Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SunRay Vpn

fraosug
March 17, 2013

SunRay Vpn

fraosug

March 17, 2013
Tweet

More Decks by fraosug

Other Decks in Technology

Transcript

  1. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray •

    Thin-Client-Architektur als Teil einer VDI- Lösung (Virtual Desktop infrastructure) • 2 Komponenten: Sun Ray Client und Sun Ray Server Software • Server: Bereitstellung von virtuellen Desktops • Client: Zugriff auf virtuelle Desktops
  2. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Oracle Sun Ray Sun

    Ray Client oder Netzwerk OVDC (Oracle Virtual Desktop Client) Windows, Linux, iPad
  3. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Features •

    Kein lokales Betriebssystem (nur Firmware) • Smartcard-Lesegerät • Hotdesking • Client geräuschlos und klein • Kiosk-Sessions • VPN • und vieles mehr
  4. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Das Problem • Idee

    des „Remote arbeiten“ • SunRay@home • SunRay@home2 • OVDC „unterwegs“ (Laptop, WLAN, etc.) • Idee => Zwang
  5. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sun Ray Server im

    Internet • Alle relevanten Ports müssen geöffnet werden • Alle können sich verbinden, authentifiziert wird erst auf Betriebssystems-Ebene • Kommunikation unverschlüsselt • Keine ernstzunehmende Lösung
  6. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Virtual Private Network (VPN)

    • Geschlossenes virtuelles Netz, gekapselt in einem „Transportnetz“ • Sender verpackt Datenpaket in Datenpaket des Transportnetzes • Empfänger packt Paket wieder aus • => Tunnel • Reines Software-Konzept
  7. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN Site-to-Site oder End-to-Site?

    It depends... VPN-Gateway Internet Netz 2 Netz 1 oder VPN-Gateway Site-to-Site VPN tunnel Internet Netz 1 VPN-Gateway Site-to-End VPN tunnel Site-to-End VPN tunnel
  8. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 End-to-Site-VPN • Zugriff von

    Sunray-Server-Netzwerk auf Client- Netzwerk nicht benötigt • VPN-Client in SunRay integriert • Bei Oracle beschriebenes Einsatzszenario • Andere Clients sollen Internetverbindung auf Client-Seite nutzen
  9. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN: Ablauf (1) Client

    IKE Phase 1: Device Authentication via Internet Key Exchange (IKE) (aggressive Mode) oder via digitalem Zertifikat (main mode). (2) Client versucht IKE SA (security association) aufzubauen (Verschlüsselung, Hash-Algorithmus, etc.) (3) Extendend Authentication (xauth): Username & Passwort (4) Client verlangt Konfigurationsparameter: IP-Adresse, DNS, etc. (Mode Configuration) (5) VPN-Gateway erzeugt statische Route (reverse route injection) für Client- IP-Adresse (6) IKE quick mode: IPSec SA (7) Verbindung erfolgreich aufgebaut
  10. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Der Anfang http://www.brianmadden.com/...Oracle-VDI... http://www.cisco.com/...products_configuration_example...

    http://blog.aptivate.org/.../simple-cisco-vpn-how-to/ https://supportforums.cisco.com/thread/260400 http://matpearsons.blogspot.de/.../sunray-to-cisco-vpn... http://www.tjhsst.edu/admin/.../IPSec_VPN http://docs.oracle.com/cd/.../Firmware-VPN-Support.html http://www.oracle.com/.../sun-ray-193669.html http://users.tpg.com.au/brianri/sun_ray_at_home.pdf http://blogs.sungeek.net/.../sunrays-over-cisco-vpn/ http://www.sun-rays.org/ Cisco IOS
  11. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Aufbau Internet Site-to-End VPN

    tunnel Cisco 1921, SEC, IOS 15 Solaris 10 9/10 x86 Fritz!Box 7330 Sun Ray 3 Plus 192.168.64.0/24 172.16.0.0/16 192.168.64.0/24 Pool aus 10.0.0.0/24 172.16.0.0/16 10.0.0.0/24 172.16.0.0/16 10.0.10.0/24 10.0.10.0/24 192.168.64.0/24 Sun Ray Software 5.2.1
  12. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Agenda • Server-Netz: Sun

    Ray • Server-Netz: OVDC • VPN-Gateway • Client-Netz: VPN-Client + OVDC • Client-Netz: Sun Ray
  13. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 VPN-Gateway • IKE Verschlüsselung:

    aes • IKE Hash: md5 • IKE Authentication: xauth (!) • IPSec Diffie-Hellman-Group: 2 • IPSec Authentication: esp-sha-hmac (Encapsulating Security Payload, Hashed Message Authentication Codes) • IPSec Verschlüsselung: 3des • IP-Adresspool für verbundene Clients (Routing zum Sunray-Server muss möglich sein)
  14. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: VPN-Client + OVDC

