Beispiel-Szenarien von VPN-Tunneln auf PPTP- und OpenVPN-Basis (Produktinfo)

Aus Portunity Wiki

Wechseln zu: Navigation, Suche

Dieser Artikel soll beispielhafte Szenarien und Anwendungsmöglichkeiten zeigen, wie das Tunnel-Produkt von Portunity eingesetzt werden kann. Die Beispiele erheben dabei keinen Anspruch auf Vollständigkeit und zeigen lediglich einige machbare Konfigurationen und Einsatzmöglichkeiten auf.

Inhaltsverzeichnis

Betrieb eines einzelnen Servers mit IPv4-Adresse oder IPv6-Adressen

Im folgenden zeigen wir exemplarisch wie ein einzelner Inhouse-Server durch die Portunity VPN-Einwahl-Produkte mit einer festen IPv4-Adresse versorgt werden kann.

Ausgangsszenario

  • Ein normaler Internet-Zugang mit dynamischer IP-Zuweisung (IPv4)

Probleme die gelöst werden können:

Man möchte einen einzelnen Server unter einer festen IP-Adresse im Internet öffentlich erreichbar machen

  • Man möchte IPv6-Adressen nutzen, obwohl der eigene Einwahl-Provider solche noch nicht anbietet

Anwendungsszenarien:

  • Betrieb eines inhouse Servers mit fester IP-Adresse (IPv4 und IPv6), z.B.
    • Webserver (Apache, IIS, ...),
    • Datenabgleich und Datenaustausch (FTP-Server, Freigabe von Datenservern oder Bereichen via Samba / Windows-Freigaben)
    • Inhouse eMail-Server (POP3, IMAP, Postfix, Microsoft Exchange, Lotus, Notes ...)
    • Betrieb von Inhouse Groupware-Servern (Exchange, Zimbra, Open-Xchange, Microsoft SharePoint, Novell Groupwise, ...)
    • Betrieb von Inhouse Instant-Messeger-Servern (XMPP, Openfire)
    • Terminal-Dienste und Remote-Controll
    • Video-Streaming-Applikationen / -Geräte und entsprechender Überwachungs- und Steuer-Software
    • Betrieb von Telefonie- und VoIP-Anlagen (Asterisk, Astimax, Swyx, ...)

Lösung

Image:Szenario-vpn-tunnel-server.png

Erläuterungen zur Grafik:

  1. DSL-Modem
  2. Normaler Breitband-Router: Der Breitband-Router wählt sich ganz normal via DSL, Kabel oder sonstwie in das Internet ein. Der Router ist auf der einen Seite natürlich unter der vom Provider zugewiesenen (i.d.R. dynamischen) IPv4-Adresse erreichbar. Und auf der anderen Seite unter einer internen privaten IP-Adresse verfügbar (wie z.B. 192.168.1.1 o.ä.). Bei dem Router kann es sich um einfache und handelsübliche Router handeln (z.B. Fritzbox, ....). Der Anschluss kann über beliebige Provider erfolgen und es ist dabei auch egal, ob es sich um einen DSL-Anschluss / -Zugang, vDSL-Anschluss, Kabelanschluss, UMTS-Anschluss o.ä. handelt (solange der jeweilige Provider Tunnel-Pakete nicht grundsätzlich und böswilligerweise filtert oder blockiert).
  3. LAN-Netzwerk (grüner Bereich): Auch die Systeme wie Workstations, Server (die nicht im Internet öffentlich erreichbar sein sollen) und andere Geräte können ganz normal an den DSL-Router (2) angeschlossen werden und erhalten interne IP-Adressen (wie z.B. 192.168.1.10, 192.168.1.11 usw.).
  4. Server: Auf dem erreichbar zu machenden Server wird entsprechende Tunnel-Treiber-Software installiert - entweder die PPTP- oder die OpenVPN-Client-Software. Die Software baut über die Internetverbindung bei dem Tunnel-Einwahl-Server von Portunity die Tunnel-Verbindung auf und erhält dabei die statische IP-Adresse zugewiesen - unter welcher der Server und damit auch die bereitgestellten Dienste wie Webserver, Mailserver usw. dann erreichbar ist / sind. An Betriebssystemen werden im Prinzip alle gängigen Systeme wie Windows, Linux, Mac u.a. sowohl mit PPTP als auch von OpenVPN unterstützt. Unterschiede gibt es dabei vor allem jedoch in der Unterstützung von IPv6 - was jedoch dann meist eher in dem Betriebssystem denn im Tunnel oder den Client-Softwaren begründet liegt.
  5. VPN-Einwahlserver von Portunity: Das andere Tunnelende befindet sich bei Portunity, von wo dann die IPv4-Adresse und das bereitgestellte IPv6-Netze in den Tunnel geroutet werden.

So können Server mit einer öffentlich erreichbaren IPv4-Adresse sowie IPv6-Adressen erreichbar gemacht werden. Das sonstige LAN-Netz mit Workstations usw. ist dabei dann von dem öffentlich erreichbaren Internet auch gleich sauber getrennt.

