6
2 externe Mitarbeiter mit openVPN Zugang zukünftig mit ADS, Wie?
Ich betreue ein kleines reines Windows Firmennetzwerk, das zusätzlich auch privat benutzt wird. Darin laufen
- ein paar private Rechner
- ein Drucker
- ein Router mit integrierter Firewall, DSL Modem, aktiviertem DHCP und WLAN Accesspoint
- ein OpenVPN Server zur Anbindung zweier externer Mitarbeiter (Bridged Modus),
- ein Applikations Server (miniSAP) als virtuelle Maschine,
- ein paar Netzwerkfreigaben zur gemeinsamen Dateiablage
- ein FTP Server
Die letzten 4 Teile laufen zusammen auf einer physischen Maschine, die gleichzeitig noch als Media Center herhalten muss...
Außerdem haben wir bei einem Webspace Provider noch
- eine Firmen Domain,
- eine zugehörige Firmenhomepage,
- die zugehörigen Mailaccounts
Wir benutzen Dyndns, um unsere externen Mitarbeiter ins VPN zu bekommen
Nun ist ein weiterer Partner bei uns eingestiegen und ich frage mich, ob wir nicht den MS Exchange Server nutzen sollten, vor allem um unsere Kalender abzustimmen. Meinen Recherchen zufolge komme ich dann allerdings nicht mehr um Active Directory herum. Ich wäre ja bereit den zusätzlichen Aufwand auf mich zu nehmen, aber ich frage mich:
Wie geht das mit dem OpenVPN Zugang der externen Mitarbeiter zusammen? Zum Zeitpunkt des Einloggens habe sie ja noch keinen VPN Zugang?!?!
Mit läuft das Einloggen der Clients im Workstation Betrieb = ohne ADS? (habe noch nie ADS administriert, traue es mir aber nach Einarbeitung schon zu)
Wo wird das Profil gehalten? Aufgund des Szenarios unbedingt lokal?
Funktioniert das Szenario überhaupt mit dyndns?
Ist es aus Sicherheitsgründen empfehlenswert auch das Hosting selbst zu machen, beim Provider also nur noch eine feste IP und DNS Eintrag zu kaufen?
Ich habe bereits zu den verschiedenen Themen verschiedene Antworten gefunden, aber diese sind logischerweise nicht zwingend auch im Kontext meines Szenarios gültig. Vielleicht findet sich ein Admin, der mir die obigen Fragen im Kontext meines Szenarios beantworten kann?
Viele Grüße
Matthias
- ein paar private Rechner
- ein Drucker
- ein Router mit integrierter Firewall, DSL Modem, aktiviertem DHCP und WLAN Accesspoint
- ein OpenVPN Server zur Anbindung zweier externer Mitarbeiter (Bridged Modus),
- ein Applikations Server (miniSAP) als virtuelle Maschine,
- ein paar Netzwerkfreigaben zur gemeinsamen Dateiablage
- ein FTP Server
Die letzten 4 Teile laufen zusammen auf einer physischen Maschine, die gleichzeitig noch als Media Center herhalten muss...
Außerdem haben wir bei einem Webspace Provider noch
- eine Firmen Domain,
- eine zugehörige Firmenhomepage,
- die zugehörigen Mailaccounts
Wir benutzen Dyndns, um unsere externen Mitarbeiter ins VPN zu bekommen
Nun ist ein weiterer Partner bei uns eingestiegen und ich frage mich, ob wir nicht den MS Exchange Server nutzen sollten, vor allem um unsere Kalender abzustimmen. Meinen Recherchen zufolge komme ich dann allerdings nicht mehr um Active Directory herum. Ich wäre ja bereit den zusätzlichen Aufwand auf mich zu nehmen, aber ich frage mich:
Wie geht das mit dem OpenVPN Zugang der externen Mitarbeiter zusammen? Zum Zeitpunkt des Einloggens habe sie ja noch keinen VPN Zugang?!?!
