus der Fassung zu bringen.
| Think4UrS11 wrote: | | Nee, aber eine AS400 Programmiererin als Mutter ... Ja, die ist Solo. |
Alter, Bundesland, Telefonnummer, sonstige relevante Details?
| nic0000 wrote: | | Think4UrS11 wrote: |
Angenommen du willst über den Server direkt 'durchgreifen' auf die zu wartenden PCs würde doch eher etwas Sinn machen wie
10.0.1.0/24 - 'die Admins'
10.0.x.0/24 - je Klient eine C-Klasse (sollte reichen)
In Nortel-Sprache wäre sowas dann ein branchoffice-2-branchoffice VPN sprich kommend aus dem einen Tunnel kann ich auf Geräte im anderen Tunnel direkt über mein VPN-Gateway zugreifen das dann quasi nur noch als Router zwischen den Tunneln fungiert. |
Ich habe wohl heute meinen Babelfish verloren, warum verstehe ich wieder so wenig? |
Spiel ich mal den Erklärbär...
- du hast einen Admin und einen Klienten
- beide wollen getunnelt 'miteinander'
- beide bauen hierzu einen eigenen Tunnel zum Server auf
- dadurch entsteht übers Internet ein privates VPN-Netz in dem ausschließlich mit IP-Adressen 10.x.y.z gearbeitet wird
- 'Router' für diese Netze sind dann auf beiden Seiten jeweils die PCs die den Tunnel zum Server aufgemacht haben
- ein Admin der im Tunnel z.B. die IP 10.0.1.57 hat kann direkt (wie in einem LAN) auf einen PC bei Klient zugreifen der z.B. 10.0.37.188 hat, und zwar mit was auch immer (Netzlaufwerke, ssh, http, whatever) ohne zusätzlich erst noch einen port forward einzurichten. Genau das macht ja OpenVPN... besteht der Tunnel erstmal ist alles was da durchläuft für die Clients auf beiden Seiten vollkommen transparent.
(kleiner) Schönheitsfehler dabei fällt mir gerade auf... dazu müßte natürlich wie oben geschrieben ein PC bei Klient - nämlich der der den OpenVPN Tunnel aufbaut - gleichzeitig auch als Router fungieren um die Daten von nicht tunnelnden PCs durch den Tunnel zu schieben.
Analog auf Adminseite aber da stellt sich das Problem weniger da ja Klient selten bei Admin im Netz herumpfuschen soll sondern nur umgekehrt gell.
Genaugenommen kannst du auch jedem Admin seine 'eigene' C-Klasse (ein /24) zuweisen, aus technischer Sicht des Server ist ein Admin ja auch nur ein Klient der was von ihm will. Vereinfacht die Sache (gehirntechnisch) wenn alle Beteiligten die gleiche Netzmaske haben.
... zum Glück sind wir hier im Diskussionsforum sonst würden uns amne/Earthwings/slick was erzählen so weit wie wir schon vom ursprünglichen Thema weg sind manchmal ...
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Tue Mar 21, 2006 8:54 pm Post subject: |
|
|
Was beim routing bei getrennten Subnetzen noch ein Problem ist, ist das der Client nicht weiss wohin er Traffic vom Adminnetz kommend zurückschicken soll.
Dann müsste man extra einen route eintrag erstellen der z.b. sagt: Traffic für netz 10.0.1.0/24 wird über 10.0.4.1 geleitet (der Client hat dann 10.0.4.x/24)
Oder man fasst die Netzmaske etwas weiter auf dem Client: 10.0.0.0/16 (entweder in der route oder komplett) und auf dem server dann ne /24 Netzmaske denn der Server kennt ja alle Routen der einzelnen VPNs.
Oder halt alle Teilnehmer in ein Subnetz.
Dann könnte es aber bei vielen Clients bald eng werden und bei getrennten kann man schön aufteilen (10.1.1.0/24 ist Hamburg, 10.1.2.0/24 ist Frankfurt, usw.)
Bei steigender Anzahl muss man halt die Netzmaske erhöhen (10.1.0.0/16 NRW, 10.2.0.0/16 Bayern, ...)
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Tue Mar 21, 2006 9:28 pm Post subject: |
|
|
| Anarcho wrote: | Oder halt alle Teilnehmer in ein Subnetz.
