hi leute,

ich brauch mal eure hilfe. kollege und ich, wollen was bauen, doch leider fehlt mir dann doch irgenwie das know-how, ihm wirklich zu helfen.

zuerst einmal vorneweg: es geht um ein netzwerk mit verbundener vpn eventuell.

nun mal ein bild zur verdeutlichung:

http://img358.imageshack.us/img358/9996/vorhabennf1.jpg (http://imageshack.us)

er hat einen server zuhause, welcher ueber dsl angebunden ist ans internet (ohne router). dieser server hat 2 netzwerkkarten: eine DSL, eine verschwindet in der wand und kommt im wohnzimmer wieder hervor, wo er mit seinem lappi dann arbeitet. (er will kein wlan)

der drucker zuhause ist auch am server angebunden und ermoeglicht netzwerkdruck vom lappi aus.

nun moechte er auch auf den server vom buero aus zugreifen, wo auch ein drucker steht. also auch drucken zuhause - vom buero aus und umgekehrt.

weiterhin gibt es einen festen datenstamm, mit dem er im buero und auch zuhause mit dem lappi bearbeiten will(netzlaufwerk?).

soviel mal zum vorhaben.

nun meine ideen:

ich dachte daran, den buero pc mit dem server ueber eine vpn zu verbinden, doch bin ich - gedanklich bisher - an der dynamischen ipvergabe der telekom gescheitert. ja, es gibt dyndns systeme, aber wie ist das dann mit der vpn, die sich ja an feste ips bindet, sozusagen.
es muss weiterhin auch eine auth stattfinden, damit sich niemand von aussen einwaehlen kann (statischer schluessel auf beiden seiten dachte ich).

ich dachte dabei an open vpn, doch habe ich atm nicht aufm schirm, wie ich das realisieren soll.

hat jemand von euch ne idee und kann mir da mal mit rat und tat zur seite stehen?

ich dachte dabei an open vpn, doch habe ich atm nicht aufm schirm, wie ich das realisieren soll.

hat jemand von euch ne idee und kann mir da mal mit rat und tat zur seite stehen?mmm...

OpenVPN wäre aufjedenfall eine Lösung.
Eine Frage vorweg: Was ist das für eine Firma? Bevor er mit solchen Sachen rumspielt, sollte er sowas mit der Geschäftsleitung absprechen, ansonsten kann er Ärger bekommen.

Dein anderes Problem ist ansonsten die Sache mit der IP. Auf der einen Seite wird der Client installiert, auf der anderen Seite der Server. Da der Client die IP des Servers kennen muss, ist eine dynamische IP ärgerlich.

Ansonsten heißt es einfach "dumm" der Anleitung folgen, sprich, Software installieren, der Server erstellt die Zertifikate, die notwendigen Zertifikate dem Client geben, die Config für Server und Client erstellen und das wars, wenn der Server den Drucker direkt angebunden hat.
Wenn der Server noch ein Netzwerk mitbringen soll, muss das in die Konfig geschrieben werden, welche er pushen soll. Beim Server noch einstellen, das IP- Forwarding aktiv ist und auf dem Router eine weitere Route eintragen.

Die Konfig sieht im ersten Moment etwas kryptisch aus, ist aber sinnvoll aufgebaut ;).

es ist seine eigene firma..;)

und er will eben den ganzen kram zentral vom buero und von zuhause abarbeiten. weiterhin soll der server zuhause stehen, damit - im falle eines einbruchs - die daten nicht geklaut werden.

und die sache mit dem pushen habe ich auch nie richtig geschnallt..;)

und wie koennte man das loesen, das beide ueber dsl - also dyn ip - ans netz angebunden sind? kann man bei open vpn auch dynamische adressen angeben, anstelle von ips?

so wuerde meine conf atm aussehen:
dev tun
proto tcp-server
remote client IP
ifconfig 10.10.0.1 10.10.0.2
secret static.key
push "redirect-gateway def1"
push "dhcp-option DNS 10.10.0.1"

um erstmal internet im vpn zu haben. aber weiter bin ich atm noch net..;)

und er will eben den ganzen kram zentral vom buero und von zuhause abarbeiten. weiterhin soll der server zuhause stehen, damit - im falle eines einbruchs - die daten nicht geklaut werden.

und die sache mit dem pushen habe ich auch nie richtig geschnallt..;)

und wie koennte man das loesen, das beide ueber dsl - also dyn ip - ans netz angebunden sind? kann man bei open vpn auch dynamische adressen angeben, anstelle von ips?

so wuerde meine conf atm aussehen:
dev tun
proto tcp-server
remote client IP
ifconfig 10.10.0.1 10.10.0.2
secret static.key
push "redirect-gateway def1"
push "dhcp-option DNS 10.10.0.1"mmm...

