SunRay Vpn

Transcript

1. Oracle Sun Ray's und VPN FRAOSUG-Treffen am 15. Mai 2012

   Julian Thomas

2. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray •

   Thin-Client-Architektur als Teil einer VDI- Lösung (Virtual Desktop infrastructure) • 2 Komponenten: Sun Ray Client und Sun Ray Server Software • Server: Bereitstellung von virtuellen Desktops • Client: Zugriff auf virtuelle Desktops

3. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray Sun

   Ray Client oder Netzwerk OVDC (Oracle Virtual Desktop Client) Windows, Linux, iPad

4. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Features •

   Kein lokales Betriebssystem (nur Firmware) • Smartcard-Lesegerät • Hotdesking • Client geräuschlos und klein • Kiosk-Sessions • VPN • und vieles mehr

5. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Das Problem • Idee

   des „Remote arbeiten“ • SunRay@home • SunRay@home2 • OVDC „unterwegs“ (Laptop, WLAN, etc.) • Idee => Zwang

6. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Lösungsansätze Internet oder ??

   VPN ?? Internet

7. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Server im

   Internet • Alle relevanten Ports müssen geöffnet werden • Alle können sich verbinden, authentifiziert wird erst auf Betriebssystems-Ebene • Kommunikation unverschlüsselt • Keine ernstzunehmende Lösung

8. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Virtual Private Network (VPN)

   • Geschlossenes virtuelles Netz, gekapselt in einem „Transportnetz“ • Sender verpackt Datenpaket in Datenpaket des Transportnetzes • Empfänger packt Paket wieder aus • => Tunnel • Reines Software-Konzept

9. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN Site-to-Site oder End-to-Site?

   It depends... VPN-Gateway Internet Netz 2 Netz 1 oder VPN-Gateway Site-to-Site VPN tunnel Internet Netz 1 VPN-Gateway Site-to-End VPN tunnel Site-to-End VPN tunnel

10. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 End-to-Site-VPN • Zugriff von

    Sunray-Server-Netzwerk auf Client- Netzwerk nicht benötigt • VPN-Client in SunRay integriert • Bei Oracle beschriebenes Einsatzszenario • Andere Clients sollen Internetverbindung auf Client-Seite nutzen

11. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN: Ablauf (1) Client

    IKE Phase 1: Device Authentication via Internet Key Exchange (IKE) (aggressive Mode) oder via digitalem Zertifikat (main mode). (2) Client versucht IKE SA (security association) aufzubauen (Verschlüsselung, Hash-Algorithmus, etc.) (3) Extendend Authentication (xauth): Username & Passwort (4) Client verlangt Konfigurationsparameter: IP-Adresse, DNS, etc. (Mode Configuration) (5) VPN-Gateway erzeugt statische Route (reverse route injection) für Client- IP-Adresse (6) IKE quick mode: IPSec SA (7) Verbindung erfolgreich aufgebaut

12. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Der Anfang http://www.brianmadden.com/...Oracle-VDI... http://www.cisco.com/...products_configuration_example...

    http://blog.aptivate.org/.../simple-cisco-vpn-how-to/ https://supportforums.cisco.com/thread/260400 http://matpearsons.blogspot.de/.../sunray-to-cisco-vpn... http://www.tjhsst.edu/admin/.../IPSec_VPN http://docs.oracle.com/cd/.../Firmware-VPN-Support.html http://www.oracle.com/.../sun-ray-193669.html http://users.tpg.com.au/brianri/sun_ray_at_home.pdf http://blogs.sungeek.net/.../sunrays-over-cisco-vpn/ http://www.sun-rays.org/ Cisco IOS

13. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Aufbau Internet Site-to-End VPN

    tunnel Cisco 1921, SEC, IOS 15 Solaris 10 9/10 x86 Fritz!Box 7330 Sun Ray 3 Plus 192.168.64.0/24 172.16.0.0/16 192.168.64.0/24 Pool aus 10.0.0.0/24 172.16.0.0/16 10.0.0.0/24 172.16.0.0/16 10.0.10.0/24 10.0.10.0/24 192.168.64.0/24 Sun Ray Software 5.2.1

14. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Agenda • Server-Netz: Sun

    Ray • Server-Netz: OVDC • VPN-Gateway • Client-Netz: VPN-Client + OVDC • Client-Netz: Sun Ray

15. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN-Gateway • IKE Verschlüsselung:

    aes • IKE Hash: md5 • IKE Authentication: xauth (!) • IPSec Diffie-Hellman-Group: 2 • IPSec Authentication: esp-sha-hmac (Encapsulating Security Payload, Hashed Message Authentication Codes) • IPSec Verschlüsselung: 3des • IP-Adresspool für verbundene Clients (Routing zum Sunray-Server muss möglich sein)

16. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: VPN-Client + OVDC

    • Cisco VPN-Client (http://www.unix-ag.uni-kl.de/~massar/vpnc/) • MTU (< 1500 !), Keyboard-Layout, Host-Key

17. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Router • Unterschiedliche

    IP-Netze für Server-Netzwerk und Client-Netzwerk verwenden ! (hier: 192.168.64.0/24 Servernetz, und 10.0.10.0/24 Remote-Client-Netz) • Internet-Verbindungsaufbau • Muss VPN-Passthrough (IPSec) und NAT-T (?) unterstützen • Router (NAT) für Clients • Optional DHCP-Server

18. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray

19. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    VPN Enable: On • VPN Peer type: Cisco • Auth method: Xauth (!), hybrid (?) nicht preshared (!) • Peer: <IP-Adresse VPN-Gateway> • Group: <Gruppenname VPN-Konfiguration> • Set Group Key: <VPN-Key> • Advanced: DH Group 2, PFS Group 2, Dead peer detection: off

20. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    Servers: <IP-Adresse des SunRay-Servers> (oder fqdn) • Network: IPv4 • TCP/IP: DHCP, MTU leer • DNS: leer

21. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray

22. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray

23. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray

24. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Performance & Benutzbarkeit •

    Internetverbindung • Weg VPN-Gateway <=> SunRay-Server • Durchsatz VPN-Gateway Einflussfaktoren: • Wie messbar (ping, traceroute) ? • DSL, WLAN in Universität beeindruckend

25. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sicherheit • VPN-Sicherheit (Verschlüsselung,

    Hashing) • VPN-Keylänge • VPN-Passwörter • Firewall/IPS • Welche Daten in Sun Ray speichern?

26. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Fallstricke / Probleme /

    Fragen • Verschiedene Bereiche, verschiedene Probleme (VPN, Routing, Netzwerk, OVDC, SunRay-Server) • Fehlersuche hängt vom Einzelfall ab • Testfälle für die einzelnen Bereiche • VPN-Gateway: Cisco? • VPN: preshared, xauth, hybrid • MTU

27. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Probleme / Fragen •

    Desktop Resizing (=> 5.3) • VPN-Verbindung beim Ausloggen/Karte enfernen • utpolicy: Sunray nur mit Smartcard, OVDC ohne • Session-Restore • Netzwerkaufbau • Cisco-Konfig (arp-proxy, crypto dynamic map, Tunnel-Template)

28. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Zusammenfassung • Es ist

    möglich, es funktioniert, es ist benutzbar, es ist genial • Es ist kompliziert • Alles ist kompliziert • Dokumentation, Beispielkonfigurationen ? • SunRay@home, Server@Cloud ?

29. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick • Neuerungen in

    Sun Ray Software Version 5.3 • VPN: Sicherheit, Firewall • VDI, um Windows-Terminal-Server abzulösen? • Solaris 11

30. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick II • Support

    für Zonen • Support für Solaris 11 • Solaris als Desktop-OS ? (OpenOffice, Mathematica, Maple, MatLab) • Marketing • Preise (Sunray, Lizenzen, Server, Netzwerkkomponenten) • Vertrieb

31. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray

32. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Diskussion Fragen Anmerkungen Verbesserungen

    Alternativen

33. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Anhang I • http://www.brianmadden.com/blogs/gabeknuth/archive/2012/02/08/Oracle-VDI-gets-the-Geek-Week-

    treatment_2E00__2E00_.finally_2100_.aspx • http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configuration_example09186a00 806ad10e.shtml • http://blog.aptivate.org/2010/08/03/simple-cisco-vpn-how-to/ • https://supportforums.cisco.com/thread/260400 • http://matpearsons.blogspot.de/2009/08/sunray-to-cisco-vpn-28f-error.html • http://www.tjhsst.edu/admin/livedoc/index.php/IPSec_VPN • http://docs.oracle.com/cd/E22662_01/E22661/html/Firmware-VPN-Support.html • http://www.oracle.com/technetwork/documentation/sun-ray-193669.html • http://users.tpg.com.au/brianri/sun_ray_at_home.pdf • http://blogs.sungeek.net/unixwiz/2006/01/15/sunrays-over-cisco-vpn/ • http://www.sun-rays.org/