[CentOS-de] VPN

Mi Okt 6 19:32:53 EDT 2010

Am 06.10.2010 19:32 schrieb Wolfgang:
> Hallo Tilmann,

Ein n reicht, danke. :-)

> "OpenVPN ist nett,..."
> 
> Welche Repository muss ich einbinden um ein echtes VPN zu erhalten?

OpenVPN *ist* ein echtes VPN. "yum install openvpn" sollte also reichen.
Na ja, und dann natürlich noch die Konfiguration, Zertifikaterstellung
usw.

"Echtes VPN" heißt für mich einfach, dass tatsächlich IP-Traffic über
die Verbindungsstrecke geroutet wird, zur Unterscheidung von Lösungen
wie ssh-Tunnel oder SSL-verschlüsselten Anwendungsverbindungen.

> Hast Du eine Howto-URL für mich, die deiner Vorstellung nach einer
> echten VPN gerecht wird?

Damit kann ich leider nicht dienen. Ich nehme immer die Original-Doku,
aber zu meinem Job gehört es halt auch, mich mit den Details auszukennen
und nicht nur Howtos abzuarbeiten. (Was letzteres nicht abwerten soll;
wer einfach nur eine schnelle Lösung braucht, für den ist ein Howto
absolut ok.)

> "wichtig wie das VPN ist also die Absicherung der beiden Systeme"
> Wie sicher schätzt Du CentOS 5.5 und Ubuntu 10.04 nach einer
> Standartinstallation mit allen Updates ein?

Was verstehst Du unter einer "Standardinstallation"? Wenn man bei
CentOS nichts installiert, was man nicht braucht, und das, was man
tatsächlich braucht, beherrscht, sicher konfiguriert und ständig
überwacht, ist es schon ziemlich sicher. (Updates sind natürlich
Pflicht.) Spannend wird es, wenn man etwas braucht (oder zu brauchen
glaubt), was man *nicht* beherrscht - z.B. Samba oder Apache, die
wirklich zu beherrschen schon eine gewisse Herausforderung darstellt. ;-)

Ubuntu kenne ich nicht näher, dürfte sich da aber nicht viel nehmen.

> Hintergrund warum ich keine Kommandozeilenwartung ausführen soll:
> Der Bekannte ist schon etwas älter und möchte gern sehen, wie einiges
> gemacht werden kann.

Ich habe einige ältere Bekannte, die wesentlich glücklicher sind, wenn
sie eine Kommandozeilenanweisung bekommen als wenn sie GUI-Bedienelemente
auf dem Bildschirm suchen und wiedererkennen sollen. ("Schloss-Symbol?
Ach du meinst diese Handtasche!?") Von Hand-Auge-Koordinationsproblemen
bei der Mausbedienung mal ganz abgesehen. (Doppelklicks oder Drag and Drop
können für Ältere eine echte Herausforderung darstellen.)

Aber das nur am Rande. Mein Credo ist eigentlich, jedem die Bedienform
zur Verfügung zu stellen, mit der er am besten zurechtkommt. Wenn Dein
Bekannter die grafische Oberfläche vorzieht, solltest Du nicht
versuchen, ihn zur Kommandozeile zu bekehren. :-)

> Aus diesen Grund dachte ich an den VNC-Server, der bereits vorhanden
> ist.

Klar, für GUI-Remoteunterstützung bietet sich das an. Aber wenn das
das einzige ist, was über das Internet gemacht werden soll, halte ich
OpenVPN (oder ein anderes "echtes VPN") für unnötig aufwendig.
ssh-Portforwarding funktioniert für einzelne TCP-basierte Dienste
genauso gut und ist wesentlich einfacher aufzusetzen.

HTH
Tilman