Privat VPN server

Hej.

  Tag et kig på http://openvpn.net/. Det er gratis til små installationer og funger glimrende. På sigt kan du jo overveje at sætte f.eks. en Cisco ASA5505'er foran dit setup og få IPsec-VPN. Den er billig brugt og giver dig samtidig en glimrende firewall.

De bedste hilsner

Openvpn som #1 skriver eller den indbyggede PPTP. Første er at foretrække da det ikke er lige så udsat for bruteforce som almindelig PPTP.
Openvpn kræver klient mens PPTP er native i de fleste OS.

En ASA5005 er en virkelig lækker firewall/vpn, men den er relativt avanceret hvis man er novice og sættes ikke op med bind øjnene.
Har man mod på det alligevel, så får du en virkelig lækker løsning. Vær opmærksom på at de kommer med forskellige licenser som kan begrænse antallet af enheder der har adgang til WAN og VPN.

#2 Selv med en [base license] får du, så vidt jeg husker, 10 indgående tunneler - det burde alt andet lige være rigeligt til sådan et setup. Skal det være større, er prisen nok ikke længere rellevant. Jeg kører selv pt. på en ASA5505 m. SecPlus så jeg kan komme ind på LAN ude fra DMZ. Der findes faktisk nogle rigtig fine beskrivelser derude - sagt af en gammel Chekpoint-dicipel. ;-)

De bedste hilsner

#3 Det er mere den anden vej med base.
Der har du nogle kedelige begrænsninger fra LAN mod WAN. Dette var den primære grund til at jeg solgte min 5505 i sin tid. Base tillod  max 10 samtidige klienter med adgang til WAN.

Men ja, secplus er klart at foretrække, men der skal man være heldig  hvis den skal erhverves brugt for under 3k.

Personligt vælger jeg nok en mikrotik næste gang: http://routerboard.com/RB750GL
Funktionsmæssigt er de Cisco overlegen til prisen i den størrelse/kategori (ovenstående koster omkring 500kr).

#4 Jeg tror du misforstod din licens. På base kan den acceptere 10 samtidige INDGÅENDE tunneler - udgående kan du stoppe alle dem igennem, din linie (eller interfaces) kan bære. Det mest iøjnefaldende, man får med i SecPlus er adgang fra DMZ til LAN; der kommer så også noget lidt mere avanceret routing og mulighed for dual-ISP.
Den lille router du linker til synes jeg da ikke ser ud til at have hverken firewall-funk. eller VPN-koncentrator?

#5 Nej, den er skam god nok mht. licensen. Testet i live miljø  (har arbejdet med Cisco et par år). Se evt. også: http://www.tech21century.com/cisco-asa-5505-user-license-explained/
En anden ting du også får med som er secplus værd, er klart trunking i min verden.

Ang. mikrotik så kører de Routeros. Den jeg linker til kommer med en level4 licens:
http://wiki.mikrotik.com/wiki/Manual:License
Har leget lidt med dem før, og de er bestemt ikke kedelige mht. funktioner: http://wiki.mikrotik.com/wiki/Manual:RouterOS_features
Er godt nok overkill, men foruden firewall og VPN, så får du f.eks. også mulighed for BGP og MPLS.

Men alt i alt får du LANGT flere muligheder end Cisco. Er tidl. Ciscomand, så jeg ville nok aldrig vælge andet til Enterprise, men til mindre virksomheder eller det krævende hjem kunne jeg sagtens se en Mikrotik frem for en Cisco.

#6 Jaja, det siger vi så - mit eget setup opfører sig så anderledes. Også sagt af en Cisco/Checkpoint-mand, hvis der skal "pisses territorie". ;-)
Anyway, dåsen ser da interessant ud.

#7 Du har også secplus ;) Er et noget andet produkt end base.
Men der findes flere niveauer af base (10 eller 50 samtidige f.eks).

#8 Base 10/50 er stadig indgående. Der er oven i købet en unlimited.
Men okay, af ren nysgerrighed - hvori består den store forskel? Hardwaren er den samme, softwaren er den samme; der ER kun licensen til forskel.
En SecPlus-licenseret boks starter sin tilværelse som alle de andre med en Base-licens. At du så kan tilkøbe en hardware-accellerator, hvis du skal have RIGTIG mange, svært krypterede tunneler kørende samtidig er en anden sag.
Noget helt andet er så, hvornår i alverden vil man, i den virkelige verden, have mere end 10 udgående tunneler?!? Mange brugere mod samme site giver i reglen istedet en site-2-site VPN og ER der brug for det, er det nok slet ikke en ASA5505, der er interessant.

