It is currently 20.11.2017 09:40


All times are UTC




Post new topic Reply to topic  [ 2 posts ] 
Author Message
 Post subject: Kleines Firmennetzwerk
PostPosted: 08.03.2017 07:38 
DES
DES

Joined: 04.03.2017 11:14
Posts: 1
Hallo Leute,

ersteinmal Danke für die Aufnahme, und vorne weg geschickt, ich bin kein NEtzwerk oder IT Experte, daher vergebt mir btte die ein oder andere doofe Frage. ;)

Ich habe folgendes Problem, wir sind eine kleine Firma welche grade angefangen hat operativ zu arbeiten, und da am Anfang ja immer viel zu tun ist, ist der Zugang auf den Server von ausserhalb des Büros erstmal hinten angestellt worden.

Nun möchte ich das aber gerne realisieren, und das am liebsten mit einer VPN, da es nicht nur ich bin der auf den Server zugreifen soll sondern auch Kollegen aus Hamburg und aus Zypern (klingt jetzt nicht mehr nach klein, aber ist so)

Wie sieht mein Setup hier in Singapur aus:

Wir haben einen Internetanschluß mit statischer IP 203.###.###.### dahiner sitzt ein D-Link Router welcher die IP 192.168.85.1 hat.
An diesem Router angeschlossen ist ein Netzwerkswitch und daran die momentan 4 PCs, wovon einer der Server ist.

Ich habe mich durch das Tutorial von Shizzo.TV [youtube]https://www.youtube.com/watch?v=z8XclxUA5TQ&list=PLsaoHW-XAXAk2OQPZh2aKBQaJDwCYseCJ[/youtube] gearbeitet, aber ich bekomme dennoch keine Verbindung zwischen meinem Notebook und dem Server hin. Ich habe für die ersten Versuche die Konfigurationsdateien von WAKUSI genommen und wie folgt abgeändert:

Server:
Quote:
#
# Server-Config
#

# Achtung befindet sich ein Zeichen wie # oder ; vor einer Option, so gilt diese als auskommentiert und wird nicht verwendet!

dev tap
proto udp
port 3074

# Netzwerkparameter:
mode server
tls-server
ifconfig 203.###.###.### 255.255.255.0 #IP-Adresse des Servers
ifconfig-pool 192.168.85.76 192.168.85.100 255.255.255.0 #IP-Adressen die per DHCP an die Clients verteilt werden
;ifconfig-pool-persist ipadressen.txt #jeder Client bekommt beim naechsten Verbindungsaufbau seine alte IP-Adresse zugeteilt
max-clients 20 #maximale Anzahl an Clients die sich gleichzeitig mit dem Server verbinden koennen
;client-to-client #erlaubt es Clients miteinander im Netzwerk zu kommunizieren

#Zertifikate:
pkcs12 TSM_Server.p12
dh dh4096.pem

#zusaetzliche Sicherheit:
tls-auth ta_tutorial.key 0 #Richtung auf server "0" (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)
;cipher BF-CBC #OpenVPN-Standartverschluesselung Blowfish bei 128 Bit
;keysize 256 #max 448 bits bei Blowfish moeglich
cipher AES-256-CBC #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2 #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512 #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 #Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 #Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 #kompatibel und recht sicher
remote-cert-tls client #bei dem Server ist es "client". Passende Zertifikate werden hierfuer benoetigt!

# Optionen zur Aufrechterhaltung der Verbindung
ping-timer-rem
keepalive 10 60
persist-key
persist-tun

# Push-Optionen
push "persist-key"
push "persist-tun"
#### Netzwerkoptionen
;push "dhcp-option DNS 192.168.123.1" #erster DNS-Server
;push "dhcp-option DNS 192.168.x.x" #zweiter DNS-Server
;push "dhcp-option WINS 192.168.123.1" #WINS-Server
#### NetBIOS optionen - nur eine verwenden!
;push "dhcp-option DISABLE-NBT" #NetBIOS ausschalten
;dhcp-option NBT 8 #Namensaufloesung: erst WINS-Server dann Broadcasts