Dann könnte es aber bei vielen Clients bald eng werden und bei getrennten kann man schön aufteilen (10.1.1.0/24 ist Hamburg, 10.1.2.0/24 ist Frankfurt, usw.)
Bei steigender Anzahl muss man halt die Netzmaske erhöhen (10.1.0.0/16 NRW, 10.2.0.0/16 Bayern, ...) |
Langsam mit den Jungen Pferden, das Projekt ist z.Z. auf Hamburg beschränkt, denn es geht hierbei nicht darum Rechner zu Administrieren sondern eine gute lokale Versorgung mit Schulungen und Support zu gewährleisten. Ihr kennt doch die Probleme mit Linux und Normalsterblichen, daher erspare ich mir darauf näher einzugehen.
Der Wachstum wird durch die Schulungskapatzität beschränkt.
_________________
grüße
nico |
|
| Back to top |
|
|
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Tue Mar 21, 2006 9:53 pm Post subject: |
|
|
| Think4UrS11 wrote: | | Berufskrankheit. Admin; Berufszyniker; gestraft mit 'Usern'; Paranoiker aus Leidenschaft und schwer (positiv wie negativ) aus der Fassung zu bringen. |
Naja, dann hast du es noch gut. Ich bin oben drein defensiver Pessimist...
| Think4UrS11 wrote: | | Alter, Bundesland, Telefonnummer, sonstige relevante Details? |
45 Jahre, 172 cm, indisch/karaibisch mix, trinkt und raucht nicht. Spricht nativ Französisch und mit einen charmanten Akzent Deutsch.
Jetzt kommts:
Ansonsten hat sie "nur" die Berufskrankheiten eines Programmieres
Ihr Charakter ist "zart und einfühlsam" wie von einer Person in ihrer Position und 20 Jahren Arbeit in diesem doch so "frauenfreundlichen" Beruf erwartet.
Noch nie hat jemand (schon garnicht eine Frau) so kreative "Nicknames" für mich erfunden wie sie, und jedes mal wenn wir uns sehen bin gespannt was mir meine Frau anschließend so köstliches aus dem Französischen übersetzen wird.
Interessiert?
| Think4UrS11 wrote: | | Spiel ich mal den Erklärbär... |
Kann der Erklärbär auch die "1-5 müßte sich (theoretisch) vom Klienten mit einer einzigen ssh Befehlszeile machen lassen" in Form einer Step-byStep Anleitung erklären  ?
| Think4UrS11 wrote: | | ( kleiner) Schönheitsfehler dabei fällt mir gerade auf... dazu müßte natürlich wie oben geschrieben ein PC bei Klient - nämlich der der den OpenVPN Tunnel aufbaut - gleichzeitig auch als Router fungieren um die Daten von nicht tunnelnden PCs durch den Tunnel zu schieben. |
Also in meinem Scenario gibt es diese anderen PCs nicht.
| Think4UrS11 wrote: | | ... zum Glück sind wir hier im Diskussionsforum sonst würden uns amne/Earthwings/slick was erzählen so weit wie wir schon vom ursprünglichen Thema weg sind manchmal ... |
Manchmal denke selbst ich mit
_________________
grüße
nico |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Mar 21, 2006 11:25 pm Post subject: |
|
|
| nic0000 wrote: | 45 Jahre, 172 cm, indisch/karaibisch mix, trinkt und raucht nicht. Spricht nativ Französisch und mit einen charmanten Akzent Deutsch.
.... |
mh, knapp außerhalb meines Wunschaltersfensters (25 < X < 40) aber sonst feinifeini
| nic0000 wrote: | | Kann der Erklärbär auch die "1-5 müßte sich (theoretisch) vom Klienten mit einer einzigen ssh Befehlszeile machen lassen" in Form einer Step-byStep Anleitung erklären? |
Auf PC Klient: | Code: | | ssh <username Klient auf Server>@<ip server> screen -dmLS Klient ssh remotesupport@<ip PC Klient> |
Vom PC Klient wird eine SSH-Sitzung zum Server aufgebaut innerhalb derer eine Screensession (mit Name Klient) gestartet -und sofort detached- wird innerhalb derer eine SSH-Session zum PC Klient gestartet wird für den user remotesupport.
