1. open VPN Design & Konzept

2. HighlevelOverview open VPN © vpn.imsand.info 2

3. overview VPN - Gateway VPN - Server customer enterprisenetwork © vpn.imsand.info 3

4. security Der Techniker meldet sich mittels VPN Client an dem „VPN – Server“ an. Die Autorisierung wird mittels personalisiertem Zertifikat und Passwort überprüft. VPN - Server VPN enterpriese network © vpn.imsand.info 4

5. security Über iptables wird der Zugriff auf das Kunden Netzwerk gezielt pro IP freigeschalten. Der VPN – Gateway stell eine sichere, verschlüsselte (Zertifikat) Verbindung zum VPN – Server her. VPN - Gateway customer © vpn.imsand.info 5

6. VPN - Server open VPN © vpn.imsand.info 6

7. VPN - Server Die VPN Software setzt auf dem OPEN Source Project „open VPN“ auf. CentOSoder Ubuntu werden als Betriebssystem für den VPN Server eingesetzt. Auch diese Distributionen sind OPEN Source Projects. Der VPN Server kann gleichzeitig auch als Zertifikat Authority eingesetzt werden. Auch hier wird eine OPEN Source Software (openssl) eingesetzt. © vpn.imsand.info 7

8. VPN - Server Dank einer Zertifikatssperrliste (CertificateRevocation List – CRL) kann sichergestellt werden, dass nur „aktive“ Benutzer (Kunden) auf das VPN Netz zugreifen können. Die integrierte LDAP Schnittstelle ermöglicht eine Anbindung an das Acitve Directory von Windows. So können die Mitarbeiter ganz einfach für VPN freigeschaltet / geblockt werden. © vpn.imsand.info 8

9. VPN - Gateway open VPN © vpn.imsand.info 9

10. VPN - Gateway Die VPN Software setzt auf dem OPEN Source Project „open VPN“ auf. CentOSoder Ubuntu werden als Betriebssystem für den VPN Gateway eingesetzt. Auch diese Distributionen sind OPEN Source Projects. Mit Hilfe von NAT (Network Address Translation) welches mittels „iptables“ umgesetzt wird, kann gezielt definiert werden, auf welche Geräte im Kundennetz zugegriffen werden darf. © vpn.imsand.info 10

11. VPN - Gateway Der VPN – Gateway stellt di Verbindung zum VPN – Server über einen UDP Port her. Die Autorisierung erfolgt über ein Kundenspezifisches Zertifikat. © vpn.imsand.info 11

12. S0lution Description open VPN © vpn.imsand.info 12

13. connectionmap © vpn.imsand.info 13 VPN - Gateway VPN - Server VPN Tunnel 10.1.1.0/24 Kunde A 192.168.5.0 / 24 10.1.1.0/24 <=> 192.168.5.0/24 10.1.2.0/24 <=> 192.168.5.0/24 10.1.3.0/24 <=> 192.168.10.0/24 Pro Kunde wird ein „eigenes“ Subnetz eröffnet. 10.1.2.0/24 VPN - Gateway Kunde B 192.168.5.0 / 24 VPN Tunnel http://10.1.1.10/myemma.html 10.1.3.0/24 VPN VPN - Gateway Dank dem VPN Tunnel können sämtliche IP-Geräte durch den Techniker per IP angesteuert werden. Kunde C 192.168.10.0 / 24

14. gatewayconnectflow © vpn.imsand.info 14 start VPN client no valid certifacte ? disconnect yes establishingconnection

15. clientconnectflow © vpn.imsand.info 15 start VPN client AD enterpassword LDAP request no passwordcorrect ? yes no valid certifacte ? disconnect yes establishingconnection

16. Server Site Equipment © vpn.imsand.info 16

17. simple network Der VPN – Server kann in jedes bestehen Netzwerk eingefügt werden. Auf dem DSL Router muss lediglich per NAT der richtige UDP Port auf den VPN – Server geroutet werden. 192.168.1.58 192.168.1.50 VPN - Server 192.168.1.1 ADSL Gateway 192.168.1.56 Firewall © vpn.imsand.info 17

18. hardware Die empfohlene minimale Hardware Anforderung bezieht sich auf einen handelsüblichen Server. dual core 2.3 GHz 4GB of RAM 1x LAN 10/100 MB 160 GB Memory © vpn.imsand.info 18

19. Gateway Site Equipment © vpn.imsand.info 19

20. simple network Der VPN – Server kann in jedes bestehen Netzwerk eingefügt werden. Auf dem DSL Router muss lediglich per NAT der richtige UDP Port auf den VPN – Server geroutet werden. 192.168.1.58 192.168.1.50 VPN - Gateway 192.168.1.1 ADSL Gateway 192.168.1.56 Firewall © vpn.imsand.info 20

21. hardware Die empfohlene minimale Hardware Anforderung bezieht sich auf einen handelsüblichen Server. 1.8 GHz CPU 4GB of RAM 1x LAN 10/100 MB 160 GB Memory © vpn.imsand.info 21