Just my 2C.

De bedste hilsner

#9 Blot for lige at få afklaret noget. Der findes restriktioner på både indgående og udgående forbindelser. Mærkeligt, men sandt. Og i dagens IT-verden er 10 udgående ikke voldsomt meget (et par maskiner, en NAS, et par mobiler og en tablet eller 2, så er det hurtigt brugt op).

Det er kun licensen. Men Cisco er i princippet ikke så meget en hardwareproducent som de er software. Det er primært softwaren du betaler for (naturligvis er en Nexus 7k ikke billig at fremstille, men det er softwaren og dens muligheder der giver Cisco deres position).

Det eneste kunne være hvis du har et større netværk af små afdelinger, men ingen central styring. Så kan det være nødvendigt med maange udgående. Men umiddelbart den eneste grund jeg lige kan komme på.

#10 Det lyder stadig som om du snakker indgående sessioner. Jeg kan intet finde, der underbygger restriktioner på udgående. Du kan manuelt opsætte en parameter, der begrænser antallet.
At de ikke så meget er en hardwareproducent, vil de nok være kede af at høre, når man kigger på deres produktportefølje... ;-)
Dit eksempel virker lidt søgt - et større netværk vil næppe være uden central management.
Anyway, jeg lader den ligge her, da spørger efter bedste overbevisning har fået et par vink, der kan bringe ham videre.

#11 Kig her så (samme link som ovenstående): http://www.tech21century.com/cisco-asa-5505-user-license-explained/
Og lige for at henvise til Cisco's eget doc hvor det ligeledes står beskrevet:
http://www.cisco.com/en/US/docs/security/asdm/6_1/user/guide/specs.pdf

Jo de leverer hardware, men deres styrke er ikke i deres "æsker". Alle kan lave en æske (se evt. på deres servere og sammenlign dem med IBM/Lenovo. Designet er bemærkelsesværdigt ens).
Deres styrke er klart i deres software/firmware/OS og certificeringer.

Jeg har set nogle "spændende" setups igennem min tid hos diverse konsulent- og hostinghuse, så sådan et setup ville ikke undre mig var aktivt mere end ét sted. Tag ud på et par mindre offentlige sites og du vil se noget der kan minde om ovensående eksempel.

Se om du kan finde en linksys WRT54GL (L er vigtigt).Evt. på den lokale containerplads.
Flash den med en open source firmware fra DD-WRT.COM og du har en perfekt vpn router til hjemme brug.

Den lidt dyre udgave er at købe en linksys e3200 (750,-) og giv den en ny firmware fra DD_WRT.com og du har en router der er samme funktionalitet som en router til 7.500,- f.eks. hotspot server.
Den bruger jeg selv og den virker upåklageligt, og den er ekstrem nem at sætte op. til forskel fra de vpn-routerer du kan købe.

Well, et par issues:
For det første er det forbudt at "klunse".
For det andet ville han jo netop gerne undgå en dedikeret dåse til det (Win7 / Server2008).

Så mon ikke OpenVPN stadig er bedste bud i forhold til, hvad der blev spurgt om?

;-)

#14
Well, jeg burde nok have læst og svarret på dit spørgsmål.
Jo, OpenVPN er uden tvivl den løsning jeg ville vælge.

Så er det bare at beslutte sig til hvilken hardware-platform der skal køre VPN-serveren.
Personligt bryder jeg mig bare ikke om at have en sikkerhedskritisk server kørende på min arbejds-pc, hvorfor jeg foretrækker at have NAT og VPN-server osv. liggende før mit rigtige lokale net, dvs. i routeren.
Og så er der også energiforbruget en roter trækker ikke mange watt, sammenlignet med en pc..
Men det er jo en helt anden lærings process at sætte det til at løbe på en pc-linux, og klart mere udfordrene.
Held og lykke med projektet, og smid en besked når du får det til at virke, så vi andre også kan følge med i løsningen :-)