Ergebnis:
- An PC Klient erscheint der Prompt direkt nach ausführen obigen Befehls wieder als wäre nichts gewesen
- Am Server läuft ab diesem Zeitpunkt eine neue Screensession die einen ssh zu Klient offen hat
Ein Admin kann nun hergehen und sich mittels screen -rd <Name des Klienten> auf dessen Maschine einklinken. Durch den '-L' ist das Logging für die Screensession gleich mitaktiviert.
Das ist jetzt zwar ohne spezielles port forwarding - das klappt irgendwie nicht so wie ich mir das dachte, macht aber nichts. Auf dem Server sind die einzelnen Screensessions trotzdem eindeutig da ja anhand des Klientennamens (-S Klient) unterscheidbar.
Wie bereits erwähnt, auf Server muß jeweils ein public key für den jeweiligen Klienten ohne Passphrase benutzt werden. Wahlweise zusätzlich auch einen solchen auf PC Klient dann geht es volltransparent und ist (imho) dau-tauglich.
damit das ganze auch zuverlässig länger läuft sollte auf beiden Seiten in der SSH config jeweils ein passender keepalive mit aktiviert sein damit die diversen Billig-NAT-Router nicht zwischendrin die Verbindung kappen wg. Nichtaktivität.
... das Pessimist sein seh ich nicht als nachteilig an bei mir. Auf die Art kann ich nur positiv überrascht werden - eindeutiger Vorteil
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Wed Mar 22, 2006 12:24 am Post subject: |
|
|
| Think4UrS11 wrote: | | nic0000 wrote: | 45 Jahre, 172 cm, indisch/karaibisch mix, trinkt und raucht nicht. Spricht nativ Französisch und mit einen charmanten Akzent Deutsch.
.... |
mh, knapp außerhalb meines Wunschaltersfensters (25 < X < 40) aber sonst feinifeini |
Schade, aber ich Bete wieder Täglich den Obercheff an, damit bloß meiner Frau nicht so einen Charakter durchbricht. Sie sind ja verwandt... 
| Think4UrS11 wrote: | Auf PC Klient: | Code: | | ssh <username Klient auf Server>@<ip server> screen -dmLS Klient ssh remotesupport@<ip PC Klient> |
|
Du warst mir ja am Anfang sympatisch...
Wo sind denn die 1000 Zeilen Code mit den ich jetzt gerechnet habe?
| Think4UrS11 wrote: | | Das ist jetzt zwar ohne spezielles port forwarding - das klappt irgendwie nicht so wie ich mir das dachte, macht aber nichts. Auf dem Server sind die einzelnen Screensessions trotzdem eindeutig da ja anhand des Klientennamens (-S Klient) unterscheidbar. |
Langsam fange ich dich wieder zu mögen...
| Think4UrS11 wrote: | | Wie bereits erwähnt, auf Server muß jeweils ein public key für den jeweiligen Klienten ohne Passphrase benutzt werden. Wahlweise zusätzlich auch einen solchen auf PC Klient dann geht es volltransparent und ist (imho) dau-tauglich. |
Verstehe nicht ganz? Auf dem Klient wozu? Um den Tunnel zum Server aufzubauen? Da weiß ich nicht so recht ob openVPn nicht besser geeignet währe.
| Think4UrS11 wrote: | | damit das ganze auch zuverlässig länger läuft sollte auf beiden Seiten in der SSH config jeweils ein passender keepalive mit aktiviert sein damit die diversen Billig-NAT-Router nicht zwischendrin die Verbindung kappen wg. Nichtaktivität. |
Entweder das, oder z.B. einen Cronjob der die Verbindung regelmässig anstößt z.B. 30 Min. Wenn die Verbindung aufgebaut ist kann sie wiederum vom Server aus bei bedarf gehalten werden. Ich habe das mal mit einen simplen Ping auf den Klient gemacht.
