Aussenstellen sollen auf Zeiterfassung extern zugreifen können
Hallo, wir haben intern eine Zeiterfassung inkl. Zeiterfassungsterminal.
5 Aussenstellen sollen in Zukunft Online auf dieses Terminal bzw. den Web-Client des Termninals zugreifen können, um Online zu buchen etc.
Im Bestand haben wir einen Terminal-Server, der diesen Web-Client u.a. hat, jedoch nur für die Führungsetage dienen soll.
Per Remote komme ich auf diesen TS, jedoch können dann die externen Mitarbeiten alles andere (obwohl keine Rechte!) sehen, was nicht sein soll.
Meine Frage: Wie komme ich trotzdem auf den Web-Client der Zeiterfassungsmaschine, wo also nur ein Browser mit der IP des Web-Client erscheint?
(Bsp.: http://192.168.x.x und dann erscheint das Login der Zeiterfasung).
Danke Vorab.
5 Aussenstellen sollen in Zukunft Online auf dieses Terminal bzw. den Web-Client des Termninals zugreifen können, um Online zu buchen etc.
Im Bestand haben wir einen Terminal-Server, der diesen Web-Client u.a. hat, jedoch nur für die Führungsetage dienen soll.
Per Remote komme ich auf diesen TS, jedoch können dann die externen Mitarbeiten alles andere (obwohl keine Rechte!) sehen, was nicht sein soll.
Meine Frage: Wie komme ich trotzdem auf den Web-Client der Zeiterfassungsmaschine, wo also nur ein Browser mit der IP des Web-Client erscheint?
(Bsp.: http://192.168.x.x und dann erscheint das Login der Zeiterfasung).
Danke Vorab.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366792
Url: https://administrator.de/forum/aussenstellen-sollen-auf-zeiterfassung-extern-zugreifen-koennen-366792.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Das einfachste wäre :
Optimal wäre, den Hersteller konsultieren, ob er eine sichere App im Portfolio hat. Den Webdienst der PZE dann "öffentlich" (und abgesichert!!!!) bereitstellen und via App dann alle stempeln lassen...
Gruß
em-pie
Das einfachste wäre :
- VPN-Tunnel vom Smartphone zur Company aufbauen
- interne URL aufrufen
- stempeln
- VPN-Tunnel trennen...
Optimal wäre, den Hersteller konsultieren, ob er eine sichere App im Portfolio hat. Den Webdienst der PZE dann "öffentlich" (und abgesichert!!!!) bereitstellen und via App dann alle stempeln lassen...
Gruß
em-pie
Hallo,
Ich verstehe jetzt grad nicht wie ein Terminalserver einen Web Client "hat"?
Ein Web Client ist doch dafür da das ich Rechnerunabhängig auf einen Dienst zugreifen kann. Somit brauchst du nur einen PC mit Browser, vermutlich wird ein Raspberry reichen. Es gibt aber hier auch fertige Panel PC's und Touch. Dazu noch einen VPN Tunnel aufbauen und das sollte Funktionieren.
Aber wie schon geschrieben der Hersteller der Software kann Sicher mehr dazu sagen.
Ich verstehe jetzt grad nicht wie ein Terminalserver einen Web Client "hat"?
Ein Web Client ist doch dafür da das ich Rechnerunabhängig auf einen Dienst zugreifen kann. Somit brauchst du nur einen PC mit Browser, vermutlich wird ein Raspberry reichen. Es gibt aber hier auch fertige Panel PC's und Touch. Dazu noch einen VPN Tunnel aufbauen und das sollte Funktionieren.
Aber wie schon geschrieben der Hersteller der Software kann Sicher mehr dazu sagen.
Ruf doch einfach mal über irgend einen anderen Rechner (nicht den Terminal Server) den Browser Link aus, dann solltest du dich auch an deiner Zeit Erfassung anmelden können, zumindest ist das der Sinn eines Web Clients. Somit hast du dann festgestellt das eben nicht jeder Zugänge zu deinem Terminal Server braucht.
VPN, schon mal gehört? Entweder du verbindest 2 Router miteinander, damit kannst du von Standort 1 auf alles vom Standort 2 zugreifen (wenn entsprechend eingerichtet) zugreifen als währst du im Standort 2. Oder du verbindest ein Endgerät mit dem Router vom Hauptstandort und kannst von überall auf die Ressourcen zugreifen als währst du am Hauptstandort.