Mit läuft das Einloggen der Clients im Workstation Betrieb = ohne ADS? (habe noch nie ADS administriert, traue es mir aber nach Einarbeitung schon zu)
Wo wird das Profil gehalten? Aufgund des Szenarios unbedingt lokal?
Funktioniert das Szenario überhaupt mit dyndns?
Ist es aus Sicherheitsgründen empfehlenswert auch das Hosting selbst zu machen, beim Provider also nur noch eine feste IP und DNS Eintrag zu kaufen?
Ich habe bereits zu den verschiedenen Themen verschiedene Antworten gefunden, aber diese sind logischerweise nicht zwingend auch im Kontext meines Szenarios gültig. Vielleicht findet sich ein Admin, der mir die obigen Fragen im Kontext meines Szenarios beantworten kann?
Viele Grüße
Matthias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127046
Url: https://administrator.de/contentid/127046
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
Also zu deinem ersten Punkt kann ich dir schon mal soviel dazu sagen, dass du den openVPN Dienst vor dem Anmelden schon starten kannst (automatisch in den Diensten).
Die Profile kannst du einstellen, dass die sich nur auf dem Server befinden, oder das sie eben auf den Arbeitspc´s und auf dem Server befinden, das heißt, wenn der Laptop nicht im Netzwerk ist, kann der User normal arbeiten (ohne Netzlaufwerke ...) und später, wenn er dann wieder im Netzwerk ist, wird das Profil zurückgespielt bzw upgedatet.
Allerdings würde ich, wenn du nur Windows Clients verwendest das Windows interne VPN verwenden... , weil du bei der Anmeldung auswählen kannst ob er über VPN oder nicht gehen soll...
Zu der sache mit dem Exchange ... soweit ich weiß geht das eh nicht mit ner Dyndns adresse, da die meisten E-mail anbieter dies bereits nicht mehr zulassen, das heißt deine Mails kommen bei denen ihren Servern nicht an. Wenn dann brauchst du ne Feste IP und nen MX Record.
Vll hat dir das schonmal so grob geholfen.
Ne AD zu Administrieren ist auch nicht all zu schwer, Hilfe gibt es genug im Netz und du wirst irgendwann merken, dass es dir Zeit einspart (musst nicht immer zu jedem Rechner hinrennen usw.)
MFG Nemesis
Also zu deinem ersten Punkt kann ich dir schon mal soviel dazu sagen, dass du den openVPN Dienst vor dem Anmelden schon starten kannst (automatisch in den Diensten).
Die Profile kannst du einstellen, dass die sich nur auf dem Server befinden, oder das sie eben auf den Arbeitspc´s und auf dem Server befinden, das heißt, wenn der Laptop nicht im Netzwerk ist, kann der User normal arbeiten (ohne Netzlaufwerke ...) und später, wenn er dann wieder im Netzwerk ist, wird das Profil zurückgespielt bzw upgedatet.
Allerdings würde ich, wenn du nur Windows Clients verwendest das Windows interne VPN verwenden... , weil du bei der Anmeldung auswählen kannst ob er über VPN oder nicht gehen soll...
Zu der sache mit dem Exchange ... soweit ich weiß geht das eh nicht mit ner Dyndns adresse, da die meisten E-mail anbieter dies bereits nicht mehr zulassen, das heißt deine Mails kommen bei denen ihren Servern nicht an. Wenn dann brauchst du ne Feste IP und nen MX Record.
Vll hat dir das schonmal so grob geholfen.
Ne AD zu Administrieren ist auch nicht all zu schwer, Hilfe gibt es genug im Netz und du wirst irgendwann merken, dass es dir Zeit einspart (musst nicht immer zu jedem Rechner hinrennen usw.)
MFG Nemesis
Zum Thema MX Record:
Bei 1und1 zum Beipsiel kannst du deine MX Records nach Lust und Laune verändern.