Was wird benötigt

Allgemein:

  • Internet-Anschluss / -Zugang über einen beliebigen Provider
    • Art des Anschlusses / Zugangs ist egal: DSL, Kabelanschluss, UMTS, ...
    • dynamische IP-Zuweisung reicht aus
  • Modem und Einwahl-Router welcher die Einwahl ins Internet erledigt
  • Server welcher eine öffentliche feste IP-Adresse (IPv4 und / oder IPv6-Adressen) bekommen soll
    • für das Server-Betriebssystem muss es einen passenden PPTP- oder OpenVPN-Client geben (i.d.R. verfügbar für Windows, Linux, Mac u.a.).

Von Portunity:

  • Tarif "VPN-Tunnel Flat Budget" oder "-Flat Budget Plus" oder "- Network Complete" - siehe Produktseite VPN-Tunnel (PPTP- und OpenVPN)
    • eine feste Basis-IPv4- und IPv6-Adresse ist im Tarif inklusive (die wird direkt dem Server zugewiesen)
    • Ein IPv6-Netz in der Größe /64 oder /56 ist bei beiden Tarifen ebenfalls bereits standardmässig dabei
    • Hinweis: der kostenfreie Tarife "IPv6 Launcher" ist nur geeignet, wenn es um IPv6-Adressen geht. Eine feste IPv4-Adresse ist in diesem Tarif nicht enthalten.

Tipps und Hinweise:

  • Durch den Tunnel ist der Server dann über eine öffentlich erreichbare IP-Adresse dann voll erreichbar. Sinnvollerweise sollte auf dem Server eine Firewall laufen um unerwünschte Datenverbindungen zu filtern.

Betrieb mehrerer Server oder Geräte mit IPv4- und IPv6-Adressen

Im folgenden zeigen wir exemplarisch wie mehrere Inhouse-Server oder -Geräte wie VoIP-Telefone, Webcams, Terminalserver und viele andere durch die Portunity VPN-Einwahl-Produkte mit festen IPv4-Adressen versorgt werden können.

Ausgangsszenario

  • Ein normaler Internet-Zugang mit dynamischer IP-Zuweisung (IPv4)

Probleme die gelöst werden können:

  • Man möchte mehrere Server oder Geräte unter festen IP-Adressen im Internet öffentlich erreichbar machen
  • Man möchte IPv6-Adressen nutzen, obwohl der eigene Einwahl-Provider solche noch nicht anbietet

Anwendungsszenarien:

  • Betrieb mehrerer inhouse Server mit festen IP-Adressen (IPv4 und IPv6), z.B.
    • Webserver (Apache, IIS, ...),
    • Datenabgleich und Datenaustausch (FTP-Server, Freigabe von Datenservern oder Bereichen via Samba / Windows-Freigaben)
    • Inhouse eMail-Server (POP3, IMAP, Postfix, Microsoft Exchange, Lotus, Notes ...)
    • Betrieb von Inhouse Groupware-Servern (Exchange, Zimbra, Open-Xchange, Microsoft SharePoint, Novell Groupwise, ...)
    • Betrieb von Inhouse Instant-Messeger-Servern (XMPP, Openfire)
    • Terminal-Dienste und Remote-Controll
  • Betrieb von mehreren nach aussen erreichbaren Webcams (z.B. Mobotix, Axis, ...), Video-Streaming-Applikationen / -Geräte und entsprechender Überwachungs- und Steuer-Software
  • Betrieb von Telefonie- und VoIP-Anlagen (Asterisk, Astimax, Swyx, ...) oder einzelnen VoIP-Telefonen (z.B. SNOM, Grandstream, Siemens Gigaset, ...) welche eine oder mehrere feste IP-Adressen benötigen
  • Ansprechen von Embedded Systemen (z.B. IP-fähgie Wetterstation, Gebäude- und Haus-Steuerungen usw.)



Lösung:

Image:Szenario-vpn-tunnel-network.png


Erläuterungen zur Grafik:

  1. DSL-Modem
  2. Normaler Breitband-Router: Der Breitband-Router wählt sich ganz normal via DSL, Kabel oder sonstwie in das Internet ein. Der Router ist auf der einen Seite natürlich unter der vom Provider zugewiesenen (i.d.R. dynamischen) IPv4-Adresse erreichbar. Und auf der anderen Seite unter einer internen privaten IP-Adresse verfügbar (wie z.B. 192.168.1.1 o.ä.). Bei dem Router kann es sich um einfache und handelsübliche Router handeln (z.B. Fritzbox, ....). Der Anschluss kann über beliebige Provider erfolgen und es ist dabei auch egal, ob es sich um einen DSL-Anschluss / -Zugang, vDSL-Anschluss, Kabelanschluss, UMTS-Anschluss o.ä. handelt (solange der jeweilige Provider Tunnel-Pakete nicht grundsätzlich und böswilligerweise filtert oder blockiert).
  3. LAN-Netzwerk (grüner Bereich): Auch die Systeme wie Workstations, Server (die nicht im Internet öffentlich erreichbar sein sollen) und andere Geräte können ganz normal an den DSL-Router (2) angeschlossen werden und erhalten interne IP-Adressen (wie z.B. 192.168.1.10, 192.168.1.11 usw.).
  4. VPN-Router mit öffentlich erreichbaren Servern und Geräten (gelber Bereich): Ein zweiter Router übernimmt die Einwahl am Portunity-Tunnel-Einwahlserver und das Routing des von Portunity zugewiesenen öffentlichen IPv4-Netzes (z.B. 16 IP-Adressen als /28-Netzbereich) sowie des IPv6-Netzes (z.B. /64 oder /56). Als Tunnelprotokoll kommt entweder das PPTP- oder das OpenVPN-Protokoll zum Einsatz (je nachdem was der Router unterstützt). Der VPN-Router hat auf der einen Seite ebenfalls eine interne IP-Adresse (im Beispiel 192.168.1.2) mit welcher er mit dem DSL-Router kommunizieren kann (und darüber das Internet und den Einwahlserver von Portunity erreicht). Auf der anderen Seite erhält der VPN-Router durch den etablierte Tunnel eine einzelne IPv4-Adresse (die sogenannte Basis-IPv4-Adresse) von Portunity zugewiesen. IPv4- und IPv6-Netze werden von Portunity zu der Basis-IP geroutet und können von dem VPN-Router dann in einem eigenen Netzwerk-Segment für den Betrieb von Servern oder beliebigen Geräten (VoIP-Telefonen, Webcams u.a.) verwendet werden. 
  5. VPN-Einwahlserver von Portunity: Das andere Tunnelende befindet sich bei Portunity, von wo dann die IPv4- und IPv6-Adress-Netze in den Tunnel geroutet werden.

So können Server und sonstige Geräte mit öffentlich erreichbaren IPv4 und IPv6-Adressen erreichbar gemacht werden. Das sonstige LAN-Netz mit Workstations usw. ist dabei dann von dem öffentlich erreichbaren Internet auch gleich sauber getrennt.

Was wird benötigt

Allgemein:

  • Internet-Anschluss / -Zugang über einen beliebigen Provider
    • Art des Anschlusses / Zugangs ist egal: DSL, Kabelanschluss, UMTS, ...
    • dynamische IP-Zuweisung reicht aus
  • Modem und Einwahl-Router welcher die Einwahl ins Internet erledigt
  • Server und / oder Geräte welche eine oder mehrere öffentliche feste IP-Adressen (IPv4 und / oder IPv6) bekommen sollen
    • diese müssen keine speziellen Merkmale aufweisen
  • VPN-Einwahl-Router: Hier wird ein Lan-Lan-Router benötigt welcher:
    • Tunnel entweder via dem PPTP- oder via dem OpenVPN-Protokoll aufbauen kann
    • ein IP-Netz routen kann
    • idealerweise auch IPv6 bereits unterstützt (dies können bislang allerdings die wenigsten)

Von Portunity:

  • Tarif"VPN-Tunnel Flat Budget Plus" oder "- Network Complete" - siehe Produktseite VPN-Tunnel (PPTP- und OpenVPN)
    • eine feste Basis-IPv4- und IPv6-Adresse ist im Tarif inklusive (die erhält dann der VPN-Router)
    • Ein IPv6-Netz in der Größe /56 ist bei beiden Tarifen ebenfalls bereits standardmässig dabei
    • Hinweis: die kleineren Tarife "IPv6 Launcher" und "Flat-Budget" sind nur geeignet, wenn es um IPv6-Adressen geht. Das routen eines IPv4-Netzes ist bei diesen Tarifen nicht enthalten.
  • Ein IP-Netz in der benötigten Größe (z.B. 8 IP-Adressen = /29, 16 IP-Adressen = 28 usw.)
    • Hierzu ist ein RIPE-Antrag auszufüllen und der benötigte Bedarf zu dokumentieren / nachzuweisen


Tipps und Hinweise:

  • Die Anzahl an Servern und Geräten welche an dem Tunnel betrieben werden können, ist theoretisch nahezu unbegrenzt. In der Praxis hängt natürlich viel davon ab, welche Bandbreiten benötigt werden, welche Geschwindigkeit der Internet-Anschluss hergibt und, sofern IPv4-Adressen zum Einsatz kommen, auch die von Portunity zugewiesene Netzgröße (Anzahl öffentlicher IPv4-Adressen).
  • Die am VPN-Router angeschlossenen Server und Geräte müssen selber keine besonderen Eigenschaften ausweisen, wie z.B. eine spezielle Tunnel-Unterstützung (PPTP, OpenVPN o.ä. Unterstützung).
  • Entweder auf dem VPN-Router (4) oder auf jedem öffentlich erreichbaren Gerät sollte dann sinnvollerweise eine Firewall laufen. Die Geräte sind ja via öffentlichen IP-Adress-Space erreichbar und unerwünschter Traffic sollte sinnvollerweise gefiltert werden.
  • Natürlich kann es im Einzelfall Sinn machen, einzelne Rechner, Server oder sonstige Geräte - welche sich normalerweise im LAN befinden - auch im öffentlichen Netz-Segment zugänglich zu machen. Dies kann via zweiter Netzwerk-Karte oder durch das Binden zusätzlicher IP-Adressen geschehen.


Persönliche Werkzeuge