| Think4UrS11 wrote: | | ... das Pessimist sein seh ich nicht als nachteilig an bei mir. Auf die Art kann ich nur positiv überrascht werden - eindeutiger Vorteil |
Aber das Glas ist dann trotzdem immer nur halb voll
_________________
grüße
nico |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Mar 22, 2006 12:38 am Post subject: |
|
|
| nic0000 wrote: | | Think4UrS11 wrote: | | Wie bereits erwähnt, auf Server muß jeweils ein public key für den jeweiligen Klienten ohne Passphrase benutzt werden. Wahlweise zusätzlich auch einen solchen auf PC Klient dann geht es volltransparent und ist (imho) dau-tauglich. |
Verstehe nicht ganz? Auf dem Klient wozu? Um den Tunnel zum Server aufzubauen? Da weiß ich nicht so recht ob openVPn nicht besser geeignet währe. |
Dein Klient baut eine Verbindung zum 'Masterserver' auf wenn ihm geholfen werden soll. Ansonsten besteht diese Verbindung nicht, wozu auch? Nach Ende der Hilfsaktion wird der Tunnel beendet - und zwar vom Admin auf der Serverseite.
Alleine dein Klient entscheidet zu welchen Zeitpunkten eine Verbindung *in* sein Netz erlaubt ist und wann nicht. Ein dauerhaft offener Tunnel ist *immer* ein Sicherheitsrisiko.
Natürlich kannst du auf Klient-Seite (Account Klient auf Server genaugesagt) auch mit Passwort arbeiten. Nur muß sich dein Klient dieses Passwort dann auch merken
| nic0000 wrote: | | Think4UrS11 wrote: | | damit das ganze auch zuverlässig länger läuft sollte auf beiden Seiten in der SSH config jeweils ein passender keepalive mit aktiviert sein damit die diversen Billig-NAT-Router nicht zwischendrin die Verbindung kappen wg. Nichtaktivität. |
Entweder das, oder z.B. einen Cronjob der die Verbindung regelmässig anstößt z.B. 30 Min. Wenn die Verbindung aufgebaut ist kann sie wiederum vom Server aus bei bedarf gehalten werden. Ich habe das mal mit einen simplen Ping auf den Klient gemacht. |
Pfui - genau für den Zweck gibt es ja diese ssh Option. Außerdem gibt es NAT-Implementierungen die jede einzelne Verbindung (d.h. jedes sourceip:sourceport <-> destip:destport Päärchen) seperat betrachten. Da bringt dir ein ping 'nebenher' dann gar nichts weil der als eigene Verbindung behandelt wird.
| nic0000 wrote: | | Think4UrS11 wrote: | | ... das Pessimist sein seh ich nicht als nachteilig an bei mir. Auf die Art kann ich nur positiv überrascht werden - eindeutiger Vorteil |
Aber das Glas ist dann trotzdem immer nur halb voll |
Quark, das nennt man doch dann Espresso. halbvoll ...du kennst ja häßliche Wörter ...
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Wed Mar 22, 2006 1:53 am Post subject: |
|
|
| Think4UrS11 wrote: | | Dein Klient baut eine Verbindung zum 'Masterserver' auf wenn ihm geholfen werden soll. Ansonsten besteht diese Verbindung nicht, wozu auch? Nach Ende der Hilfsaktion wird der Tunnel beendet - und zwar vom Admin auf der Serverseite. |
Hilfsaktion ist jetzt eigentlich eher selten, planmässige Wartung. Ansonsten gefällt mir das so wie du das beschreibst. Ich denke mir aber das wir mehre Dienste darüber laufen lassen können, z.B. rsync und ftp download von distfiles vom unseren Server etc. Ich erwärme mich immer mehr für eine VPN Lösung...
| Think4UrS11 wrote: | | Alleine dein Klient entscheidet zu welchen Zeitpunkten eine Verbindung *in* sein Netz erlaubt ist und wann nicht. Ein dauerhaft offener Tunnel ist *immer* ein Sicherheitsrisiko. |
Der Klient entscheidet eigentlich gar nichts, denn die Fernwartung wird von außen initziert. Du gehst anscheinend von einen Linux-User aus, stell dir dann lieber so eine 70Jährige Oma vor die mit der Maus versucht den Browser zu öffnen. Allein schon die Vorstellung das Browserfenster in der Größe zu verstellen bringt sie schon in Atemnot
Nein nein, die Leute werden durch das Schulungsprogramm Computerfit gemacht, auf den Maschinen ist eine bestimmte Menge an Software installiert, welche um die Reizflut gering zu halten, doch ziemlich karg ist. Die Maschinen werden auf den aktuellen Stand gebracht, gewartet und eventuell für die nächste Schulung mit neuer Software bestückt und das System garantiert das der Dozent alles so vorfindet wie er das braucht und nicht erstmal angst haben muss das die Kiste vom Enkel für eine Lanparty mit den neusten Spielen/Treiber/Würmern ausgestattet wurde.
