Verknüpfen der Netze mit einer Bridge – so benutzen alle einen Internetzugang, und nur dieser bedarf der Kontrolle.

OPENVPN BRIDGED

VPN Bridge

So ist die Filialanbindung mit VPN gesichert, es gibt auch keine Hintertür.

Diese Variante setzt sich zusammen wie folgt:

A = Zentrales Netz hinter der anspruchsvollen Firewall

1 = ebendiese Firewall, die auch den Router ins Internet stellt

B = das böse Internet

2 = Filial-Router oder Modem (vom Leitungsanbieter)

C = das LAN hinter dem einfachen Router/Modem

3 = VPN-Bridging Router (hier ist der Trick)

A = Jetzt sind alle Rechner der Filiale im Zentralen Netz

Das gelbe ist der VPN-Tunnel, der an beiden Endpunkten als transparente Bridge konfiguriert ist (OPENVPN TAP) und jeweils ins LAN switched. Der Traffic ist verschlüsselt, ein Angreifer „sieht“ nur Kauderwelsch. Alle LAN-Dienste (Discovery / Netbios over TCP / SMB) sind an der Filiale genau so verfügbar, als wären die Rechner in der Zentrale. Netztechnisch sind sie es auch, sie verwenden den glichen DHCP, „sehen“ die Drucker und Freigaben etc.

Eine Verbindung ins Internet geht immer durch die Zentrale, und somit durch die Firewall die den Datenverkehr (⋅⋅⋅⋅) ins Internet (B) überwacht oder gar filtert (IDSContentfilter / DPI etc.).

Der Vorteil kann zum Nachteil werden

Der gesamte Traffic, der in der Filiale heruntergeladen wird, muss erst durch die Zentrale und dort praktisch „hochgeladen“ werden. Das kann bei großen Filialen oder vielen Systemen im Falle von Updates durchaus den gesamten verfügbare Upstream beanspruchen.

Das lässt sich natürlich technisch so einrichten, das die Updates ausserhalb der Geschäftszeiten erledigt werden und somit den Betrieb nicht stören.


Dieses Szenario haben wir nach einem nicht aufklärbaren digitalen Einbruch in einem Unternehmen an mehreren Standorten so realisiert.

Als Filial-VPN-Bridges setzen wir Edgemax-Router ein. Diese sind die einzigen, die ausser schnellen Chips auch im Betriebssystem einen OPENVPN-Client implementiert haben, und die einzelnen Ports zu Bridge- oder Switchgruppen zusammenfassbar machen. An einer größeren Filiale gehen wir nach dem Edgemax auf einen Managebaren Switch, der von der Zentrale aus noch mit SNMP kontrollierbar ist.

Das wirklich lässige ist, das es eine „Set it and forget it“-Lösung ist. Gab es vorher immer mal wieder Probleme, wenn die eine oder andere Leitung resetted werden musste (DSL) so gab es bei dieser Lösung keinen Ausfall, wenn beide Seiten online waren. Der Tunnel ist per UDP auch noch Latenzarm, sogar Telefonie ist darüber kein Problem.

Die für den Tunnel notwendigen Zertifikate sind alle Self-Signed am Zentral-Router (pFsense) erstellt. Somit ist diese Lösung in meinen Augen die Beste, und preiswert ist sie auch, denn das Setup kostet immer Personalkosten, aber die „Zertifikate“ und „Lizenzen“, wie sie von verschiedenen Firmen angeboten werden entfallen; und die sind oft teurer als die Hardware.