Für Standortvernetzungen gibt es etliche Gründe der Anforderung: z.B. soll ein Heim-Arbeitsplatz geschaffen werden, oder ein Unternehmen mit Filialen will alle Geräte in „einem Netz“ haben, oder der Boss möchte zu Hause einen Arbeitsplatz haben, mit dem er sich Datentechnisch im Büro befindet.

Als das Internet noch ein Platz des friedlichen Miteinanders war, waren simple Portfreigaben ein absolut angemessenes Mittel, um Dienste frei zu geben, die von extern genutzt werden sollen. Das ist heutzutage natürlich absolut tödlich für eine IT-Infrastruktur. Freigegeben werden sollten nur noch Ports, für Dienste, die von der Öffentlichkeit oder Unauthentifiziert genutzt werden müssen. Z.B. WWW- oder Maildienste. Selbst ein RDP-Zugang (Remote Desktop) gehört nicht in die freie Wildbahn, weitere Windows-Dienste schon gar nicht.

Filialen, Mitarbeiter oder externe Dienstleister hingegen sollen sich im lokalen Netz „frei bewegen“ können. Welche praktikablen Möglichkeiten es da gibt, wird CRNET hier mal aufzeigen. Es wird auch darauf hingewiesen, welche Risiken mit der einen oder anderen Technik verbunden sind.

Des weiteren gibt es durch die Verquickung von Internet und Telefonie oft die Problematik, das ein NAT-Router mit Telefonfunktion unabdingbar mit einem Anschluß verbunden ist. An der technischen Voraussetzung lässt sich auch durch freie Routerwahl nichts ändern.
Lässt sich ein VPN also normalerweise am Endpunkt einrichten, so ist bei NAT schon kein IPSEC oder PPTP mehr möglich, wenn es der Router nicht direkt kann.

Die Anspruchsvollste Hürde jedoch war eine vitualisierte (VMWare) Firewall (pFsense) hinter einem NAT-Router, denn bei VMWare kommt der interne Switch nicht mit dem ARP-Table einer VPN-Bridge klar, aber dazu später mehr.

Weiteres Kriterium ist immer der Kostenfaktor!

Da wir als Praxisorientierte Dienstleister, die sich zumeist in gewachsenen Strukturen bewegen, nicht mit dem Holzhammer in der einen und dem Kundenscheckbuch in der anderen Hand unterwegs sind, zeigen wir sogar High-End-Lösungen mit überschaubaren Kosten.

Im Bereich OpenVPN Server favorisieren wir pFsense, die zunächst eine Open Source Softwarelösung auf der Grundlage von FreeBSD ist. Optimal und professionell wird das natürlich auf der „eigenen“ Hardware, aber auch virtualisiert geht da einiges.

Schwieriger war die Suche nach Routern, die OpenVPN Herstellerseitig implementiert haben. Überraschender Weise bietet UBNT die richtige Hardware in verschiedensten Größenordnungen zum schmalen Taler. UBNT kannte ich vorher nur Carrier-Class WiFi-Komponenten; sprich: Richtfunkanlagen für WLAN. Die kleinste Variante ist der EdgeRouter X, den es schon deutlich unter 100 Euro gibt.