In Zukunft soll natürlich auch mehr möglich sein, das übersteigt aber zZ aber meine Kapazitäten. Die Benutzer haben kein administrativen Zugang zum System, die Kisten starten via Bioseistellung 1x in der Woche und werden bearbeitet
Hoffe du verstehst jetzt besser die Anforderung, die ist wirklich nicht so hoch. Ich kann es teilweise selbst nicht glauben, aber einige betreue ich schon Jahrelang und es kamen einfach keine Beschwerden, im gegenteil sie sind nur froh wenn der Nachbar wieder von HorrorWürmern spricht die den Computer mitsamt den wichtigen Daten auffressen.
| Think4UrS11 wrote: | | Natürlich kannst du auf Klient-Seite (Account Klient auf Server genaugesagt) auch mit Passwort arbeiten. Nur muß sich dein Klient dieses Passwort dann auch merken |
Der "Klient" merkt sich genau ein Passwort: Sein Login
| Think4UrS11 wrote: | | Pfui - genau für den Zweck gibt es ja diese ssh Option. Außerdem gibt es NAT-Implementierungen die jede einzelne Verbindung (d.h. jedes sourceip:sourceport <-> destip:destport Päärchen) seperat betrachten. Da bringt dir ein ping 'nebenher' dann gar nichts weil der als eigene Verbindung behandelt wird. |
Da habe ich mich wohl unverständlich ausgedrückt. Gemeint war ein Ping innerhalb eines VPN Tunnels.
| Think4UrS11 wrote: | | Quark, das nennt man doch dann Espresso. halbvoll ...du kennst ja häßliche Wörter ... |
Ich vergaß, apropos häßliche Worter, da habe ich noch gar nicht losgelgt
_________________
grüße
nico |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Mar 22, 2006 6:46 am Post subject: |
|
|
Hmm achso na dann
Ursprünglich hatte ich die Anforderungen wirklich etwas anders ausgelegt. Tut der SSH-Lösung aber trotz allem keinen Abbruch, taugt genauso.
- das nach-Hause-telefonieren geschieht eben mit obiger Lösung
- verwendet wird hier ssh mit public keys ohne passphrase
- rsync/download läßt sich ebenfalls automatisiert darüber abwickeln
Wenn die Maschinen booten wird via /etc/init.d/local.start schonmal der 'Admin-Eingang' mitgestartet, braucht ja praktisch keine Ressourcen und Bandbreite auch faktisch null bis auf ein wenig keepalive (wie jeder aktive VPN-Tunnel).
Der Server kann ja problemlos nebenher als z.B. Portagemirror, http-replicator oder meinetwegen Schulungs-Video-Streamingserver nebenher mit genutzt werden - alles liefe (wenn notwendig) durch den SSH-Tunnel und zwar ohne das Klient das bewußt wäre (er sich darum kümmern muß) sobald es eingerichtet ist - da gibt sich das nicht sehr viel mit OpenVPN.
Um es nun ganz fein zu machen kann man auf dem Server die bestehenden Admin-Tunnel nach einer gewissen Zeit auch wieder automatisiert abbauen, z.B. weil an dem Tag der Admin keine Zeit hat.
Für den Fall der Fälle gibt es natürlich auf der Oberfläche der Klienten einen Button 'da werden sie geholfen' um den Admintunnel auch explizit manuell zu aktivieren.
Was ich damit sagen will ist das SSH durchaus für deine Anforderungen ausreicht.
Vorteil: Du brauchst keine VPN-Software die ja auch erstmal konfiguriert werden muß und die im Endeffekt ja *nur* für deine Zwecke auf der Maschine der Klienten herumliegt.
(Oma Krausse dürfte selten das Bedürfnis verspüren im 'Hamachi-Hausfrauen-VPN' Kochrezepte mit Tante Wang-To aus Peking an der staatlichen Kontrolle Chinas vorbei Kochrezepte zu tauschen )
Software die nicht installiert ist muß auch nicht gewartet und upgedated werden, kann auch keine zusätzlichen Löcher aufreissen, etc.
