Obwohl wir das Thema noch garnicht auf dem Schirm haben, zumindest nicht was die Verbindung in unser Netz angeht, gehört das natürlich in diese Liste.
Vielleicht hat PA Zugangsdaten ins Büro und darf Heimarbeiten.
Dann braucht es natürlich eine Regel, damit sein VPN-client sich nach „draussen“ verbinden darf.
Die entsprechenden Daten dazu hat er schon.
VPN = Virtual Private Network
verbindet einen Client mit einem Server über das Internet sicher und verschlüsselt. Steht so eine Verbindung, ist der Client quasi im entfernten Netzwerk eingebunden und kann dort, je nach Konfiguration, mehr oder weniger alles machen wie wenn er physisch vor Ort wäre.
Dabei gibt es verschiedenste Arten des VPN, eben openVPN oder Ciscos IPsec. Wireguard ist grade schwer am kommen, Microsofts Lösung verschwindet grade wieder von der Bildfläche, weil mal wieder alles andere als sicher.
Wo sind die Unterschiede? Im Detail weiss ich das auch nicht, Ciscos IPsec ist proprietär, heisst, es muss eine Lizenz gekauft werden um es nutzen zu dürfen. Das ist z.B. bei der beliebten Fritzbox der Fall, AVM hat eine Lizenz IPsec anbieten zu dürfen. Wer das schonmal an einer Fritzbox eingerichtet hat, – das ist keine große Sache, einen Großteil der Arbeit hat uns Cisco abgenommen.
OpenVPN ist die freie Lösung (OpenSource) und steht jedem zum Gebrauch frei, die Einrichtung ist aber etwas anspruchsvoller. Nun gibt es auch Leute, ( und die würde ich, nach Edward Snowden, mal nicht als paranoid hinstellen ) die behaupten, openVPN wäre die einzig wirklich sichere Lösung, weil Cisco ist ein amerikanisches Unternehmen und ob nach dem Patriot Act nicht ein Generalschlüssel zu IPsec bei der NSA liegt, könne man nicht ausschliessen.
Wie dem auch sei, WireGuard hat sich auf die Fahnen geschrieben, das Thema VPN einfach – und sicher zu machen. Ich hab das noch nicht ausprobiert.
Denn wer einmal openVPN verstanden hat, den interessiert das nicht mehr wirklich, denn openVPN läuft einfach. und läuft und läuft…
Hier sind aber nur die verwendeten Ports wichtig, wenn PA’s Büro entschieden hat z.B. mit IPsec zu arbeiten, dann kann PA da eh nichts machen.
IPsec – UDP 500,4500 TCP 10000
openVPN – kann man erstmal nicht sagen, UDP 1196 ist Standard, aber das muss nichts heissen. Im Log schauen oder den Büroadmin fragen.
WireGuard – finde ich nichts, im Log schauen oder den Büroadmin fragen.
# vpn ports to büro for IPsec only for PA's Laptop
#
ACCEPT loc:10.0.0.8 net tcp 10000
ACCEPT loc:10.0.0.8 net udp 500,4500
# vpn ports to büro for openVPN only for PA's Laptop
#
ACCEPT loc:10.0.0.8 net udp 1196