#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# http://www.wakusi.de
#


und für den Client

Quote:
#
# Einfache Client-Config
#

dev tap
client

# hier muessen die Server-Adresse, -Port und -Protokoll angegeben werden
remote tsmsgp000.firewall-gateway.com 3074 udp # Anderes Beispiel fuer Dyndns mit default Werten: remote einAusgesuchterName.spdns.de 1194 udp

#Zertifikate:
pkcs12 TSM_sGP.p12 #Schluesselsnamen eingeben Bsp:"pkcs12 martin.p12"

#zusaetzliche Sicherheit:
tls-auth ta_tutorial.key 1 #Richtung auf client "1" (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)
;cipher BF-CBC #OpenVPN-Standartverschluesselung Blowfish bei 128 Bit
;keysize 256 #max 448 bits bei Blowfish moeglich
cipher AES-256-CBC #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2 #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512 #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 #Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 #Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 #kompatibel und recht sicher
remote-cert-tls server #bei dem Client ist es "server". Passende Zertifikate werden hierfuer benoetigt!
verify-x509-name "server" name #verify-x509-name <common-name des servers> name

#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# http://www.wakusi.de
#


Ich habe jetzt natürlich ein paar Fragen, weil es nicht funktioniert:

1) Muss ich dem Server eine Feste IP Adresse vergen innerhalb des NEtzwerkes?
2) Im Tutorial Teil 1 wurde gesagt man benötigt eine DynDNS, ich nehme an, das ist die IP adresse die ich meinem Server geben muss (siehe auch konfig-datein), damit ich nach dieser mit dem Client im Netz suchen kann, nur wie geb ich das in der Konfigurationsdatei an?
3) Port forwarding im Router, die DynDNS IP muss ich dann nach meinem Verstädnis in den router eintragen, um sie an die IP adresse des Servers weiterzuleiten, dazu brauche ich ja dann wieder eine feste IP am Server, richtig?
4) wie müsste ich die Konfigurationsdateien abändern damit es erstmal für mich als einzigen User funktioniert.
Schritt 2
5) Jetzt hat nicht jeder User das Recht jeden Ordner zu sehen, muss ich dann in den einzelnen Userprofilen von Windows jeweils einen VPN-Server errichten?
6) Wenn meine Kollegen in Hamburg oder Zypern einen eigenes Netzwerk mit einem HArdware server haben, reicht es wenn sich dieser Server mit OpenVPN mti meinem Server in SGP verbindet, oder braucht jeder user eine VPN?

Ich hoffe ich überfalle euch jetzt nicht gleich wahsinnig, aber ich hab schon ganze 3 Tage darauf verwendet das irgendwie zum laufen zu bringen und je mehr man machte desto komplizierter wurde es ;)

Kann mir evtl jemand helfen?

Anbei noch ein Screenshot vom Client


Viele Grüße

Tom


Attachments:
Client2.jpg
Client2.jpg [ 113.43 KiB | Viewed 535 times ]
Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kleines Firmennetzwerk
PostPosted: 08.03.2017 09:24 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
TSMSGP wrote:
Hallo Leute,
.... ist der Zugang auf den Server von ausserhalb des Büros erstmal hinten angestellt worden.
richtig, nur von Aussen!
Quote:
Wir haben einen Internetanschluß mit statischer IP 203.###.###.###
dahiner sitzt ein D-Link Router welcher die IP 192.168.85.1 hat.
An diesem Router angeschlossen ist ein Netzwerkswitch und daran die momentan 4 PCs, wovon einer der Server ist.