Ok, das würde bei einem physikalischen Einbruch nicht Schaden, wenn ein Backup existiert.
Pushen = was der Server zur Verfügung stellen soll und damit dem Client mitteilt.
Ja, OpenVPN macht bei Namen einfach eine normale Namensauflösung. Auf was läuft der Server? Linux oder Windows?

dev tun
proto server?
remote www.adresse.de und den Port, falls du ihn verschieben willst.

Achja, was nicht sein darf, ist, dass beide Lans im gleichen IP- Bereich sind. Die kann man nicht verbinden, würde zuviel Traffic erzeugen.
Die ganzen, einzelnen Abschnitte müsste ich im Zusammenhang mit der Erklärung sehen, dann könnte ich sowas wieder einrichten, aber ich hab erstmal Urlaub ;).

naja, ich danke dir erstmal bis hierhin..;)

der server wuerde wohl ein xp sp2 sein, da ich linux atm noch nicht so bedienen kann, als das ich die ganzen anderen dienste, die er will, noch da einbauen koennte...;)

und die lans muessen einen anderen ip bereich haben? in wieweit?

also zb im buero: 192.168.0.1 und zuhause dann 192.168.1.0 ? oder ist das trotzdem der gleiche bereich?..;)

oder zuhause dann ne 10.10.0.1 - wie in meinem bsp?

weil der server wuerde dann ja beide haben

und die lans muessen einen anderen ip bereich haben? in wieweit?

also zb im buero:
192.168.0.X Netzmaske 255.255.255.0 und zuhause dann
192.168.1.X Netzmaske 255.255.255.0 ? oder ist das trotzdem der gleiche bereich?..;)
oder zuhause dann ne 10.10.0.1 - wie in meinem bsp?
weil der server wuerde dann ja beide habenmmm...

Deine Angabe für den IP- Bereich hatten einen kleinen Fehler. Die .0 am Ende kann man keinem Gerät zuweisen, sie ist für Broadcast? reserviert.
Ja, die IP- Bereiche müssen so wie du es zeigst, getrennt werden.
Hintergrund ist das Routing, wo das Ziel eindeutig sein soll.
Wenn du 2 Netze mit den gleichen IPs hast, geistern sie entweder nur bei sich im eigenen Lan rum oder erzeugen relativ viel Traffic nach dem Motto "bei mir ist er nicht, bei mir schon, ja, nein, ja, nein, vielleicht, kreisch" und der ganze Kram geht doppelt (oder mehrfach) über die Leitung.
Die 10er IP, sprich, der virtuelle Netzbereich für OpenVPN, muss ebenfalls auf dem Router bekannt sein, damit er die Pakete auch wieder zurückschicken kann.

IP- Forwarding bei XP:
http://support.microsoft.com/kb/315236
2003:
http://support.microsoft.com/kb/323339
2000:
http://support.microsoft.com/kb/230082

ohjeh, ich seh schon, das wird ein deadend projekt....

ich blick grade garnix mehr. im openvpn forum spricht man auch von boehmischen doerfern...

//EDIT//
welcher router kann den dyndns und vpn tunnel? hat da jemand ne idee?

http://www-de.linksys.com/servlet/Satellite?c=L_Product_C2&childpagename=DE%2FLayout&cid=1123637945300&pagename=Linksys%2FCommon%2FVisitorWrapper&lid=4530018843B06

waere das ein guter dafuer?

nur wie wird das dann gehandhabt? brauche ich dann 2 davon, einen zuhause und einen im buero? oder reicht einer, am server@home?

ohjeh, ich seh schon, das wird ein deadend projekt....

ich blick grade garnix mehr. im openvpn forum spricht man auch von boehmischen doerfern...mmm...

Woran scheitert es den? Zuerst solltest du die Software auf 2 Testkisten installieren. Der eine übernimmt die Aufgabe des Servers, der andere die des Clients.
Wenn die beiden sich erstmal finden, ist das wichtigste schon geschafft.

Das OpenVPN- Forum fand ich bisher eher nur nachteilig.

