Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
glockman
Anmeldedatum: 21.09.2004 Beiträge: 2097 Wohnort: suermondtstr/degnerstr ... ohne AP
|
Verfasst am: 07.02.2005, 00:26 Titel: VPN server |
|
|
da unser konzept fürs wlan ja nun so aussieht, dass wie internetkostenteilung nicht angedacht ist, dafür aber keine ansprüche an den internetzugang gestellt werden können, steht nun immernoch das sicherheitsproblem für sicherheitsbedürtigen teilnehmer. die lösung wäre an sich ja VPN-server auf den APs. dann müssten jedoch alle teilnehmer auf allen aps eingerichtet werden ... sicherheitstechnisch unsinn, wenn jeder die daten des anderes sieht. deshalb müsste ein zentraler vpn-server aufgestellt werden. dann würde aber jeder traffic durch das gesamte wlan an einen AP geschleust werden ... ein geschwindigkeits- und verfügbarkeitsdesaster. da eine verschlüsselung aber eigtl nur für dienste im inet wichtig ist, könnte der vpn-server auch dort stehen. dafür müsste allerdings ein root-server gemietet werden, durch den kosten entstehen ... also auch kosten für jeden, der den vpn-server benutzen will.
nun seid ihr wieder gefragt ... meinungen ... alternativen |
|
Nach oben |
|
|
MaxPower
Anmeldedatum: 28.04.2004 Beiträge: 405 Wohnort: Berlin-HsH - Bitburger Str.
|
Verfasst am: 07.02.2005, 01:16 Titel: |
|
|
also ich muss ehrlich sagen das ich da nich so viel ahnung habe was vpn und sicherheit angeht!
gibts hier nich einen der da mal richtig ahnung hat und uns ganz einfach aufzählen kann welche möglichkeiten wir haben?
wenn das mit dem vpn-server im i-net unsere einzige möglichkeit darstellt internet sachen zu verschlüsseln, dann bin ich wohl, wohl oder übel dabei.
was aber auch nich schlecht were wenn man jeglichen traffic ganz einfach verschlüsseln könnte!
andere sachen. wenn ich auf meinem rechner nen kleinen ftp-server drauf setze um nen paar daten zu sharen, dann mach ich das alles mit benutzername und pw für die aussenstehenden. so weit so gut. wie können die aber zu mir und ich zu ihnen noch ne sichere verbindung aufbauen? so das die daten verschlüsselt übergeben werden. das würde ja eigtl für den wlan-traffic schon reichen. mir zumindest.
fürs internet müsste das aber generel verschlüsselt sein, wie im endeffekt auch immer es realisiert wird.
vllt fragen wir diesgezüglich am mittwoch nochma auf der c-base. schaden kanns ja nich.
mfg max |
|
Nach oben |
|
|
kasn Administrator
Anmeldedatum: 28.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 07.02.2005, 04:21 Titel: |
|
|
ich verstehe das so.
AP X is mein AP und der hat eine Internetverbindung.
Auf diesem läuft ein VPN-Server.
jetzt will WLaner Y (sagen wir mein nachbar) von sich zu hause über meinen internetzugang surfen, und dabei die daten zwischen AP Y < -----> AP X verschlüsseln. dann muss ich ihn auf meinem AP X im VPN Server eintragen. Also im VPN server steht dann Username_von_meinem_Nachbarn und ein Passwort_von_meinem_Nachbarn.
Mein Nachbar richtet auf seinen Windows rechnern dann eine VPN verbindung ein, in der er meinen AP X (bzw die IP von meinem AP) angibt. auf seinem AP Y muss er dabei nix verändern.
ER MUSS ABER WISSEN, DASS ER ÜBER MEINEN AP INS INTERNET GEHT. weil er ja die IP angibt. und da beginnt das problem. da sich die internetgateways ab und zu ändern, und mein Nachbar vielleicht auch mal über AP B (von glockman) surft, stimmt die in der VPN-verbindung angegebene IP adresse für den VPN server nicht mehr. somit läuft die verbindung ohne verschlüsselung.
der VPN tunnel bildet dabei eine verschlüsselte verbindung vom ausgang der netzwerkkarte meines nachbarns, bis zu meinem AP X. ab da gehn die daten unverschlüsselt zum jeweiligen internet server.
jetzt stellt sich die frage, wie man das problem mit den sich ständig ändernden VPN servern löst.
möglich wäre der vorschlag von glockman schon. dann hat man nämlich einen zentralen VPN server, der eine immer gleiche IP hat. er steht dabei im internet und nicht im wlan, was bedeutet, dass auch wenn teil-strecken des wlans nicht funktionieren er immer erreichbar ist.
doch das größte problem wäre der entstehende traffic eines solchen VPN servers. es gibt da noch ein paar details die noch zu klären sind, wir müssen die wlaner aus fhain und mitte mal fragen wie die das realisieren. also nächsten mittwoch geht die diskussuion hier dann weiter! _________________ Linux never looked this good. |
|
Nach oben |
|
|
glockman
Anmeldedatum: 21.09.2004 Beiträge: 2097 Wohnort: suermondtstr/degnerstr ... ohne AP
|
Verfasst am: 07.02.2005, 05:31 Titel: |
|
|
wenn wir versuchen, jeden scheiß traffic von den APs verschlüsseln zu lassen (sofern die vpn-server auf den wrts laufen) bekommen wir bestimmt ein performance problem. denn rechenpower is bei 200MHz mips nicht unbegrenzt vorhanden. |
|
Nach oben |
|
|
kasn Administrator
Anmeldedatum: 28.04.2004 Beiträge: 826 Wohnort: Berlin [hsh] Internet-Uplink: "FaulerSee"
|
Verfasst am: 07.02.2005, 23:16 Titel: |
|
|
das wird die praxis zeigen.
echt wir müssen das allet erst ma testen, dann schaun wir watt wa machen...
und vorallem bin ick gespannt wie die fhainer das machen _________________ Linux never looked this good. |
|
Nach oben |
|
|
glockman
Anmeldedatum: 21.09.2004 Beiträge: 2097 Wohnort: suermondtstr/degnerstr ... ohne AP
|
Verfasst am: 10.02.2005, 20:33 Titel: |
|
|
nach dem anennenworkshop haben wir uns von sven-ola nochmal infos zum ff-firmware geholt ... beim thema vpn kam raus, dass einem wrt ... vorrausgesetzt er hat nichts anderes zu tun ... gerademal 5 verschlüsselte vpn-tunnel bedienen kann. damit sollte eine verschlüsselte verbindung wirklich nur für entsprechend sicherheitskritische angelegenheiten verwendet werden |
|
Nach oben |
|
|
|