Server:
Quote:
#
# Server-Config
#

# Achtung befindet sich ein Zeichen wie # oder ; vor einer Option, so gilt diese als auskommentiert und wird nicht verwendet!

dev tap
proto udp
port 3074

# Netzwerkparameter:
mode server
tls-server
ifconfig 203.###.###.### 255.255.255.0 #IP-Adresse des Servers
ifconfig-pool 192.168.85.76 192.168.85.100 255.255.255.0 #IP-Adressen die per DHCP an die Clients verteilt werden

Fehler .... du musst als VPN-Netz ein anders Netz nehmen
Quote:
;ifconfig-pool-persist ipadressen.txt #jeder Client bekommt beim naechsten Verbindungsaufbau seine alte IP-Adresse zugeteilt

Code:
Server 10.10.10.1 255.255.255.0   # zum Beispiel



max-clients 20 #maximale Anzahl an Clients die sich gleichzeitig mit dem Server verbinden koennen
;client-to-client #erlaubt es Clients miteinander im Netzwerk zu kommunizieren

#Zertifikate:
pkcs12 TSM_Server.p12
dh dh4096.pem

#zusaetzliche Sicherheit:
tls-auth ta_tutorial.key 0 #Richtung auf server "0" (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)
;cipher BF-CBC #OpenVPN-Standartverschluesselung Blowfish bei 128 Bit
;keysize 256 #max 448 bits bei Blowfish moeglich
cipher AES-256-CBC #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2 #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512 #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 #Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 #Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 #kompatibel und recht sicher
remote-cert-tls client #bei dem Server ist es "client". Passende Zertifikate werden hierfuer benoetigt!

# Optionen zur Aufrechterhaltung der Verbindung
ping-timer-rem
keepalive 10 60
persist-key
persist-tun

# Push-Optionen
push "persist-key"
push "persist-tun"
#### Netzwerkoptionen
;push "dhcp-option DNS 192.168.123.1" #erster DNS-Server
;push "dhcp-option DNS 192.168.x.x" #zweiter DNS-Server
;push "dhcp-option WINS 192.168.123.1" #WINS-Server
#### NetBIOS optionen - nur eine verwenden!
Lokales Netz "pushen"
Code:
push 192.168.85.76 255.255.255.0

Quote:
;push "dhcp-option DISABLE-NBT" #NetBIOS ausschalten
;dhcp-option NBT 8 #Namensaufloesung: erst WINS-Server dann Broadcasts


#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# http://www.wakusi.de
#


und für den Client

Quote:
#
# Einfache Client-Config
#

dev tap
client

# hier muessen die Server-Adresse, -Port und -Protokoll angegeben werden
remote tsmsgp000.firewall-gateway.com 3074 udp # Anderes Beispiel fuer Dyndns mit default Werten: remote einAusgesuchterName.spdns.de 1194 udp

#Zertifikate:
pkcs12 TSM_sGP.p12 #Schluesselsnamen eingeben Bsp:"pkcs12 martin.p12"

#zusaetzliche Sicherheit:
tls-auth ta_tutorial.key 1 #Richtung auf client "1" (Schluessel erstellen mit "openvpn --genkey --secret ta_tutorial.key" oder Link in Windows)
;cipher BF-CBC #OpenVPN-Standartverschluesselung Blowfish bei 128 Bit
;keysize 256 #max 448 bits bei Blowfish moeglich
cipher AES-256-CBC #AES mit 256 Bit im Cipher Block Chaining Mode
tls-version-min 1.2 #aktuellste tls-Version erzwingen - nur mit OpenVPN ab 2.3.3 und hoeher
auth SHA512 #SHA-2 mit 512 Bit - (Standart ist SHA-1)
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 #Extrem sicher
#tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 #Sehr sicher
#tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256 #kompatibel und recht sicher
remote-cert-tls server #bei dem Client ist es "server". Passende Zertifikate werden hierfuer benoetigt!
verify-x509-name "server" name #verify-x509-name <common-name des servers> name

#
# Diese Konfigurationsdatei wurde fuer ein Shizzo.tv Tutorial erstellt und wird exclusiv veroeffentlicht auf
# http://www.wakusi.de
#


Ich habe jetzt natürlich ein paar Fragen, weil es nicht funktioniert:

1) Muss ich dem Server eine Feste IP Adresse vergen innerhalb des NEtzwerkes?
ein Netz,
Quote:
2) Im Tutorial Teil 1 wurde gesagt man benötigt eine DynDNS, ich nehme an, das ist die IP adresse die ich meinem Server geben muss (siehe auch konfig-datein), damit ich nach dieser mit dem Client im Netz suchen kann, nur wie geb ich das in der Konfigurationsdatei an?
entweder du hast eine feste IP
oder du nimmst stattdessen dyndns
oder ...kannst auch doppelt-gemoppelt die feste IP mit einem dyndns-Namen belegen
Quote:
3) Port forwarding im Router, die DynDNS IP muss ich dann nach meinem Verstädnis in den router eintragen, um sie an die IP adresse des Servers weiterzuleiten, dazu brauche ich ja dann wieder eine feste IP am Server, richtig?
jein.....
Quote:
4) wie müsste ich die Konfigurationsdateien abändern damit es erstmal für mich als einzigen User funktioniert.

egal wieviel User... du brauchst Adressraum
Quote:
Schritt 2
5) Jetzt hat nicht jeder User das Recht jeden Ordner zu sehen, muss ich dann in den einzelnen Userprofilen von Windows jeweils einen VPN-Server errichten?
hat mit VPN nix zu tun....
Quote:
6) Wenn meine Kollegen in Hamburg oder Zypern einen eigenes Netzwerk mit einem HArdware server haben, reicht es wenn sich dieser Server mit OpenVPN mti meinem Server in SGP verbindet, oder braucht jeder user eine VPN?

du kannst Netze per Tunnel anbinden oder
RW-User (road-warriors)

Quote:
Ich hoffe ich überfalle euch jetzt nicht gleich wahsinnig, aber ich hab schon ganze 3 Tage darauf verwendet das irgendwie zum laufen zu bringen und je mehr man machte desto komplizierter wurde es ;)

Kann mir evtl jemand helfen?

Anbei noch ein Screenshot vom Client
Viele Grüße

Tom

Nöööö (warum liest keiner die openVPN Einfürhrungen...;) da wird die Hälfte der Fragen beantwortet)

Also: tap devices sind keine kluge Wahl ! Sie werden nur bei Bridged Networks gebraucht, dazu müssten alle (!) Clients (mit allen Interfaces) im gleichen Adressraum sein (192.168.85.0/??).
Und nur dann (!) geht broadcast! Bei RW's eigentlich aussichtslos.
Alternativ Routing (würde ich eher mit CCD machen als mit
Code:
ifconfig-pool
, jeder Client verbraucht dann 4 IPs (automatisch zugewiesen), du kriegst also in einem /24 er Net dann 63 Clients unter + 1 Server.

Die Frage ist ob udp oder TCP...das kommt drauf an. Hatte schon etliche Male mit UDP Probleme aber TCP ist etwas langsamer (Theoretisch)

Der ganze Windoof-Kram hat nix mit VPN zu tun! Es kommt hin, wenn man openVPN nur als langes Kabel mit IP-Eingang/Ausgang sieht -> zumindest in sehr vereinfachter Sicht.

Zertifikate mittels easy-RSA machen/verwalten, zu Sicherheit: ordentliche DH-Parameter, 1024 Bit lange Zertifikate reichen und auch bei der SSH-Schlüsselei nicht übertreiben! openVPN wechselt automatisch selbst mehrfach innerhalb einer Stunde den Schlüssel (deswegen DH-Key ordentlich), Zertifikate werden nur bei der Authentifizierung verwendet (Länge eigentlich egal ab 1024), der ssh-Key braucht Rechenleistung , SHA256 reicht auch zu.
Windoof muss ohne Broadcasts auskommen (deswegen WINS)...oder man binset die Win_server direkt per IP ein (haben wir immer gemacht)

Also ..einiges dein Ding (zum Raspi/banana PI gibts auch gute Tutorials), Täte:
keine Win-Kiste als openVPN-server nehmen
Das Netz umbauen, do dass das VPN-Blech auch als DHCP/Gate tut (statt der Plastikkiste)

Bei RWs evtl. noch
Quote:
nobind
eintragen.

F.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 2 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 4 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net