Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SunRay Vpn

Avatar for fraosug fraosug
March 17, 2013

SunRay Vpn

Avatar for fraosug

fraosug

March 17, 2013
Tweet

More Decks by fraosug

Other Decks in Technology

Transcript

  1. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray •

    Thin-Client-Architektur als Teil einer VDI- Lösung (Virtual Desktop infrastructure) • 2 Komponenten: Sun Ray Client und Sun Ray Server Software • Server: Bereitstellung von virtuellen Desktops • Client: Zugriff auf virtuelle Desktops
  2. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray Sun

    Ray Client oder Netzwerk OVDC (Oracle Virtual Desktop Client) Windows, Linux, iPad
  3. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Features •

    Kein lokales Betriebssystem (nur Firmware) • Smartcard-Lesegerät • Hotdesking • Client geräuschlos und klein • Kiosk-Sessions • VPN • und vieles mehr
  4. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Das Problem • Idee

    des „Remote arbeiten“ • SunRay@home • SunRay@home2 • OVDC „unterwegs“ (Laptop, WLAN, etc.) • Idee => Zwang
  5. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Server im

    Internet • Alle relevanten Ports müssen geöffnet werden • Alle können sich verbinden, authentifiziert wird erst auf Betriebssystems-Ebene • Kommunikation unverschlüsselt • Keine ernstzunehmende Lösung
  6. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Virtual Private Network (VPN)

    • Geschlossenes virtuelles Netz, gekapselt in einem „Transportnetz“ • Sender verpackt Datenpaket in Datenpaket des Transportnetzes • Empfänger packt Paket wieder aus • => Tunnel • Reines Software-Konzept
  7. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN Site-to-Site oder End-to-Site?

    It depends... VPN-Gateway Internet Netz 2 Netz 1 oder VPN-Gateway Site-to-Site VPN tunnel Internet Netz 1 VPN-Gateway Site-to-End VPN tunnel Site-to-End VPN tunnel
  8. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 End-to-Site-VPN • Zugriff von

    Sunray-Server-Netzwerk auf Client- Netzwerk nicht benötigt • VPN-Client in SunRay integriert • Bei Oracle beschriebenes Einsatzszenario • Andere Clients sollen Internetverbindung auf Client-Seite nutzen
  9. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN: Ablauf (1) Client

    IKE Phase 1: Device Authentication via Internet Key Exchange (IKE) (aggressive Mode) oder via digitalem Zertifikat (main mode). (2) Client versucht IKE SA (security association) aufzubauen (Verschlüsselung, Hash-Algorithmus, etc.) (3) Extendend Authentication (xauth): Username & Passwort (4) Client verlangt Konfigurationsparameter: IP-Adresse, DNS, etc. (Mode Configuration) (5) VPN-Gateway erzeugt statische Route (reverse route injection) für Client- IP-Adresse (6) IKE quick mode: IPSec SA (7) Verbindung erfolgreich aufgebaut
  10. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Der Anfang http://www.brianmadden.com/...Oracle-VDI... http://www.cisco.com/...products_configuration_example...

    http://blog.aptivate.org/.../simple-cisco-vpn-how-to/ https://supportforums.cisco.com/thread/260400 http://matpearsons.blogspot.de/.../sunray-to-cisco-vpn... http://www.tjhsst.edu/admin/.../IPSec_VPN http://docs.oracle.com/cd/.../Firmware-VPN-Support.html http://www.oracle.com/.../sun-ray-193669.html http://users.tpg.com.au/brianri/sun_ray_at_home.pdf http://blogs.sungeek.net/.../sunrays-over-cisco-vpn/ http://www.sun-rays.org/ Cisco IOS
  11. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Aufbau Internet Site-to-End VPN

    tunnel Cisco 1921, SEC, IOS 15 Solaris 10 9/10 x86 Fritz!Box 7330 Sun Ray 3 Plus 192.168.64.0/24 172.16.0.0/16 192.168.64.0/24 Pool aus 10.0.0.0/24 172.16.0.0/16 10.0.0.0/24 172.16.0.0/16 10.0.10.0/24 10.0.10.0/24 192.168.64.0/24 Sun Ray Software 5.2.1
  12. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Agenda • Server-Netz: Sun

