Meinung und Hilfe zu FISI Abschlussprojekt VPN

[mixdeby]

Hallo zusammen!

Ich muss in den nächsten 4 Wochen meinen Projektantrag hochladen. Nach viel Grübeln habe ich mir nun ein Projekt überlegt.

Und zwar möchte ich einen Konferenzraum so einrichten, dass dort ein DSLer zur Verfügung steht über den jeder Laptop, der den WPA Schlüssel kennt ins Internet kann. Gleichzeitig soll man sich aber von dort mittels VPN ins Firmeninterne Netzwerk einwählen können. Da in diesem Konferenzraum auch externe Mitarbeiter sitzen, soll eben diese Möglichkeit nicht über Dosen in der Wand geschehen, sondern eben über VPN.

Nun bin ich dabei eine geeignete VPN Lösung zu finden. Eine Realisierung mit Windows ist glaube ich zu popelig. Da wir sowieso größtenteils mit Cisco arbeiten steht mir ein Cisco 1841 zur Verfügung. Nun geht es aber an die Konfiguration. Nach mehrstündiger Suche, habe ich aber immernoch keine brauchbare Anleitung gefunden, wie man so einen VPN Server aufsetzt. Zumal es da wohl auch ziemlich viele verschiedene Möglichkeiten bei Cisco gibt.

Ach ja: Die Authentisfizierung soll dann an einem Radius Server mit Smartcard geschehen.

Deshalb nun meine Fragen:

Findet ihr das Projekt angemessen?

Und hier die wichtigste: Wie konfiguriere ich den VPN Router?

Gruß Mixdeby!

[charmanta]

und nun das allerwichtigste:

WIE LAUTET DIE FRAGE wenn das ganze oben die Antwort sein soll ?

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.

Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust

[mixdeby]

Danke schonmal für die Antwort.

Habe mir das ganze nochmal überlegt und ich werde es etwas anders aufziehen.

Mein vorläufiger Antrag sieht erstmal so aus:

--------------------------------

1. Projektbezeichnung

Ausstattung eines Konferenzraumes mit einer Internetverbindung und optionaler Anbindung an das bestehende Betriebsnetz mittels einer VPN Site-to-Site Verbindung mit Smartcardauthentifizierung.

1.1 Kurzform der Aufgabenstellung

Es soll ein Konferenzraum mit Netztechnik ausgestattet werden. In diesem Konferenzraum werden Meetings von Projektteams abgehalten. Mitglieder dieser Projektteams sind sowohl Mitarbeiter der X-Abteilung als auch externe Mitarbeiter bzw. Freelancer, die gezielt für Projekte engagiert werden.

In diesem Raum soll ein Internetzugang für alle Teilnehmer zur Verfügung stehen. Gleichzeitig soll es aber auch möglich sein, dass die Mitarbeiter X-Abteilung Zugriff auf das eigene Betriebsnetz haben.

1.2 Ist- Analyse

Die X-Abteilung ist eine Abteilung der … GmbH

Zurzeit hat die X-Abteilung ihr eigenes Betriebsnetz, das über einen DSL-Anschluss verfügt und als DMZ hinter einer Firewall am Netzwerk der … GmbH angeschlossen ist.

Meetings von Projektteams werden zurzeit in einem Konferenzraum abgehalten, der einen Telefonanschluss hat aber über keinen Netzzugang weder ins Internet noch ins interne Netz verfügt. Ist der Zugriff auf Server, Dokumente, Drucker des Betriebsnetzes, das Internet oder das Intranet erforderlich, müssen die Mitarbeiter Ihr Büro aufsuchen und die entsprechenden Tätigkeiten dort ausführen.

2. Zielsetzung entwickeln / Soll-Konzept

2.1 Was soll am Ende des Projektes erreicht sein?

2.2 Welche Anforderungen müssen erfüllt sein?

2.3 Welche Einschränkungen müssen berücksichtigt werden?

Mit dem Projekt soll erreicht werden, dass alle Teilnehmer der Projektteams während ihrer Meetings im Konferenzraum einen Zugang zum Internet über WLAN haben.

Der Zugang zum WLAN soll gesichert sein.

Gleichzeitig sollen der Konferenzraum und das Betriebsnetz mittels einer VPN Site-to-Site Verbindung miteinander verbunden sein, damit Mitarbeiter der X-Abteilung Zugriff auf ihr Betriebsnetz haben und netzinterne Dienste nutzen können.

