[gelöst] Zugriff auf Firmennetzwerk

starter

Newbie
Tach auch,

hab da so ein "wie gehe ich die Sache an" Problem.
Also, ich habe in der Firma eine W2K Domäne. Nun habe ich seid neustem auch einen Suse 9.3 Rechner der Samba macht und der Zeitgeber für alle Server und Clients ist.
So, und zu Hause habe ich ein PB mit Apple OS X 10.3 stehen.
Mein Ziel: Von zuhause auf die Server gelangen.

Ich habe schon mal Citrix auf meinen Apple installiert und hier in der Firma angeschlossen. Funzt recht gut. Aber jetzt will ich dies natürlich von zuhause aus machen. Ich dachte mir dass ich den Suse villeicht als eingang zum Firmennetzwerk benutzen könnte. Wie stelle ich das am besten an?

Suse vor die Firewall an eine eigene IP und dann im Netwerk (also 2 Netzwerkkarten)? VPN? Wenn ja welche Variante?

Zur Info: OSx bietet irgendwas mit VPN-Client von haus aus an. Ist das dann kompatibel?

Hey ich bin für jeden Hinweis dankbar.
 

starter

Newbie
ja der Internetzugang geht einfach über einen windows-proxy-firewall auf ein telekom router der wiederrum auf das dsl modem geht.
ich weiß dass es bei windows relativ einfach geht, aber ich wollte es über den suse gelöst haben.

ich denke os x wird da keine probleme machen, solange der server offen für alle clients ist. (hinter os x stekt ja im prinzip auch unix)
 

Frankie777

Advanced Hacker
Apple unterstützt OpenVPN.
Das wäre dann Deine Wahl für den Suse-Server.

Wie sieht das denn mit dem Router aus?
Der Suse Rechner sollte auf jeden Fall eine zweite Karte bekommen, dann kann man einfacher filtern.

Möglich wäre eine Portweiterleitung vom Router auf den Suse-Rechner. Wenn Du das ordentlich konfigurierst wäre es vertretbar. Auf keinen Fall den Samba-Server vor die Firewall (ins WAN) stellen.

Besser wäre es allerdings einen eigenen VPN-Server in die DMZ zu tun und nicht den Samba-Server auch als VPN-Server zu benutzen.

PS: Win2k wird für "normale" Kunden nicht mehr gewartet.
 

starter

Newbie
Sehe ich das richtig, dass es dann am besten wäre, wenn ich einen neuen Server aufsetze, diesen mit 2 Karten ausstatte und den dann hinter den Router (logisch, da der Router ja von der T-Com für meine 8 IP's zuständig ist) setze und dann ins LAN schleife. Das würde bedeuten, das mein VPN-Server die bestehende Firewall umgeht, quasi parallel zu dieser steht.
Wäre das kein Sicherheitsrisikio? (Klar müsste dann die SuSEfirewall aktiv sein)
 

nbkr

Guru
Was Du gerade beschreibst ist ein Firewall By Pass. Klar ist das ein Risiko. Wenn dein Server gehackt wird steht das Netzwerk offen.

Prinzipiell ist mir dein Netzwerkaufbau ein wenig unklar. Du sagst was von öffentlichen IPs. Hat jeder PC eine öffentliche IP? Das wäre gefährlich weil dann jeder PC auch eine Firewall bräuchte.

Zeig mal ein wenig vom Netzwerkaufbau.
 

Frankie777

Advanced Hacker
Wenn Du ein Port-Forwarding für OpenVPN vom Router auf den VPN-Server machst.
Auf dem OpenVPN-Server nur UDP/1194 annehmen
- die Anzahl der Syn-Pakete pro Zeit begrenzt
- tls-auth benutzt
- nur established Pakete zu den VPN-Verbindungen benutzt
- den Rest dropst
- LogFile erstellt und überwachst
ist das vertretbar
Das sind mehr Sicherungsmaßnahmen als viele Hardware Router mit Firewall bieten. Es ist immer aufwendiger Verbindungen von außen anzunehmen als nur ausgehenden Verbindungen zu verwalten.

