Discussion:
VPN für Mac-Netzwerk
(zu alt für eine Antwort)
Ralph Aichinger
2015-03-20 06:44:09 UTC
Permalink
Ein Freund mit einem größeren Mac-Netzwerk hat mich gefragt, ob ich
ihm helfe ein VPN für einige Benutzer zu realisieren.

Mich interessiert vor allem die Benutzerperspektive: Was
funktioniert nach eurer Meinung aus Benutzersicht am besten?

MacOS hat ja den Client für einige IPSec-Varianten eingebaut,
AFAIK, bei OpenVPN-basierten Varianten müßte man einen Client
(z.B. Tunnelblick) nachinstallieren. Wäre das für euch ein
Hindernis?

Übers VPN soll vor allem AFP laufen, soweit ich das bis
jetzt eruiert habe. Einzelne Clients hinter einer DSL-Leitung,
einzelne hinter mobilem Internet.

Und: Gibt es irgendwelche sinnvollen Boxen die das fix und
fertig "Mac-freundlich" realisieren, oder ist irgend eine
Linux-Lösung mit einer Open-Source-Implementierung besser?

/ralph
Başar Alabay
2015-03-20 06:59:56 UTC
Permalink
Post by Ralph Aichinger
Mich interessiert vor allem die Benutzerperspektive: Was
funktioniert nach eurer Meinung aus Benutzersicht am besten?
MacOS hat ja den Client für einige IPSec-Varianten eingebaut,
AFAIK, bei OpenVPN-basierten Varianten müßte man einen Client
(z.B. Tunnelblick) nachinstallieren. Wäre das für euch ein
Hindernis?
Übers VPN soll vor allem AFP laufen, soweit ich das bis
jetzt eruiert habe. Einzelne Clients hinter einer DSL-Leitung,
einzelne hinter mobilem Internet.
Und: Gibt es irgendwelche sinnvollen Boxen die das fix und
fertig "Mac-freundlich" realisieren, oder ist irgend eine
Linux-Lösung mit einer Open-Source-Implementierung besser?
Wenn ich das so lese, fällt mir mein damaliges Problem ein, daß man via
VPN nicht einfach so die *.local-Adressen von remote ansprechen kann.
Also entweder arbeitet man mit bekannten IP-Adressen oder man richtet
sich die Geräte über den Router so ein, daß er sie per DHCP im Netz
angesprochen werden (ächz, blöd geschrieben, besser: Man spricht sie
über die Router-gegebene TLD an … blah.fritz.box z. B.).

Bei VPN spielen, denke ich, die Router noch eine große Rolle. Man
spricht ja in der Regel den Router als erstes an. Sonst müßte ein Server
von draußen erreichbar sein.

B. Alabay
--
http://www.thetrial.de/
ケディエ・ばく・ハヤテ・あんら
Thomas Kaiser
2015-03-20 08:14:29 UTC
Permalink
Post by Ralph Aichinger
Übers VPN soll vor allem AFP laufen, soweit ich das bis
jetzt eruiert habe. Einzelne Clients hinter einer DSL-Leitung,
einzelne hinter mobilem Internet.
Dann viel Spaß, grad bzgl. letzterem Szenarium. Das Problem bei AFP ist
weit weniger die Bandbreite und viel mehr "Roundtrip Time" bzw. Latenzen
und dass es weit und breit keine "WAN-Optimizer" gibt, die mit AFP
funktionieren.

Ich hab einigen Kunden für genau solche Szenarien Sync-Lösungen
implementiert (intelligente bidirektionaler Datensync, d.h. auf beiden
Seiten AFP-Server, und ein Mechanismus dazwischen, der auch die Daten
synchron hält und dabei auch mit so Sachen umgehen kann wie rename und
move -- alle klassischen Sync-Lösungen übertragen einen 100 GB großes
Verzeichnis neu, wenn dieses nur umbenannt oder verschoben wird). Und
das weil die selbst mit 100 MBit/sek WAN-Strecken und Riverbed-WAN-
"Optimierern" auf beiden Seiten nicht vernünftig per AFP arbeiten
konnten, sobald die Latenzen zu hoch wurden.
Post by Ralph Aichinger
Und: Gibt es irgendwelche sinnvollen Boxen die das fix und
fertig "Mac-freundlich" realisieren
Nö, Riverbed, Cisco & Co. können nur SMB und bis die implementieren, was
für sinnvolles Arbeiten mit Apples SMB-Anbauten nötig wäre, vergeht
locker noch ein Jahrzehnt. Ein bisschen zur Problematik findet sich
bspw. im vorletzten Post hier:

https://discussions.apple.com/thread/2635824
Post by Ralph Aichinger
oder ist irgend eine Linux-Lösung mit einer Open-Source-
Implementierung besser?
Euer Problem wird die Performance sein und der hat sich alles
unterzuordnen (also auch Nutzerfreundlichkeit). Du kannst mittels
OpenVPN als auch IPSec Kompression aktivieren (das funktioniert dann so,
dass die Datenpakete vor dem Verschlüsseln komprimiert werden -- je nach
Settings mit zus. Analyse, ob das überhaupt was bringt und dann Fallback
auf unkomprimiert, denn nicht komprimierbare Daten werden durch
Kompression gerne mehr) aber das bringt alles nix.