Dieser Zugriff auf das Betriebsnetz der X-Abteilung soll exklusiv nur Mitarbeitern gestattet sein, weshalb es einer Zugangssteuerung mit Smartcardzertifikaten mittels eines Radius-Servers bedarf.

Hierzu soll auf beiden Seiten jeweils ein VPN-Server installiert werden, der die Site-to-Site Verbindung aufbaut. Gleichzeit soll im Konferenzraum ein Radius Server stehen, der den Zugang auf den VPN-Tunnel regelt.

3. Projektphasen detailliert mit Zeitplanung in Stunden und Gesamtstunden

Vorbereitung

Analyse des IST Zustandes

Informationsbeschaffung

Auswahl und Beschaffung der Soft- und Hardware

Auswahl und Bestellung des DSL Anschlusses

Auswahl der Sicherheitsmechanismen (WLAN-Verschlüsselung, VPN Protokoll, Zertifikatstyp)

Durchführung

Einrichtung des DSL Zugangs

Einrichtung des WLAN Access Points

Installation und Konfiguration der VPN Server

Installation und Konfiguration des Radius Servers

Einrichtung einer dynamischen DNS im Betriebsnetz

Konfiguration der Clients

Nachbereitung

Funktionstests

evtl. Fehlersuche/behebung

Mitarbeiterschulung

Dokumentation

Kundendokumentation

-----------------------------

Über die Zeitplanung werde ich mir noch Gedanken machen.

Nun habe ich auch keine konkreten Angaben über bestimmte Produkte drin, sodass das eben dann Inhalt des Projekts wird, sich über Produkte zu informieren und Entscheidungen nach Kosten/Nutzen Rechnung zu treffen.

Ich glaube ich werde das ganze mit auf W2K3 aufbauen. Ist das angemessen oder heißt es dann wieder das wäre ja nur "klicken"?

Und: sollte ich die Smartcardauthentifizierung im Antrag erstmal weglassen und mich während des Projekts dafür entscheiden?

Gruß, Mixdeby!

[charmanta]

noch einfacher denken und noch weiter von DEINER Lösung entfernen:

Mit dem Projekt soll erreicht werden, dass alle Teilnehmer der Projektteams während ihrer Meetings im Konferenzraum einen Zugang zum Internet über WLAN haben. Der Zugang zum WLAN soll gesichert sein. *GUT*

Gleichzeitig sollen der Konferenzraum und das Betriebsnetz mittels einer VPN Site-to-Site Verbindung miteinander verbunden sein, damit Mitarbeiter der X-Abteilung Zugriff auf ihr Betriebsnetz haben und netzinterne Dienste nutzen können. * WAH ? SITE2SITE, VPN ? JETZT SCHON ?

"Konferenzraum soll so mit dem Intranet verbunden sein, daß NUR Mitarbeiter Zugriff darauf haben. Gäste nicht."

Dieser Zugriff auf das Betriebsnetz der X-Abteilung soll exklusiv nur Mitarbeitern gestattet sein, weshalb es einer Zugangssteuerung mit Smartcardzertifikaten mittels eines Radius-Servers bedarf.

* Und da soll ein PA denken Du hättest die Lösung nicht bereits im Kopf ?? *

Hierzu soll auf beiden Seiten jeweils ein VPN-Server installiert werden, der die Site-to-Site Verbindung aufbaut. Gleichzeit soll im Konferenzraum ein Radius Server stehen, der den Zugang auf den VPN-Tunnel regelt.

* dito *

[allesweg]

Der Zugang zum WLAN soll gesichert sein.

...

Gleichzeit soll im Konferenzraum ein Radius Server stehen, ...

Wenn ein Server physikalisch greifbar ist, sehe ich Probleme bei der Sicherheit.

[SoL_Psycho]

Wenn ein Server physikalisch greifbar ist, sehe ich Probleme bei der Sicherheit.

Gutes Thema fürs Fachgespräch

[mixdeby]

Ok schönen Dank schonmal.

Ich werde das ganze dann nochmal allgemeiner verfassen und die Entscheidungen wirklich erst im Projekt treffen.

Meint ihr denn eine Realisierung mit W2k3 wäre angemessen?

[mixdeby]

Wenn ein Server physikalisch greifbar ist, sehe ich Probleme bei der Sicherheit.

Ok, da werde ich dann natürlich einen entsprechenden Systemschrank nutzen, indem die Netztechnik verbaut ist!