Gruß
Bei 1und1 zum Beipsiel kannst du deine MX Records nach Lust und Laune verändern.
Gruß
Hi nEmEsis,
danke erstmal für die schnelle Antwort.
Der OpenVPN Server läuft bei mir schon als Dienst. Meine Frage zielte auf die Clients. Die haben ja beim Anmelden noch keine VPN Verbindung. Du schreibst ich sollte das Windows interne VPN verwenden... keine Ahnung wo man den zugehörigen Server administriert? Gehört dann wahrscheinich zum Windows Server 200x, oder?
Wenn das Profil auch lokal vorhanden ist und bei der nächsten Netzwerkverbindung upgedated wird, braucht das dann nicht ewig, wenn da was an großen Files geändert wurde? Das VPN wird doch übers Netz getunnelt. Und ich hab ne up2k/down16k ADSL Leitung.
Okay, wegen dem Exchange werde ich mich dann von der dyndns Lösung verabschieden. Allerdings sollte der Exchange Server auch ohne VPN von außen erreichbar sein. Das lässt sich doch sicher über DNS Einstellungen realisieren, oder?
Noch ne Frage wg. dem Hosting: Ich habe gelesen, dass ne WAMP Lösung da wohl zu unsicher hinsichtlich Angreifbarkeit sei. Was meinst du dazu? Falls ja, kennst du ne gute Anleitung zum Aufbau einer sichereren Lösung. Ich könnte natürlich hier suchen, aber woher weiß ich, dass die dann sicherer ist....?
Ciao
Matthias
danke erstmal für die schnelle Antwort.
Der OpenVPN Server läuft bei mir schon als Dienst. Meine Frage zielte auf die Clients. Die haben ja beim Anmelden noch keine VPN Verbindung. Du schreibst ich sollte das Windows interne VPN verwenden... keine Ahnung wo man den zugehörigen Server administriert? Gehört dann wahrscheinich zum Windows Server 200x, oder?
Wenn das Profil auch lokal vorhanden ist und bei der nächsten Netzwerkverbindung upgedated wird, braucht das dann nicht ewig, wenn da was an großen Files geändert wurde? Das VPN wird doch übers Netz getunnelt. Und ich hab ne up2k/down16k ADSL Leitung.
Okay, wegen dem Exchange werde ich mich dann von der dyndns Lösung verabschieden. Allerdings sollte der Exchange Server auch ohne VPN von außen erreichbar sein. Das lässt sich doch sicher über DNS Einstellungen realisieren, oder?
Noch ne Frage wg. dem Hosting: Ich habe gelesen, dass ne WAMP Lösung da wohl zu unsicher hinsichtlich Angreifbarkeit sei. Was meinst du dazu? Falls ja, kennst du ne gute Anleitung zum Aufbau einer sichereren Lösung. Ich könnte natürlich hier suchen, aber woher weiß ich, dass die dann sicherer ist....?
Ciao
Matthias
Hi
Also ne ich meinte das mit dem Open VPN bei den Clients... dass die vorher den Open VPN Client starten zum Server verbinden und dann die Anmeldung kommt ....
Das mit den Profilen kann man so einstellen, dass der User nur 15 Mb für sein Profil hat ... oder sogar so, dass die Profile nur abgelichen werden wenn er im LAN ist also bei dir in der Firma.
Ein VPN unter Windows 2003 oder 2008 einzustellen ist jetzt nicht wirklich schwer... also um ehrlich zu sein leichter als das von OPEN VPN.
Den Exchange kannst du so einstellen das er von überall erreichbar ist.
Ja im weitesten Sinne hat es was mit DNS zu tun, allerdings musst du dazu an deinem Router 110, 25 und anderer diverse Ports aufmachen, dass dein Exchange funktioniert...und einen MX Record eintragen lassen eine Feste IP uvm. Allerdings sollte er anständig geconft sein sonst haben wir bald noch nen Spamverteiler mehr im Internet....
