Auf welchem Netzwerkteilnehmer am besten den VPN Server aufsetzen?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hey Leute,

    ich bin momentan dabei mein Netzwerk etwas zu verbessern und neu zu strukturieren. Zur Zeit laufen 2 Server im Netzwerk. Einer als HomeServer für den Internen Verkehr, sowie zur Steuerung der Elektronik. Auf dem zweiten Server läuft ein Webserver für das www. Diesen Server habe ich über den Router in die DMZ gestellt. Auf diesem Läuft auch der DynDNS Update Client.

    Nun zu meiner Frage. Wo sollte ich den VPN Dienst einrichten, damit ich auch aus dem WWW auf den Internen Server zugreifen kann per SSH?

    Und wenn ich den DMZ Server auch per SSH nachkonfigurieren will bzw. die Möglichkeit schaffen für den Fall der Fälle, wie sollte ich dies dann am besten Bewerkstelligen?

    Ich denke es bestehen folgende Möglichkeiten:

    • VPN Dienst auf dem HomeServer laufen lassen und dann über diesen den SSH Zugriff auf DMZ Server zugreifen und auch die Firewall entsprechend konfigurieren. Da der DMZ Server ja normal nicht in der "Regulären" Netzwerkumgebung nicht angezeigt wird, da dieser ja eine ganz andere IP - Adresse hat als das restliche Netzwerk.
    • Ein zweiten VPN Server aufbauen für den DMZ Server


    Was denkt ihr, wäre die bessere Lösung oder gibt es vielleicht noch ein anderen Ansatz?


    Michael

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

  • Auf welchem Netzwerkteilnehmer am besten den VPN Server aufsetzen?? Schau mal ob du hier fündig wirst!

  • Was für einen Router hast du ?
    Ich denke du meinst nicht DMZ sondern einen Exposed Host, eine Pseudo DMZ.
    Wenn du den Server darauf konfiguriert hast steht er jetzt nackig im Netz.
    SSH, WWW, PHPMYADMIN, SMB, CUPS etc... alles was an diensten auf dem Server läuft über das www erreichbar.

    Mach folgendes :
    Erst mal den exposed host deaktivieren.
    Dann nur die Ports forwarden die du auch im Netz haben möchtest ( www, ssl z.B. )
    Wenn du per SSH an den PI möchtest kannst du auch den Port 22 forwarden.
    Allerdings solltest du dann SSH ein wenig gehärtet haben, Root verbieten, Keys nutzen, Fail2ban installieren etc...
    Zusätzlich kannst du auch den Port verbiegen, von außen z.B. Port 54321 auf Port 22 weiterleiten.
    Hilft nicht viel aber man ist schon mal aus den "Standart Scans" raus.

    Wie ein VPN eingerichtet wird, dazu habe ich mal ein Tut ( OpenVPN ) geschrieben, nutz einfach die Sufu.

    Wenn du den PI in der Pseudo DMZ stehen lassen möchtest dann musst du dich mit dem Netfilter beschäftigen.
    Nur vorsicht, die IPTABLES sind nicht ganz ohne.
    Das ist hier sehr gut beschrieben :
    http://64-bit.de/dokumentatione…BLES-HOWTO.html

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Ich habe ein Router von D-Link. Ist schon ein älteres Model. Habe diesen noch in "Reserve" liegen gehabt, als ich mir ein neuen gekauft habe, der leider vor ein paar Tagen den Geist aufgegeben hat.

    Ich hab auch noch mal in die Hilfe des Routers geguckt und es ist tatsächlich kein "richtige" DMZ.

    Und es ging ja nicht dadrum, wie ich den VPN Server aufsetze sondern WO.

    Den ich habe mich dazu entschieden den Server physikalisch zu trennen. Also dass der Webserver der das LAN versorgt auf dem einen Pi läuft. Dort wird unter anderem auch die Funktion bereit gestellt um die Funksteckdosen zu schalten und die Sensoren werden ausgelesen. Nennen wir diesen mal "HomeServer". Und er beheimatet bzw. wird dieses in Zukunft noch folgende Dienste: Samba als DomainController, ein DNS Server für mein LAN und eben den Web - Server. Ich hoffe der kleine kann das auf Dauer schultern, sonst werd ich mir gedanken machen müssen da noch mal zu Trennen. (Gibts diesbezüglich Erfahrungen? Also in der Konstelation.)

    Auf diesem Server laufen somit folgende Seiten:
    - Steuerung der Funksteckdosen
    - Kleines Wiki für mich, wo ich von verschiedenen Seiten aus dem Internet meine Informationen für mich zusammen getragen habe und diese für mich aufbereitet.


    Der Zweite Server beheimartet den Web und VSFTPD Server für das Internet. Hier sind die Präsentzen die ich für die Öffentlichkeit verfügbar machen möchte, sowie eine Webseite, die die Messwerte ausgibt, die in der Wohnung gemessen werden. Nennen wir ihn mal WAN-Server. Auf dem FTP Dienst sollen auch nicht die Super heikeln Information und Daten von mir hinterlegt sein, sondern eher sowas wie Scripte, kleine Programme oder Dateien, die ich ggf. auch mal von unterwegs holen will bei Bedarf. Dadrüber hinaus findet man hier den Clientdienst für meinen DynDNS Anbieter.


    Und nun wieder zurück zur Frage, den VPN Server auf welches Gerät packe ich dies am besten? Oder könnte der HomeServer evtl. damit auch noch Überlast bekommen, dass man den aufteilen sollte? Und vorallem wenn ich einen VPN Server im Netzwerk laufen habe, über dem ich mich von unterwegs ins Netzwerk einwählen kann, da müsste ich doch z.B. den Port für SSH am Router doch garnicht öffnen, wenn ich das mal irgendwo richtig gelesen habe, da ja in diesem Fall ein "Normale Netzwerkumgebung" aufgebaut wird oder? Und somit würd ich da das Risiko zumindest minimieren oder?

    Und zum SSH "härten", wenn ich doch den Root verbiete, könnte ich ja per SSH an sich doch garnichts groß machen. Also Dienst neustarten wenn der Down ist oder so. Also von Extern meine ich.

    Ich hoffe ich hab nun möglichst alles irgendwie "erschlagen" :-).


    Michael

    PS: Zur Zeit steht er auch noch nicht in diesem "Falschen DMZ". Ich frage grundsätzlich vorher nach, bevor ich etwas umsetze um am Ende keine Böse Überraschung zu erleben.

    Der Raspberry Pi ist schon ein schönes Spielzeug mit dem man einiges anfangen kann.

    :angel: :wallbash:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!