So verwirrend ist das eigentlich nicht
VPN, schon mal gehört? Entweder du verbindest 2 Router miteinander, damit kannst du von Standort 1 auf alles vom Standort 2 zugreifen (wenn entsprechend eingerichtet) zugreifen als währst du im Standort 2. Oder du verbindest ein Endgerät mit dem Router vom Hauptstandort und kannst von überall auf die Ressourcen zugreifen als währst du am Hauptstandort.
So verwirrend ist das eigentlich nicht
Und warum klappt VPN nicht? Nutzt ihr das bereits?
Was wurde da eingerichtet? Hast du das eingerichten, schon mal mit dem geredet der das bei euch gemacht hat bzw. der derfür verantwortlich ist?
Bei 5 festen Außenstellen sollte ihr doch pro Standort einen eigenen Router haben. Hier sollte man dann auf geeignete VPN Router wechseln falls nicht vorhanden.
Hmm... Wer ist denn bei euch für die IT zuständig?
Wenn es keinen gibt, holt euch Fachpersonal dafür. Manche Leute betreiben ganze Firmen, um anderen Unternehmen, die keine Zeit/ Geld haben, eigenes Personal zu beschäftigen, die IT-Themen sicher und fachgerecht zu etablieren.
Ist nicht böse gemeint, aber bevor das alles in die Buchse geht....
RAS nicht verfügbar klingt danach, als wenn jemand "damals" VPN via Microsoft-Server eingerichtet hat (gruselig)...
Was steht bei euch Vorort für ein Router (Hersteller/ Modell)?
€dit:
Typo
Wenn es keinen gibt, holt euch Fachpersonal dafür. Manche Leute betreiben ganze Firmen, um anderen Unternehmen, die keine Zeit/ Geld haben, eigenes Personal zu beschäftigen, die IT-Themen sicher und fachgerecht zu etablieren.
Ist nicht böse gemeint, aber bevor das alles in die Buchse geht....
RAS nicht verfügbar klingt danach, als wenn jemand "damals" VPN via Microsoft-Server eingerichtet hat (gruselig)...
Was steht bei euch Vorort für ein Router (Hersteller/ Modell)?
€dit:
Typo
Also den Remotedesktop direkt ohne VPN frei geschalten finde ich extrem Fragwürdig.
Du brauchst für das Hauptbüro und deine Außenstellen jeweils einen vernünftigen VPN Router, wenn nicht schon vorhanden aber nicht genutzt. Die lässt du dir dann von einem vernünftigen Dienstleister einrichten, und nein ich selber bin kein Dienstleister und nehme sowas so gut wie nie in Anspruch. Nur dann hast du eine saubere und sichere Konfiguration, die auch problemlos funktioniert
Sorry aber alles andere währe fahrlässig und du würdest dir damit selber und der Firma keinen Gefallen tun. Kostet zwar etwas Geld, aber dann habt ihr Ruhe.
Du brauchst für das Hauptbüro und deine Außenstellen jeweils einen vernünftigen VPN Router, wenn nicht schon vorhanden aber nicht genutzt. Die lässt du dir dann von einem vernünftigen Dienstleister einrichten, und nein ich selber bin kein Dienstleister und nehme sowas so gut wie nie in Anspruch. Nur dann hast du eine saubere und sichere Konfiguration, die auch problemlos funktioniert
Sorry aber alles andere währe fahrlässig und du würdest dir damit selber und der Firma keinen Gefallen tun. Kostet zwar etwas Geld, aber dann habt ihr Ruhe.
Deine Initiative in allen Ehren (ernst und pos. gemeint!) aber das hat auch haftungstechnische Gründe.
Wer haftet denn/ wird zur Rechenschaft gezogen, wenn aufgrund einer Fehlkonfiguration (aufgrund von Unwissenheit) ein IT-Einbruch passiert und über euren Anschluss illegales Zeug statt findet? Wenn über euren Anschluss Kin...por... heruntergeladen/ angeboten werden, stehst du da erstmal in der Schusslinie... Vom Imageschaden, wenn das publik wird, mal ganz abgesehen.
Das ist wie gesagt nicht böse gemeint, soll dich/ euch eher vor Problemen schützen....
€dit:
Typo
Wer haftet denn/ wird zur Rechenschaft gezogen, wenn aufgrund einer Fehlkonfiguration (aufgrund von Unwissenheit) ein IT-Einbruch passiert und über euren Anschluss illegales Zeug statt findet? Wenn über euren Anschluss Kin...por... heruntergeladen/ angeboten werden, stehst du da erstmal in der Schusslinie... Vom Imageschaden, wenn das publik wird, mal ganz abgesehen.