JA WAMP ist wirklich zu unsicher, da er für den localen gebrauch da ist bzw. du damit deine Homepages mal eben testen kannst daheim. Wenn dann entweder den Apache richtig Konfiguriert... wobei ich da sagen muss als laie nicht unbedingt einfach ... oder du nimmst den IIS (Webserver von Windows, wirst du mit großerwahrscheinlichkeit beim Exchange auch nutzen müssen) worüber es genauso wie dem Apache (WAMP) howto´s gibt.
Aber mal ne Frage an dich
Hast du ne Ausbildung zum Sysadmin oder bist du eher derjenige der einfach mal bestimmt wurde der das jetzt macht weil er mit "PC´s umgehen" kann ...???? (nicht persönlich nehmen)
Weil das was du vorhast sollte nicht ne 0815 Lösung sein... wenn es sich hierbei um ne Firma handelt ...
Setzt dich vll erstmal mit nem Exchange auf ner VM Ware Maschine auseinander !!!! und dem IIS und vll auch dem Routing und RAS von Windows (VPN unter Windows)
Dem Active Directory und vll noch dem ISA weil das ist nicht wie ein XP das man es anklickt und es geht !!!
MFG Nemesis
PS: ich will dir da jetzt keine Angst machen aber wenn es bei euch um sensible Daten geht solltest du vll nen Admin einstellen lassen der das kann oder ne externe Dienstleistungsfirma....
Also ne ich meinte das mit dem Open VPN bei den Clients... dass die vorher den Open VPN Client starten zum Server verbinden und dann die Anmeldung kommt ....
Das mit den Profilen kann man so einstellen, dass der User nur 15 Mb für sein Profil hat ... oder sogar so, dass die Profile nur abgelichen werden wenn er im LAN ist also bei dir in der Firma.
Ein VPN unter Windows 2003 oder 2008 einzustellen ist jetzt nicht wirklich schwer... also um ehrlich zu sein leichter als das von OPEN VPN.
Den Exchange kannst du so einstellen das er von überall erreichbar ist.
Ja im weitesten Sinne hat es was mit DNS zu tun, allerdings musst du dazu an deinem Router 110, 25 und anderer diverse Ports aufmachen, dass dein Exchange funktioniert...und einen MX Record eintragen lassen eine Feste IP uvm. Allerdings sollte er anständig geconft sein sonst haben wir bald noch nen Spamverteiler mehr im Internet....
JA WAMP ist wirklich zu unsicher, da er für den localen gebrauch da ist bzw. du damit deine Homepages mal eben testen kannst daheim. Wenn dann entweder den Apache richtig Konfiguriert... wobei ich da sagen muss als laie nicht unbedingt einfach ... oder du nimmst den IIS (Webserver von Windows, wirst du mit großerwahrscheinlichkeit beim Exchange auch nutzen müssen) worüber es genauso wie dem Apache (WAMP) howto´s gibt.
Aber mal ne Frage an dich
Hast du ne Ausbildung zum Sysadmin oder bist du eher derjenige der einfach mal bestimmt wurde der das jetzt macht weil er mit "PC´s umgehen" kann ...???? (nicht persönlich nehmen)
Weil das was du vorhast sollte nicht ne 0815 Lösung sein... wenn es sich hierbei um ne Firma handelt ...
Setzt dich vll erstmal mit nem Exchange auf ner VM Ware Maschine auseinander !!!! und dem IIS und vll auch dem Routing und RAS von Windows (VPN unter Windows)
Dem Active Directory und vll noch dem ISA weil das ist nicht wie ein XP das man es anklickt und es geht !!!
MFG Nemesis
PS: ich will dir da jetzt keine Angst machen aber wenn es bei euch um sensible Daten geht solltest du vll nen Admin einstellen lassen der das kann oder ne externe Dienstleistungsfirma....
Hi,
- okay, ich werde dann wohl das Windows eigene VPN nutzen.