Dazu ist es auch aufwendig die Regeln für die Anbindung des VPN Tunnels an das LAN zu schreiben, da liegen auch Risiken wenn Rechner aus dem Feld an das LAN angeschlossen werden.
 

starter

Newbie
Das Netzwerk ist eigentlich total einfach aufgebaut:

Da hab ich 8 Server (7mal Win) im Schrank, die verschiedene Aufgaben erfüllen. Darunter ist einer der als Proxy und Firewall alle anderen vom WAN trennt. Dieser hat natürlich 2 Netzkarten. Ja und dann kommt da auch schon die Gerätschaften von der T-Com. Da ich CompanyConnect DSL habe stehen mir ja 8 feste IP's zu. Der Router etc. müsste von den Protokollen und Diensten ja alles durchschleifen was auf mein Adressraum fällt.
 

starter

Newbie
Danke Frankie777,
aber irgendwie stehe ich glaub ich noch en bizele auf dem Schlauch.

Also mit dem Router habe ich in diesem Sinne nichts zu tun, da dieser direkt von der T-Com verwaltet wird. Wie schon beschrieben denke ich, dass dieser soviso alle Packete durchschleift, welche in meinen Adressraum liegen. Also vergessen wir mal den Router.

Also ich setze nun einen neuen Sus-Server mit eigener öffentlichen IP vor die existierende Firewall. Schließe nun die Netzkarte 1 ans WAN und die Netzkarte 2 an ?????
Soll ich nun ein ByPass machen, oder wäre es besser ich lasse den SuSe nochmal durch die bestehende Firewall laufen? :roll: geht das überhaupt?

Der Suse hätte ja dann an der Netzkarte 2 eine interne IP und würde damit mit einer internen IP von aussen durch die bestehende Firewall wollen. Funktioniert dass dann überhaupt, den SuS an die Domäne etc. zu hängen.

Sorry wenn ich mich so doof anstelle, aber ich möchte keine Missverständnisse haben.
Danke für eure Gedult
 

nbkr

Guru
Folgenden Aufbau würde ich empfehlen.

T-Online Netzwerk
|
| WAN Strecke (DSL
|
Dein T-Online Gerät (Router DSL Modem)
|
Switch an den alle Server angelossen sind = DMZ
|
LAN Firewall System (neuer Server auf den OpenVPN soll
|
Switch an den alle LAN Rechner angeschlossen sind


Die Server kommen alle an den Switch an dem auch die T-Online Kiste dran ist. An den Client Switch kommen nur die Clients und der neue Server.

Der neue Server ist dann die Inside Firewall der DMZ - der Router von T-Online die Outside Firewall. Auf der Inside Firewall installierst Du OpenVPN. Damit kommst Du auf alle Clients im LAN.

Theoretisch auch auf die Server, aber die sind ja direkt über das Internet zu erreichen.
 

Frankie777

Advanced Hacker
Das hängt ein bißchen davon ab was Deine Firewall so kann.
Firewall ist ein Gummibegriff.
Sinnvoll ist eh nur ByPass für die notwendigen Ports oder eben die vorhandene Firewall benutzen.
Ein ByPass ist bei OpenVPN auf dem VPN-Server sehr gut abzusichern.
Praktischer und übersichtlicher ist natürlich nur eine Firewall zu konfigurieren, sofern die was kann.
Die zweite Karte des Suse-Rechners kommt in das LAN.
Damit kannst Du dann natürlich alle LAN Funktionen nutzen.
Sicher könntest Du hinter den VPN-Server noch einen Rechner als Firewall zum LAN setzten, es ist bei OpenVPN aber vertretbar den Rechner direkt mit dem LAN zu verbinden und auf diesem Rechner die Firewall Funktionen zum LAN hin auszuführen.
 

starter

Newbie
@nbkr
wow, das scheint mir eine etwas zu große Umstelleung für das Netzwerk nur für VPN. Aber danke mal für deine Mühe.
Aber etwas stutzig macht mich die Angabe ja schon, dass ich alle meine Server vor die Firewall setzen soll, also in die DMZ. Zumal der Router eigentlich keine Port-Rules besitzt. Demnach wären alle Rechner ungeschützt am Netz.
Ich hätte eigentlich gesagt, dass nur Server wie ftp, http, VPN und u.U. mail in die DMZ kommen. Aber keine ERP, File, Security, PDC etc. -Server.

@Frankie777
ich denke das wird mein Lösungsansatz sein. --> ein Bypass mit eigener Firewall

thanks all
 

nbkr

Guru
Du sollst natürlich nur die Server in die DMZ setzen die von außen erreichbar sein sollen. Der Rest hat im internen Lan zu sein - und braucht auch keine offizielle IP Adresse - wozu eine offizielle IP verschwenden. Die Dinger sind zu selten um die fürs heimische Netz zu nutzen.
 
Oben