VPN - IP Änderung

[djnelly]

Hallo..

ich habe eine Firma mit 4 Filialen. In der Zentrale steht ein VPN -Server mit einer 2Mbit syncron Anbindung.
Die Filialen haben T-DSL 1000 und wählen sich in der Zentrale ein. In der Firma gibt es eine eigene IP Struktur:

Zentrale: IP-Bereich 222.0.20.x
Filiale 1: 222.1.20.x
Filaiel 2: 222.2.20.x
usw...

Durch diese eindeutige IP-Vergabe ist es kein Problem, eine Identifizierung über einen IPsec Tunnel zu machen.

Nun mein eigentliches Problem:

Ich habe einen Heimarbeitsplatz (SOHO). Dort habe ich einen WinXP Rechner mit installierten IPSec. Durch die Festverbindung und die damit verbundene feste IP des VPN-Servers kann ich auch einen Tunnel mit der Zentrale aufbauen.
Nun das Problem:

Durch die Einwahl des DSL Provider bekomme ich eine dynamische IP. Diese IP jedesmal ander und in meinen Firmennetzwerk nicht registriert. Da hier ja die oben genannten IP Bereiche fest sind, werde ich im festen IP Netzwerk nicht identifiziert.

Ich habe mal davon gehört, dass es eine Möglichkeit gibt, die IP durch IPsec zu ändern, wenn ich den Tunnel aufbaue. Habe aber nicht dazu gefunden.

Kann mir einer helfen?

 

[xCondoRx]

Ich glaub ich verstehe jetzt nicht ganz was du willst.. Aber wäre dynDNS nicht das richtige?

 

[djnelly]

DynDNS brauche ich nicht, denn die Zentrale hat eine feste IP mit Backboneanbindung.

wenn ich aber einen Tunnel aufbaue, dann hat mein PC die IP des Provider mit dem ich mich bei DSL einwähle. Das Firmennetzwerk hat aber einen anderen IP Bereich.

Also bekomme ich keinen Zugriff!

 

[Dennis Wronka]

Also die beste und wohl auch sicherste Möglichkeit für Roadwarrior im VPN ist, meiner bescheidenen Meinung nach, die Verwendung von X.509-Zertifikaten.
Leider kann ich Dir das nicht genau erklärer, da ich mit VPN selbst praktisch noch nicht viel gemacht hab, und mir bisher hauptsächlich alles Mögliche zu diesem Thema durchgelesen hab. Auf jeden Fall musst Du ein Zertifikat für den Server haben, und ein Client-Zertifikat. Wenn ich mich recht erinnere kannst Du das Client-Zertifikat für alle Clients nehmen, was aber den Vorteil der eindeutigen Identifizierung des Nutzers zunichte macht.
Ausserdem müssen (vielleicht auch nur sollten, da bin ich nicht sicher) die Zertifikate von einer Zertifizierungsstelle signiert sein. Eine CA (certification authority = Zertifizierungsstelle) kann man unter Linux mit OpenSSL wunderbar selbst machen, genau wie die Zertifikate selbst auch.
Ich hoffe ich konnte mit meinem Beitrag mal wieder alle Klarheiten beseitigen...

 

[TheNBP]

wenn ich aber einen Tunnel aufbaue, dann hat mein PC die IP des Provider mit dem ich mich bei DSL einwähle. Das Firmennetzwerk hat aber einen anderen IP Bereich.

Also bekomme ich keinen Zugriff!

Du benötigst eine IP aus dem Firmennetzbereich. Entweder beziehst du diese per DHCP aus dem Firmennetz oder Du vergibst manuell eine IP.
Dein Rechner hat danach (mindestens) zwei IP Adressen. Die öffentliche und die VPN Adresse.

Oder verwendest Du gar kein VPN ? ... so ganz ist mir das nicht klar geworden.

 

[djnelly]

Hallo

ich habe mich mit dieser tollen WinXP VPN Verbindung beschäftigt.
Aber auch dort bin ich noch nicht weiter gekommen. Ein Bekannter hat gesagt, das die WinXP VPN Funktion nicht ausgereift ist. Ich habe daher von ihm so nen IPsec Tool und bekommen und soll von der XP CD eine nicht standartmäßig installte IPSec Funktion installieren.

Das Zertifikat habe ich für den Client!