Früher konnte man den AFP-Client noch manuell tunen (afpwanthreshold und
afpwanquantum) und auch das dynamische Getune, das unternommen wurde,
hat besser funktioniert. Geht heute alles nicht mehr.

Tipp: Irgendein VPN einrichten, dann von 2 Clients aus testen (einer
DSL, einer mobil). Die Probleme werden Directory Enumeration sein
(Öffnen von Ordnern mit vielen Dateien drin) und "in Application
performance" (also direkt aus Programm sichern/öffnen übers WAN). Große
Dateien im Finder kopieren wird halbwegs befriedigend funktionieren, der
Rest wird zur Qual. :-)

Gruss,

Thomas
Juergen P. Meier
2015-03-20 09:55:35 UTC
Permalink
Post by Ralph Aichinger
MacOS hat ja den Client für einige IPSec-Varianten eingebaut,
AFAIK, bei OpenVPN-basierten Varianten müßte man einen Client
(z.B. Tunnelblick) nachinstallieren. Wäre das für euch ein
Hindernis?
Fuer mich nicht, aber fuer andere moeglicherweise schon.
Du hast halt die Punkte Config-Verteilung und Softwarewartung die du
zu Fuss machen musst.
Post by Ralph Aichinger
Übers VPN soll vor allem AFP laufen, soweit ich das bis
jetzt eruiert habe. Einzelne Clients hinter einer DSL-Leitung,
einzelne hinter mobilem Internet.
Und: Gibt es irgendwelche sinnvollen Boxen die das fix und
fertig "Mac-freundlich" realisieren, oder ist irgend eine
u.A. Komerziell: http://www.vpntracker.com/de/index.html
Das ist einigermassen Dau-Kompatibel hinzubekommen. CIFS (SMB shares)
funktionieren darueber gut, mit AFP habe ich damit keine Erfahrung.

Zu zahlst da halt dafuer, dass du den Usern fertig vorkonfigurierte
Packages vor den Latz knallen kannst, wo sie nur noch den
"VPN Ein/Aus" schalter umlegen, und nix verstellen oder configs
zerschiessen koennen. Inklusive "Tech Support report" Knopf.

Das hast du mit OpenVPN auch mit Tunnelblick nicht in so bequem,
dafuer kostet dich das kein Geld.

Kosten tut dich jede Loesung, du entscheidest ob Geld oder
Zeit/Aufwand.
Thomas Kaiser
2015-03-20 11:09:42 UTC
Permalink
Post by Juergen P. Meier
u.A. Komerziell: http://www.vpntracker.com/de/index.html
Das ist einigermassen Dau-Kompatibel hinzubekommen. CIFS (SMB shares)
funktionieren darueber gut, mit AFP habe ich damit keine Erfahrung.
Zu zahlst da halt dafuer, dass du den Usern fertig vorkonfigurierte
Packages vor den Latz knallen kannst, wo sie nur noch den
"VPN Ein/Aus" schalter umlegen, und nix verstellen oder configs
zerschiessen koennen. Inklusive "Tech Support report" Knopf.
Das hast du mit OpenVPN auch mit Tunnelblick nicht in so bequem
Wenn es nur um den Komfort auf User- und nicht Admin-Seite geht, dann
stimmt das so nicht, weil man bei Tunnelblick supersimpel allen Kram in
ein Bundle mit der Endung .tblk stopfen kann (Keys + config.ovpn in
Contents/Resources/ -- macht hier ein Skript auf Zuruf im OpenVPN-Jail
eines FreeNAS, nachdem neue User angelegt wurden). Weder die
Installation von Tunnelblick noch der Doppelklick auf Settings.tblk
überfordern DAUs.

Auf Admin-Seite ist der Aufwand extrem überschaubar. Du brauchst je User
'ne .key-Datei und 'ne .crt-Datei, kopierst das Settings.tblk-Template,
tauscht darin vorher erstelltes key/crt-Paar aus und paßt die Pfade in
der schon enthaltenen config.ovpn an. Fertig ist der Lack. Bei paar
Usern geht das bequem zu Fuß, bei paar mehr sind das paar Skriptzeilen,
die idealerweise am Ende noch Settings.tblk in ein paßwortgeschütztes
ZIP oder .dmg wandeln, damit der Transport zum Anwender abgesichert ist.