Wegen Routern, ich meine, du brauchst 2 davon, aber sicher bin ich mir nicht. Alternativ mal auf der Herstellerseite schauen, ob man die Verbindung auch über Windows zum Router aufbauen kann.

naja, ich scheitere daran, das man mir im open vpn forum dinge erzaehlt, von denen ich keine ahnung habe..;)

ich ueberlegte eben 2 dieser linksys geraete zu kaufen und die dann zu konfen, ohne open vpn. aber sicher bin ich mir da nicht, ob die das beide koennen. bzw ob man wirklich 2 davon brauch.

//EDIT//
ich habe schon oft "nur" 2 kisten verbunden, aber das waren immer fix ip systeme und nicht diese aufgaben, die ich jetzt habe. das habe ich hinbekommen. aber atm bin ich etwas ueberfragt

naja, ich scheitere daran, das man mir im open vpn forum dinge erzaehlt, von denen ich keine ahnung habe..;)mmm...

Kennst du dich mit Routing aus? Wenn ja, sollte es mit OpenVPN klappen, wenn nein, dann wäre die Sache mit den Routern wohl die einfachere.

da erzahlt man mir im open vpn foorum voll was anderes, voll die gekuenstelte wichtigmacherrei, dabei stelle ich doch einfache fragen..:/

da erzahlt man mir im open vpn foorum voll was anderes, voll die gekuenstelte wichtigmacherrei, dabei stelle ich doch einfache fragen..:/mmm...

Keine Ahnung, ich guck nicht in dieses Forum. Das, was ich da gesehen habe, waren nur nervige Kommentare an den Problemen vorbei ...

VPN Pass through kann jeder, VPN Endpunktterminierung nicht.
Du kannst dir Linksysrouter zulegen und dir OpenWRT draufhauen, damit kannst du fast alles realisieren.

Gruß,
QFT

VPN Pass through kann jeder, VPN Endpunktterminierung nicht.
Du kannst dir Linksysrouter zulegen und dir OpenWRT draufhauen, damit kannst du fast alles realisieren.

Gruß,
QFT

davon habe ich gehoert, das openwrt kann auch mit openvpn umgehen, richtig?

brauche ich dann 2 solcher linksys geraete fuer mein vorhaben?

Hallo,
ich habe mich im März erst in die ganze Openvpn Thematik eingelesen und ein Openvpn Netz in einer Firma umgesetzt.

zu allererst das hier lesen:
http://www.openvpn-wiki.de/index.php/OVPN-Linux

danach das hier (eine Beispielrealisation eines Nutzers):
http://www.vpnforum.de/viewtopic.php?t=3143

Edit:
Um die Zertifikate (die eine wesentlich höhere Sicherheit bringen als Static Keys) under Windows zu erstellen, musst du lediglich die "howto's" auf der Openvpn-Seite lesen oder im openvpn-wiki danach schauen.

Ich denke mal das sollte reichen damit du dein VPN hinbekommst ;).

Gibt es eine Möglichkeit OpenVPN durch eine Firewall zu bekommen (bzw. zu tunneln)? Also ohne spezielle Freischaltung? :D

@ Gast: ja die gibt es. Du kannst z.B. den VPN Tunnel über Port 80 schleusen. Es gibt immer ein paar Ports die selbst in Firmennetzwerken offen sind.
Falls du das in einer/deiner Firma versuchst, kann das ein Kündigungsgrund sein.

Linksys WRT 54-GL mit DD-WRT Firmware wäre eine Möglichkeit. Einfach zu konfigurieren und läuft stabil.

Linksys WRT 54-GL mit DD-WRT Firmware wäre eine Möglichkeit. Einfach zu konfigurieren und läuft stabil.

brauch ich den dann in meinem bsp auf beiden seiten?

soo, da es scheinbar zu schwierig ist, eine frage:

es gibt doch solche "netzwerkfestplatten", welche eben in einem case sitzen und eine netzwerkschnittschnelle haben.

koennte man diese nicht in verbindung mit einem dyndns / vpn faehigen router verwenden?

der router hat ein switch eingebaut, so kann der lappi mit ran. die frage ist nur, ob die netzwerkfestplatte auch "nur vom router aus", ohne pc, per VPN ansprechbar ist - uebers internet / netzwerk.

die platte bindet sich ja selbstaendig ein, da sie normalerweise auch nur an einem switch haengen wuerde.

doch was sagt der router dazu? jemand damit erfahrungen?