    Ray • Server-Netz: OVDC • VPN-Gateway • Client-Netz: VPN-Client + OVDC • Client-Netz: Sun Ray
  13. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN-Gateway • IKE Verschlüsselung:

    aes • IKE Hash: md5 • IKE Authentication: xauth (!) • IPSec Diffie-Hellman-Group: 2 • IPSec Authentication: esp-sha-hmac (Encapsulating Security Payload, Hashed Message Authentication Codes) • IPSec Verschlüsselung: 3des • IP-Adresspool für verbundene Clients (Routing zum Sunray-Server muss möglich sein)
  14. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: VPN-Client + OVDC

    • Cisco VPN-Client (http://www.unix-ag.uni-kl.de/~massar/vpnc/) • MTU (< 1500 !), Keyboard-Layout, Host-Key
  15. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Router • Unterschiedliche

    IP-Netze für Server-Netzwerk und Client-Netzwerk verwenden ! (hier: 192.168.64.0/24 Servernetz, und 10.0.10.0/24 Remote-Client-Netz) • Internet-Verbindungsaufbau • Muss VPN-Passthrough (IPSec) und NAT-T (?) unterstützen • Router (NAT) für Clients • Optional DHCP-Server
  16. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    VPN Enable: On • VPN Peer type: Cisco • Auth method: Xauth (!), hybrid (?) nicht preshared (!) • Peer: <IP-Adresse VPN-Gateway> • Group: <Gruppenname VPN-Konfiguration> • Set Group Key: <VPN-Key> • Advanced: DH Group 2, PFS Group 2, Dead peer detection: off
  17. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    Servers: <IP-Adresse des SunRay-Servers> (oder fqdn) • Network: IPv4 • TCP/IP: DHCP, MTU leer • DNS: leer
  18. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Performance & Benutzbarkeit •

    Internetverbindung • Weg VPN-Gateway <=> SunRay-Server • Durchsatz VPN-Gateway Einflussfaktoren: • Wie messbar (ping, traceroute) ? • DSL, WLAN in Universität beeindruckend
  19. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sicherheit • VPN-Sicherheit (Verschlüsselung,

    Hashing) • VPN-Keylänge • VPN-Passwörter • Firewall/IPS • Welche Daten in Sun Ray speichern?
  20. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Fallstricke / Probleme /

    Fragen • Verschiedene Bereiche, verschiedene Probleme (VPN, Routing, Netzwerk, OVDC, SunRay-Server) • Fehlersuche hängt vom Einzelfall ab • Testfälle für die einzelnen Bereiche • VPN-Gateway: Cisco? • VPN: preshared, xauth, hybrid • MTU
  21. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Probleme / Fragen •

    Desktop Resizing (=> 5.3) • VPN-Verbindung beim Ausloggen/Karte enfernen • utpolicy: Sunray nur mit Smartcard, OVDC ohne • Session-Restore • Netzwerkaufbau • Cisco-Konfig (arp-proxy, crypto dynamic map, Tunnel-Template)
  22. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Zusammenfassung • Es ist

    möglich, es funktioniert, es ist benutzbar, es ist genial • Es ist kompliziert • Alles ist kompliziert • Dokumentation, Beispielkonfigurationen ? • SunRay@home, Server@Cloud ?
  23. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick • Neuerungen in

    Sun Ray Software Version 5.3 • VPN: Sicherheit, Firewall • VDI, um Windows-Terminal-Server abzulösen? • Solaris 11
  24. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick II • Support

    für Zonen • Support für Solaris 11 • Solaris als Desktop-OS ? (OpenOffice, Mathematica, Maple, MatLab) • Marketing • Preise (Sunray, Lizenzen, Server, Netzwerkkomponenten) • Vertrieb
  25. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Anhang I • http://www.brianmadden.com/blogs/gabeknuth/archive/2012/02/08/Oracle-VDI-gets-the-Geek-Week-

    treatment_2E00__2E00_.finally_2100_.aspx • http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configuration_example09186a00 806ad10e.shtml • http://blog.aptivate.org/2010/08/03/simple-cisco-vpn-how-to/ • https://supportforums.cisco.com/thread/260400 • http://matpearsons.blogspot.de/2009/08/sunray-to-cisco-vpn-28f-error.html • http://www.tjhsst.edu/admin/livedoc/index.php/IPSec_VPN • http://docs.oracle.com/cd/E22662_01/E22661/html/Firmware-VPN-Support.html • http://www.oracle.com/technetwork/documentation/sun-ray-193669.html • http://users.tpg.com.au/brianri/sun_ray_at_home.pdf • http://blogs.sungeek.net/unixwiz/2006/01/15/sunrays-over-cisco-vpn/ • http://www.sun-rays.org/