Gerade wenn es wie hier nur um die VPN-_Server_-Perspektive geht (und
nicht darum, dass man als Dienstleister mit 'zig unterschiedlichen
IPSec-VPNs diverser Kunden jonglieren muß und sich dann VPN-Tracker aus
Client-Sicht rentiert) kann man sich die paar tausend € für die nötigen
VPN-Tracker-Lizenzen auch gut sparen und besser ein paar Dienstleister-
Stunden für OpenVPN-Setup und tblk-Ausrollen einplanen.

Gruss,

Thomas
Goetz Hoffart
2015-03-20 11:57:36 UTC
Permalink
Post by Ralph Aichinger
MacOS hat ja den Client für einige IPSec-Varianten eingebaut,
AFAIK, bei OpenVPN-basierten Varianten müßte man einen Client
(z.B. Tunnelblick) nachinstallieren. Wäre das für euch ein
Hindernis?
Ich verwende als VPN-Client praktisch überall »Shimo«
(www.chungwasoft.com). Hat den Vorteil sich das VPN-Passwort auch bei
den Gegenstellen zu merken, die das eigentlich nicht erlauben. Und es
kann im Gegensatz zu den Bordmitteln eben auch OpenVPN u.a.

Bezüglich der Durchlässigkeit würde ich von IPSEC abraten, wenn die
Clients öfter in Hotels, Messen etc.pp. unterwegs sind. Sehr viele
blockieren IPSEC-Datenverkehr, und jedesmal rumdiskutieren an der
Rezeption ist nicht jedermanns Sache - und meistens mangels
Netzwerk-Ahnung im Hotel selbst auch nutzlos.

SSL/TLS-basierte Protokolle haben einen Heimvorteil; bisher meinten erst
zwei Hotels meiner Kunden auch SSL-Traffic mitlesen zu müssen. Die
wurden dann halt nicht mehr gebucht …
Post by Ralph Aichinger
Übers VPN soll vor allem AFP laufen, soweit ich das bis jetzt eruiert
habe. Einzelne Clients hinter einer DSL-Leitung, einzelne hinter mobilem
Internet.
Aua. Was soll den konkret darüber transportiert werden, wie sieht da ein
Arbeitstag aus? Wenn das nicht eher spezielle Anforderungen sind,
sondern »ich arbeite halt wie immer mit Büroprogrammen«, dann braucht
man erhöhte Leidensfähigkeit.

Achte darauf, dass du »split«-Betrieb im VPN hinbekommst, d.h. dass
Internet-Verkehr nicht zwingend über die VPN-Leitung muss, sonst wird es
noch bitterer, etwa bei Systemupdates.

Ebenfalls bedenken, dass manche Setups (bestimmte IOS-Router-Versionen)
es nicht richtig schaffen, dem OS X-Bordmittel-VPN-Client den
DNS-Server-Namen mitzugeben, mit dem Effekt, dass du lokale
Namensauflösung machst. Das funktioniert dann nicht, wenn du Geräte im
VPN über Namen ansprechen möchtest. Entweder Shimo (s.o., das bietet
dafür einen Fix an), oder mit IPAs arbeiten, oder das Gerät vorher
prüfen.

Wenn »mobiles Internet« weniger als LTE ist, also UMTS egal welcher
Ausbaustufe, und du nicht *sehr* spezielle Anforderungen hast, würde ich
gleich sagen: laß es. Ohne LTE hast du Latenzen im Bereich 50 bis 500ms,
damit kann man via VPN und AFP nicht arbeiten. Mit LTE sieht es deutlich
besser aus.
Post by Ralph Aichinger
Und: Gibt es irgendwelche sinnvollen Boxen die das fix und
fertig "Mac-freundlich" realisieren, oder ist irgend eine
Linux-Lösung mit einer Open-Source-Implementierung besser?
Bei den meisten meiner Kunden kommen Cisco ASAs (eine kleine 5505 oder
eben die 5510 o.ä.) zum Einsatz. »Besser« ist halt immer so eine Sache.
Bei den Ciscos kaufst du wohl Hintertürchen für die Staats-Schnüffler
mit, die damit unsere Verfassung retten (is ja auch was). Dafür tun die
Kisten sehr ordentlich, laufen stabil, und man bekommt leicht gut
verfügbare Setups hin, schon die kleine 5505 kann Hot-Fail-Over-Betrieb
mit einer zweiten, d.h. stirbt die eine, übernimmt automatisch die
andere.

Natürlich gibt es das auch »offen«, aka bastel-dir-alles-selbst, und
beliebige Zwischenstufen (Appliances, die bspw ipfire.org verwenden).

Grüße
Götz
--
http://www.knubbelmac.de/
Loading...