Sichere Verbindung aus WAN für mehrere Benutzer eingeschränkt auf Benutzerverzeichnis

[Beowulf]

Hallo zusammen,
ich suche jetzt schon mehrere Wochen lang nach einer Lösung für das folgende Problem und hoffe sehr, dass mir hier jemand weiterhelfen kann. Also der Router mit oleg firmware soll in einer Firma stehen und mehreren Kunden jeweils ein eigenes Verzeichnis bereitstellen, in das sie Aufträge übers internet auf den Asus uploaden können. Es ist wichtig dass sowohl pw als auch Daten verschlüsselt über das Internet übertragen werden.

Die entscheidende Frage ist jetzt: Gibt es eine Möglichkeit eine sichere verschlüsselte Verbindung für mehrere Benutzer einzurichten, die jeweils nur auf ihr eigenes Unterverzeichnis Zugriff haben sollen?

Bisher habe ich die folgenden 4 Varianten in Betracht gezogen und versucht umzusetzen, leider jeweils mit verschiedenen Unzulänglichkeiten:

1. vsftp: Da kenne ich bisher keine Möglichkeit eine sichere Authentifizierung zu verwenden. So wird z.B. in den verschiedenen Tutorials ja meistens folgendes in die /opt/etc/xinetd.d/vsftp geschrieben:
   
   Code:

   # description: The vsftpd FTP server serves FTP connections. 
   # it uses normal, unencrypted usernames and passwords for auth

   Das hört sich für mich nach einer Warnung an, dass die Anmeldedaten (incl. pw) mit einem packet-sniffer ausgelesen werden können. Gibt es vielleicht eine Möglichkeit eine Verbindung zu vsftp über SSL herzustellen (das hat glaube ich verschiedene namen und wird oft mit einer SSH verbindung verwechselt, was ich hier aber nicht meine.)
   
2. SSH/SCP: Dabei fehlt mir die Möglichkeit verschiedenen Nutzern verschiedene eingeschränkte home verzeichnisse zuzuweisen aus denen sie nicht rausnavigieren können. Geht das vielleicht doch irgendwie?
   
3. VPN/Samba: Auch hier fehlt mir die Benutzereinschränkung auf bestimmtes Benutzerverzeichnis (und generell finde ich Windows Freigaben oft ziemlich unzuverlässig). Aber wenn jemand eine Möglichkeit kennt Samba entsprechend für mehrere Benutzer zu konfigurieren wären auch hierzu Tipps sehr willkommen.
   
4. Webserver (mit lighttpd/openSSL/PHP/Login-System/Formular-Upload): Bei dieser Variante habe ich bisher keine Möglichkeit gefunden, wie man dem Benutzer den Upload-Status anzeigen kann. Bei größeren Dateien steht die Webseite während des Uploads dann über sehr lange Zeit ohne Rückmeldung stehen und man weiss nicht ob der Upload funktioniert und wie lange das noch dauert. Wenn man bei google nach "Upload progress bar" oder ähnliches sucht, findet man zwar viele möglichkeiten, von denen ich aber keine über lighttpd 1.4 umsetzen konnte. Ich habe u.a. verschiedene PHP-/Perl- und Flash-Scripts ausprobiert. Die PHP und Perl-Scripts funktionieren wahrscheinlich nicht wegen dem komischen Upload-Cache vom lighttpd. Eine spezielle upload-progress-funktion wird leider erst in lighttpd 1.5 integriert werden.

Wie ihr seht beschäftige ich mich schon einige Tage damit, ohne dass ich eine befriedigende Lösung gefunden habe. Ich hoffe irgendjemand kann mir eine Möglichkeit nennen, wie ich eine der obigen Varianten brauchbar machen kann.

schonmal danke für jede antwort

[newbiefan]

Nun, ich denke mit VPN ist man sicher, nicht zuletzt betreiben groessere Firmen ueber VPN globales Intranet, inkl. VoIP.
Samba geht jedenfalls mit User, da gibt es sehr viele Hinweise usw. im Inet.
http://www.goldmann.de/samba-als-pdc_tipp_390.html

Leider habe ich am Asus nicht VPN laufen, da ich das mit meiner Fritzbox realisiere (ist in der 7170 Labor drinnen).

Weiters gibt es auch andere FTP Server als optware auf nslu2 - sehe dir einmal den File Packages an: http://ipkg.nslu2-linux.org/feeds/op...g/cross/stable

Der Vorteil von VPN/Samba liegt einfach darin, dass jeder User ein eigenes Verzeichnis hat und sehr viele Konfigurationsbeispiele vorhanden sind. Naja und viel Testen ist wohl notwendig.
Jedenfalls wirst du ueber die Weihnachtsfeiertage viel zu tun haben.......

[Beowulf]

Hi newbiefan,
so, ich habe jetzt samba2 soweit laufen mit User/Pw freigaben. Das Problem ist nur, dass ich über OpenVPN irgendwie noch keinen Zugriff auf die Freigaben habe. vorher mit dem original samba von der oleg-firmware war das noch einfach möglich. da werde ich wohl noch ein bisschen weiter ausprobieren müssen. Du hast wohl recht, viel zu tun über die Weihnachtsfeiertage .

Kann mir jemand sagen, ob es Sinn macht samba3 statt samba2 zu benutzen? Ist das eine stable-version für die oleg-fw?

Sehr interessiert wäre ich an einer Möglichkeit mit lighttpd eine Upload progress bar zu realisieren. Ich denke nämlich dass eine Weboberfläche für den Endanweder am einfachsten zu bedienen wäre (keine VPN installation nötig etc).
Ich habe im Internet gelesen, dass es PHP Extensions gibt, mit denen es möglich wäre. Hier habe ich z.B. gelesen, dass es mit dieser APC Extension gehen müsste. Um diese PHP Extensions zu verwenden braucht man aber die php sources und muss dann das ganze glaube ich selbst compilieren. Kann mir jemand sagen ob ich diese Extension also irgendwie auf dem Router zum laufen bekommen kann?
Eine allgemeine Installationsanleitung dieser PECL-PHP-Extensions gibts z.B. hier.
Oder frage ich da besser im englischen forum?

[newbiefan]

Bei mir läuft die dokuwiki auf lighttp, das geht soweit ganz gut.
Leider ist da der Asus etwas überfordert, wenn er Seiten neu indizieren muss, dauert das schon eine Weile.
Der Syntax von Dokuwiki ist auch ganz gut und umfangreich, solltest du einmal probieren....PM ist unterwegs......
Jedenfalls ist die Installation schnell erledigt und man hat viele Möglichkeiten
Aber VPN ist mir lieber, weil es sehr sicher ist.....

[Beowulf]

Danke für das Login. Hab ich mal ausprobiert. Aber in dokuwiki ist doch kein Datei-Upload integriert, oder? Das ist ja das was ich letztendlich brauche.
Mein lighttpd läuft über https (SSL), daher glaube ich dass es etwa so sicher wäre wie Samba über openVPN. Schliesslich werden über https auch alle Daten zwischen Webserver und User verschlüsselt (wie z.B. bei online banking etc).
Das einzige Problem dabei ist, dass beim Upload großer Dateien dem Benutzer sehr lange keine Rückmeldung gegeben wird wie weit der upload fortgeschritten ist (upload progress bar). Dazu müsste ich halt eine PHP extension installieren (wobei die frage ist wie ich lighttpd neu compilieren kann) oder lighttpd 1.5 verwenden.

[Beowulf]

ich habe dir mal login per PM geschickt, so dass du siehst, was ich meine.