Konzept Aussenstellenanbindung an Firma

Frank Matthieß frankm at lug-owl.de
Wed Nov 5 19:44:51 CET 2003 

Jürgen Leibner [2003-11-05 19:17 CET]:
> Hallo zusammen,
> 
> welche Konzeption sollte man warum, mit was bevorzugen, wenn man
> folgendes machen will:
> 
> Schema:
> siehe Anhang (ich hoffe es kommt gut rüber)
> 
> Also in Prosa:
> 
> Mehrere Aussenstellen und wandernde Mitarbeiter greifen über einen
> handelsüblichen Provider auf das Internet weltweit zu. Dann bauen Sie
> ein VPN durch die Firewall zu dem Firmen VPN-Server auf. Von diesem
> gelangen Sie auf die Server des Intranets. Sie gehen aber auch durch die
> Hauptfirewall zurück ins Internet, z.B. zum surfen. Weiterhin können
> alle Clients der Firma ins Internet. Die Server der DMZ können sich über
> den VPN-Server mit den Servern des Intranets replizieren. Das Internet
> kann nur in die DMZ. Administratoren können die Maschinen der
> Aussenstellen und der DMZ per VNC/SSH warten. Die OS's der Maschinen
> sind W2k, Apple, AIX, HP-UX, Linux, NT, ...! Also alles bunt gemischt.
> Clients sind aber hauptsächlich W2K. Alle Vorgänge sollen tranzparent
> sein. Das heisst, dass die Authentifikation pro User nur einmal erfolgt
> und innerhalb einer Sitzung dann alle relevanten und für ihn
> zugelassenen Dienste ihren Weg automatisch finden.

Was heißt das genau? Proxyanmeldung? Windowsserver Anmeldung?
Mailanmeldung?

> Alle sicherheitsrelevanten Maschinen sollen unter Debian laufen
> (Firewalls und VPN-Server, DMZ...).
> Alles was an Software notwendig ist soll, wenn möglich unter der GPL
> stehen.


Ich würde Dir für die Aussenstellen eine Firewall mit VPN Tunnel in die
Zentrale vorschlagen. Dann ist das für die Maschinen im
LAN(Filiale(Zentrale) transparent.


In der Zentrale auch eine Firewall mit _drei_ Netzwerkanschlüssen:

1. Internet
2. DMZ
3. LAN

Oder zwei Firewalls: 

1. Internet <-> DMZ
2. DMZ <-> LAN

Das kommt beides auf's gleiche raus. Einfacher zu pflegen ist die erste
Alternative. 

Für die Roadwarrior: 
Ab Win2k können die Dosen IPSEC. 
Alternativ OpenVPN.

Beides ist mit Linux machbar. Ab Kernel 2.6 ist IPSEC auch direkt
enthalten. Vielleicht wird des Zeug noch auf Kernel 2.4
zurückportiert...

IPSEC hat den _riesen_ Vorteil ein etablierter Standard zu sein.
IPSEC hat den Nachteil etwas schwieriger in der Einrichtung zu sein.

OpenVPN hat den Nachteil keinem etablierter Standard zu entsprechen.
OpenVPN hat den Vorteil _sehr_ einfach in der Einrichtung zu sein.
Thomas Scholz hat Filialen damit angebunden.

Das sind meine zwei Cent.

Frank.
-- 
Frank Matthieß

"Je länger das Spiel dauert, desto weniger Zeit bleibt"
(Marcel Reif beim Spiel Bayern - Unterhaching / Premiere)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20031105/f259e6d7/attachment.sig>

More information about the Linux mailing list