Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Präsentation zum Thema: "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"—  Präsentation transkript:

1 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 gwdg@gwdg.de www.gwdg.de von Neue VPN Gateways bei der GWDG Andreas Ißleiber (aisslei@gwdg.de)aisslei@gwdg.de http://www.gwdg.de/~aisslei

2 2 VPN Gateway, Hardware, Daten VPN Gateway, Hardware, Daten 2 x CISCO ASA 5520, 1 x ASA 5510

3 3 VPN Gateway, Software Clients The Cisco VPN Client supports: Windows : XP, Vista (x86/32-bit only), and Windows 7 (x86/32-bit only); Windows x64 (64-bit) support requires Cisco AnyConnect VPN ClientCisco AnyConnect VPN Client Linux (Intel) Mac OS X 10.x & 10.x Solaris UltraSparc (32 and 64-bit) iPhone/iPod Web-VPN (SSL) ShrewSoft VPN-Client für 64-Bit Systeme AnyConnect Client (JAVA basierend)

4 4 VPN-Gateway, VPN-Session Institutsnetz (GÖNET) unverschlüsselt Internet GÖNET- Firewall (FW) verschlüsselt VPN-Gateway verschlüsselt IP-Adresse des Benutzers: 98.120.55.67 (beliebiger Provider) Zugewiesene IP-Adresse des VPN-Tunnels: 134.76.2.1 Benutzer IP-Pool: 134.76.2.0-253 verschlüsselt Benutzer 134.76.2.1 Integrierte Firewall

5 5 VPN Gateway, Realms (username@realm) RealmPool-StartPool-EndSubnetmask ad-service134.76.22.216134.76.22.223255.255.255.248 dfn134.76.2.226134.76.2.253255.255.255.0 exmed134.76.22.240134.76.22.247255.255.255.248 gwdg gwdg.de134.76.2.1134.76.2.223255.255.0.0 gwdg-stud stud.uni-goettingen.de134.76.3.1134.76.3.253255.255.0.0 ipam134.76.2.224134.76.2.225255.255.0.0 mbpc mpibpc134.76.208.1134.76.208.125255.255.0.0 oracle134.76.22.248134.76.22.251255.255.0.0 service134.76.22.232134.76.22.239255.255.0.0 sub134.76.22.208134.76.22.215255.255.0.0 telework134.76.22.224134.76.22.230255.255.0.0 goemobilenone Realms und IP-Pools:

6 6 VPN Gateway, Besonderheiten, lokale Einstellungen Local Lan Access/Split Tunneling & Firewalleinstellungen: Verschlüsselter IPSec Tunnel Benutzer IP Client: 192.168.1.1 IP-VPN Client: 134.76.2.1 Institutsnetz (GÖNET) VPN Gateway DSL-Router des Benutzers IP: 192.168.1.3 Internet/Provider Lokaler Rechner IP: 192.168.1.2 Firewalleinstellungen: Prot. 50/51 (o. IPSec PathThrough) UDP Port 500 UDP Port 10000 TCP Port 4500 TCP Port 10000 !rückwärts!

7 7 vpn2.gwdg.de (10.111.10.52) CISCO-ASA-5520 Port2Port6Port8 Failover Verbindung failover (GE 0/3) extern (GE 0/0) goemobil e (GE 0/1) gr-gwdg1 (Gi 4/14) Port10 ip route 134.76.208.0 255.255.255.128 134.76.22.1 Management (management0/0) 10.111.10.52 GÖNET (Internet) S0775-L5-01 (10.111.10.50) vpn1.gwdg.de (10.111.10.51) CISCO-ASA-5520 Port1 Port24 Port5 Management (management0/0) 10.111.10.51 Port7 Extern (GE 0/0) 134.76.22. 1 goemobil e (GE 0/1) 10.100.0.1 failover (GE 0/3) Port9 VPN Gateway, Anbindung, Redundanz Schrank L5

8 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 gwdg@gwdg.de www.gwdg.de von vpn1.gwdg.de (10.111.10.51) CISCO-ASA-5520 Port24 Management (management0/0) 10.111.10.51 VPN Gateway Struktur (Routing, MBPC) Extern (GE 0/0) 134.76.22. 1 goemobil e (GE 0/1) 10.100.0.1 gr-gwdg1, GWDG Router GÖNET (Internet) gr-mbpc1 (MBPC Router) ip route 134.76.208.0 255.255.255.128 134.76.22.1 interface Vlan208 (MBPC) description VLAN Biophysikalische Chemie ip address 134.76.214.254 255.255.255.0 secondary ip address 134.76.213.254 255.255.255.0 secondary ip address 134.76.212.254 255.255.255.0 secondary ip address 134.76.211.254 255.255.255.0 secondary ip address 134.76.210.254 255.255.255.0 secondary ip address 134.76.209.254 255.255.255.0 secondary ip address 10.76.209.254 255.255.255.0 secondary ip address 10.76.208.254 255.255.255.0 secondary ip address 10.76.210.254 255.255.255.0 secondary ip address 10.76.211.254 255.255.255.0 secondary ip address 10.76.212.254 255.255.255.0 secondary ip address 10.76.213.254 255.255.255.0 secondary ip address 10.76.214.254 255.255.255.0 secondary ip address 10.76.215.254 255.255.255.0 secondary ip address 134.76.208.254 255.255.255.128 secondary ip address 134.76.215.254 255.255.255.0 134.76.249.205 (vlan 249) 134.76.22.254 (vlan 23) ip route 10.208.0.0 255.255.0.0 134.76.223.253 134.76.223.253 (outside) 134.76.223.254 10.208.x.x (diverse Abteilungen) 10.208.66.130 (DNS Server) ip route default 134.76.223.254 ip route default 134.76.22.254 PC mit VPN Client (MBPC) IP Pool: 134.76.208.1 - 125 DNS: 10.208.66.130 10.208.66.131 134.76.22.1 (vpn.gwdg.de) MBPC Firewall Internet Local LAN Access für: 192.168.0.0/255.255.0.0 172.16.0.0/255..240.0.0

9 AnyConnect Client: Java basierter Client Kann den CISCO VPN Client ersetzen SSL (nicht IPSec) Geringerer Durchsatz Sehr einfache Installation (nahezu alle OS …auch 64Bit) 9

10 10 WebVPN (SSL): - Gruppenabhängiges Layout … & Rechtevergabe - Vordefinition von URLs - Zugang zu digital libraries - Portalfunktionalität - Zugang via RDP, VNC, SSH, Telnet, NFS, CIFS

11 WebVPN (SSL): Laufwerksverbindung (CIFS) 11

12 VPN Gateway, Einwahl, Statistiken http://nm4.gwdg.de Spitzenwert bislang: 276 User via IPSec (parallel) 47 User via SSL VPN (parallel) Anteil Studierende > 75 % Größte Nutzergruppe: GoeMobile 12

13 Details zu IPSec und weiteren Verschlüsselungsverfahren http://www.gwdg.de/~aisslei Vorträge Security Workshop GWDG VPN 2003Security Workshop GWDG VPN 2003 Weitere Planungen: Inbetriebnahme einer weiteren ASA 5510 als WebVPN (SSL) Konfiguration einer passiven Redundanz mit dem zweiten VPN Gateway (ASA 5520) 13

14 14 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?