SSH hingegen ist sowieso auf jeder gescheiten Linuxkiste mit installiert und aktiv. (Und ggf. auch für Kleinweich Fenster erhältlich)
Der initiale Aufwand das alles ans Laufen zu bekommen ist sicher etwas höher als mit OpenVPN das ist unbestritten. Ob und wie sich das langfristig verhält ist eine andere Geschichte.
Aber wie du siehst bist du prinzipiell frei in der Wahl der Waffen, gehen tut beides.
Nun mußt du dich entscheiden lieber Nico.
Wählst du die schicke junge Lady OpenVPN mit den großen Ohren die alles mit sich machen läßt und erfrischend unkompliziert ist?
Oder wählst du die ihrer Jugend bereits entwachsene Miss OpenSSH die frauentypisch etwas zickiger, andererseits jedoch sehr genügsam und ein verläßlicher Partner in allen Lebenslagen ist?
Entscheide dich, der Herzblatthubschrauber wartet bereits auf euch
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
nic0000
l33t
Joined: 25 Sep 2005
Posts: 658
|
| Posted: Wed Mar 22, 2006 1:43 pm Post subject: |
|
|
| Think4UrS11 wrote: | | Was ich damit sagen will ist das SSH durchaus für deine Anforderungen ausreicht. |
Das habe ich mir schon immer heimlich gedacht, denn SSH ist schon ein feinifeini Werkzeug und eins der Gründe warum ich Linux/Unix liebe bzw. M$ hasse.
| Think4UrS11 wrote: | | Vorteil: Du brauchst keine VPN-Software die ja auch erstmal konfiguriert werden muß und die im Endeffekt ja *nur* für deine Zwecke auf der Maschine der Klienten herumliegt. |
Ja die Lösung währe schon schlanker
| Think4UrS11 wrote: | | (Oma Krausse dürfte selten das Bedürfnis verspüren im 'Hamachi-Hausfrauen-VPN' Kochrezepte mit Tante Wang-To aus Peking an der staatlichen Kontrolle Chinas vorbei Kochrezepte zu tauschen ) |
ehehe, du würdest staunen wie weit einige von ihnen heute sind. Da habe ich z.B. einen 65 Jährigen der kennt sich mit p2p und brennen besser aus als so manches Kiddy
Dem habe ich schon seinen Laptop und die Kiste zu Hause zusammengeschaltet, damit er im Urlaub nach dem rechten sehen kann. Zu geil
Das ist zwar eine Insellösung, allerdings spricht ja nichts später auch diesen Weg zu gehen, wobei sich
A)
alles bestimmt auch mit SSH einrichten lässt
B)
zu not auch ein vpn nachträglich auf die Kiste kommt.
C)
Die neuen SSH auch mit VPN-features kommt und bis dahin ist es auch erprobt.
Du kennst nicht zufällig einen SSH-Gott der mir dabei unter die Arme greift?
| Think4UrS11 wrote: | | Software die nicht installiert ist muß auch nicht gewartet und upgedated werden, kann auch keine zusätzlichen Löcher aufreissen, etc. |
Das stimmt, allerdings gehe ich davon aus das selbst die sicherste Waffe in Kinderhänden eine Gefahr darstellt.  habe ich mich jetzt geoutet?
| Think4UrS11 wrote: | Nun mußt du dich entscheiden lieber Nico.
Wählst du die schicke junge Lady OpenVPN mit den großen Ohren die alles mit sich machen läßt und erfrischend unkompliziert ist?
Oder wählst du die ihrer Jugend bereits entwachsene Miss OpenSSH die frauentypisch etwas zickiger, andererseits jedoch sehr genügsam und ein verläßlicher Partner in allen Lebenslagen ist?
Entscheide dich, der Herzblatthubschrauber wartet bereits auf euch |
Oh die sind beide so charmant... Kann ich nicht beide haben?
Na gut, ich bin für das robuste Modell SSH. (Irgendwie lande ich wohl doch immer bei den selben Frauen)
Ich wollte mich sowieso näher mit SSH beschäftigen, da ich aber tendenziell faul bin (währe ich wohl sonst in der IT?), ist es gut das ich "zart" genötigt werde mich darum auch mal zu kümmern.
Hey, bist du noch da? Was macht eigentlich dein ICQ?
_________________
grüße
nico |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