    • Cisco VPN-Client (http://www.unix-ag.uni-kl.de/~massar/vpnc/) • MTU (< 1500 !), Keyboard-Layout, Host-Key
  15. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Router • Unterschiedliche

    IP-Netze für Server-Netzwerk und Client-Netzwerk verwenden ! (hier: 192.168.64.0/24 Servernetz, und 10.0.10.0/24 Remote-Client-Netz) • Internet-Verbindungsaufbau • Muss VPN-Passthrough (IPSec) und NAT-T (?) unterstützen • Router (NAT) für Clients • Optional DHCP-Server
  16. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    VPN Enable: On • VPN Peer type: Cisco • Auth method: Xauth (!), hybrid (?) nicht preshared (!) • Peer: <IP-Adresse VPN-Gateway> • Group: <Gruppenname VPN-Konfiguration> • Set Group Key: <VPN-Key> • Advanced: DH Group 2, PFS Group 2, Dead peer detection: off
  17. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Client-Netz: Sun Ray •

    Servers: <IP-Adresse des SunRay-Servers> (oder fqdn) • Network: IPv4 • TCP/IP: DHCP, MTU leer • DNS: leer
  18. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Performance & Benutzbarkeit •

    Internetverbindung • Weg VPN-Gateway <=> SunRay-Server • Durchsatz VPN-Gateway Einflussfaktoren: • Wie messbar (ping, traceroute) ? • DSL, WLAN in Universität beeindruckend
  19. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Sicherheit • VPN-Sicherheit (Verschlüsselung,

    Hashing) • VPN-Keylänge • VPN-Passwörter • Firewall/IPS • Welche Daten in Sun Ray speichern?
  20. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Fallstricke / Probleme /

    Fragen • Verschiedene Bereiche, verschiedene Probleme (VPN, Routing, Netzwerk, OVDC, SunRay-Server) • Fehlersuche hängt vom Einzelfall ab • Testfälle für die einzelnen Bereiche • VPN-Gateway: Cisco? • VPN: preshared, xauth, hybrid • MTU
  21. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Probleme / Fragen •

    Desktop Resizing (=> 5.3) • VPN-Verbindung beim Ausloggen/Karte enfernen • utpolicy: Sunray nur mit Smartcard, OVDC ohne • Session-Restore • Netzwerkaufbau • Cisco-Konfig (arp-proxy, crypto dynamic map, Tunnel-Template)
  22. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Zusammenfassung • Es ist

    möglich, es funktioniert, es ist benutzbar, es ist genial • Es ist kompliziert • Alles ist kompliziert • Dokumentation, Beispielkonfigurationen ? • SunRay@home, Server@Cloud ?
  23. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick • Neuerungen in

    Sun Ray Software Version 5.3 • VPN: Sicherheit, Firewall • VDI, um Windows-Terminal-Server abzulösen? • Solaris 11
  24. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Ausblick II • Support

    für Zonen • Support für Solaris 11 • Solaris als Desktop-OS ? (OpenOffice, Mathematica, Maple, MatLab) • Marketing • Preise (Sunray, Lizenzen, Server, Netzwerkkomponenten) • Vertrieb
  25. Julian Thomas, FRAOSUG-Treffen, 15. Mai 2012 Anhang I • http://www.brianmadden.com/blogs/gabeknuth/archive/2012/02/08/Oracle-VDI-gets-the-Geek-Week-

    treatment_2E00__2E00_.finally_2100_.aspx • http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configuration_example09186a00 806ad10e.shtml • http://blog.aptivate.org/2010/08/03/simple-cisco-vpn-how-to/ • https://supportforums.cisco.com/thread/260400 • http://matpearsons.blogspot.de/2009/08/sunray-to-cisco-vpn-28f-error.html • http://www.tjhsst.edu/admin/livedoc/index.php/IPSec_VPN • http://docs.oracle.com/cd/E22662_01/E22661/html/Firmware-VPN-Support.html • http://www.oracle.com/technetwork/documentation/sun-ray-193669.html • http://users.tpg.com.au/brianri/sun_ray_at_home.pdf • http://blogs.sungeek.net/unixwiz/2006/01/15/sunrays-over-cisco-vpn/ • http://www.sun-rays.org/