- Profileinstellungen: okay
- bei der Erreichbarkeit sind mir die DNS Einstellungen am wichtigsten, Portforwarding, MX Record, feste IP sind nix Neues für mich. Einen DNS Server habe ich auch schonmal geconft, hier fehlt mir nur das grosse Bild vom Domainenaufbau an sich (interne Domains vs. Internet Domain)
- habe kein Problem damit einen anderen Webserver zu nehmen, wie gesagt, dass es mit WAMP wahrscheinlich nix wird wg. Sicherheitsaspekten hatte ich ja schon vermutet
- zu der Ausbildungsfrage: Erstmal danke für deinen ehrlichen Post. Um es klar zu sagen: Nein ich habe keine Sysadmin Ausbildung. Allerdings kann ich mehr "als mit PCs umgehen". Vor allem tendiere ich nicht zu Schnellschüssen hinsichtlich Aenderungen/Erweiterungen an unserer IT, habe ich eine eher zu kritische Einstellung bei Sicherheitsaspekten, einen gesunden Menschenverstand und viel und lange Erfahrung im professionellen Umfeld von Software Engineering, SAP Basisbetrieb, etc. Allerdings eben nicht in Sachen Administrierung von Directories. Um es kurz zu machen. Ich geh hier keineswegs blauäugig ran.
- Noch zwei Fragen zu Hardware VPN Routern:
- In welchen Fall lohnen die sich?
- Unterstützen die ggf. das Windows eigenen VPN?
Grüsse
Matthias
- okay, ich werde dann wohl das Windows eigene VPN nutzen.
- Profileinstellungen: okay
- bei der Erreichbarkeit sind mir die DNS Einstellungen am wichtigsten, Portforwarding, MX Record, feste IP sind nix Neues für mich. Einen DNS Server habe ich auch schonmal geconft, hier fehlt mir nur das grosse Bild vom Domainenaufbau an sich (interne Domains vs. Internet Domain)
- habe kein Problem damit einen anderen Webserver zu nehmen, wie gesagt, dass es mit WAMP wahrscheinlich nix wird wg. Sicherheitsaspekten hatte ich ja schon vermutet
- zu der Ausbildungsfrage: Erstmal danke für deinen ehrlichen Post. Um es klar zu sagen: Nein ich habe keine Sysadmin Ausbildung. Allerdings kann ich mehr "als mit PCs umgehen". Vor allem tendiere ich nicht zu Schnellschüssen hinsichtlich Aenderungen/Erweiterungen an unserer IT, habe ich eine eher zu kritische Einstellung bei Sicherheitsaspekten, einen gesunden Menschenverstand und viel und lange Erfahrung im professionellen Umfeld von Software Engineering, SAP Basisbetrieb, etc. Allerdings eben nicht in Sachen Administrierung von Directories. Um es kurz zu machen. Ich geh hier keineswegs blauäugig ran.
- Noch zwei Fragen zu Hardware VPN Routern:
- In welchen Fall lohnen die sich?
- Unterstützen die ggf. das Windows eigenen VPN?
Grüsse
Matthias
- In welchen Fall lohnen die sich?
A: Immer, denn sie machen dich unabhängig von der Verfügbarkeit der Server und bilden die VPN Funktion da ab wo sie hingehört, nämlich auf die Netzwerk Infrastruktur !
- Unterstützen die ggf. das Windows eigenen VPN?
A: Generell JA. Modelle von Draytek z.B. supporten das problemlos !
VPNs einrichten mit PPTP
Der OpenVPN Client kann das aber auch...
A: Immer, denn sie machen dich unabhängig von der Verfügbarkeit der Server und bilden die VPN Funktion da ab wo sie hingehört, nämlich auf die Netzwerk Infrastruktur !
- Unterstützen die ggf. das Windows eigenen VPN?
A: Generell JA. Modelle von Draytek z.B. supporten das problemlos !
VPNs einrichten mit PPTP
Der OpenVPN Client kann das aber auch...