Das ist wie gesagt nicht böse gemeint, soll dich/ euch eher vor Problemen schützen....
€dit:
Typo
Das problem ist hier einfach weil die Baustelle zu groß ist und du sehr spartanisch bist was Informationen betrifft.
Jemandem der schon mal einen Schraubenschlüssel in der Hand hatte kann man auch schlecht, so kurz nebenbei, am Telefon erklären wie man einen Automotor zusammenbaut.
Ich sag überall vernünfige VPN Router hin. Ein paar Site-2-Site Tunnel aufbauen und das mit dem Terminalserver vergessen.
Möglichkeiten wie man das genau umsetzt gibt es viele.
Jemandem der schon mal einen Schraubenschlüssel in der Hand hatte kann man auch schlecht, so kurz nebenbei, am Telefon erklären wie man einen Automotor zusammenbaut.
Ich sag überall vernünfige VPN Router hin. Ein paar Site-2-Site Tunnel aufbauen und das mit dem Terminalserver vergessen.
Möglichkeiten wie man das genau umsetzt gibt es viele.
Du hast doch hier unbürokratisch Hilfe bekommen:
Die FritzBoxen sind vermutlich kein Problem, die können Site-2-Site, für die Vodafone-Schüsseln wirst du vermutlich noch einen VPN-Server dahintersetzen müssen oder diese bei Zeiten auch mal austauschen, was zu empfehlen wäre. Dann aber keine FritzBox nehmen, sondern im Idealfall etwas ausgewachsenes. z.B. ein A-/V-DSL Modem von Allnet oder Draytek Vigor 130 und dahinter eine pfSense mit einem APU-Board.
Hilfe-Links:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Und bzgl. eurers TS: Deinen Posts nach zu Urteilen klingt das so, als wenn ihr am Standort A einfach ein nacktes Portforwarding für den Port 3389 gemacht habt, so dass ihr beim Aufruf eurer öffentlichen IP/ eines DynDNS-Namens direkt auf dem Server seid. Und das ist ein erhöhtes Sicherheitsrisiko, da so auch andere Leute per IP-Scan den Server versuchen können, zu kompromitieren -> Da wäre mir ein Zugriff der Außenstellen auf den TS lieber, denn da weiss ich, wem ich im Zweifel die Hammelbeine langziehen müsste
€dit: Typo
- alle Standorte via VPN vernetzen (und zwar direkt an den Routern)
- statische Routen setzen (sofern erforderlich), sodass man auch von Standort 3 über Standort 1 auf Standort 2 zugreifen kann
- aus den Standorten dann die interne IP des Webservers der PZE aufrufen, ohne sich erst auf den TS einzuwählen
Die FritzBoxen sind vermutlich kein Problem, die können Site-2-Site, für die Vodafone-Schüsseln wirst du vermutlich noch einen VPN-Server dahintersetzen müssen oder diese bei Zeiten auch mal austauschen, was zu empfehlen wäre. Dann aber keine FritzBox nehmen, sondern im Idealfall etwas ausgewachsenes. z.B. ein A-/V-DSL Modem von Allnet oder Draytek Vigor 130 und dahinter eine pfSense mit einem APU-Board.
Hilfe-Links:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Und bzgl. eurers TS: Deinen Posts nach zu Urteilen klingt das so, als wenn ihr am Standort A einfach ein nacktes Portforwarding für den Port 3389 gemacht habt, so dass ihr beim Aufruf eurer öffentlichen IP/ eines DynDNS-Namens direkt auf dem Server seid. Und das ist ein erhöhtes Sicherheitsrisiko, da so auch andere Leute per IP-Scan den Server versuchen können, zu kompromitieren -> Da wäre mir ein Zugriff der Außenstellen auf den TS lieber, denn da weiss ich, wem ich im Zweifel die Hammelbeine langziehen müsste
€dit: Typo
Zitat von @FKRR56:
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
NaJa, ne große Investion muss es nicht unbedingt sein. Wie schon geschrieben, pfSense mit nem kleinen Board kostet nicht die Welt.
Klar gibt es auch schönere Lösungen die bequemer zu verwalten sind. Da muss man dann Kosten Arbeitszeit mit Anschaffungskosten hochrechnen.