fkrr56
Goto Top

Aussenstellen sollen auf Zeiterfassung extern zugreifen können

Hallo, wir haben intern eine Zeiterfassung inkl. Zeiterfassungsterminal.
5 Aussenstellen sollen in Zukunft Online auf dieses Terminal bzw. den Web-Client des Termninals zugreifen können, um Online zu buchen etc.

Im Bestand haben wir einen Terminal-Server, der diesen Web-Client u.a. hat, jedoch nur für die Führungsetage dienen soll.
Per Remote komme ich auf diesen TS, jedoch können dann die externen Mitarbeiten alles andere (obwohl keine Rechte!) sehen, was nicht sein soll.

Meine Frage: Wie komme ich trotzdem auf den Web-Client der Zeiterfassungsmaschine, wo also nur ein Browser mit der IP des Web-Client erscheint?
(Bsp.: http://192.168.x.x und dann erscheint das Login der Zeiterfasung).

Danke Vorab.

Content-ID: 366792

Url: https://administrator.de/forum/aussenstellen-sollen-auf-zeiterfassung-extern-zugreifen-koennen-366792.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

em-pie
em-pie 03.03.2018 aktualisiert um 10:37:51 Uhr
Goto Top
Moin,

Das einfachste wäre :
  • VPN-Tunnel vom Smartphone zur Company aufbauen
  • interne URL aufrufen
  • stempeln
  • VPN-Tunnel trennen...

Optimal wäre, den Hersteller konsultieren, ob er eine sichere App im Portfolio hat. Den Webdienst der PZE dann "öffentlich" (und abgesichert!!!!) bereitstellen und via App dann alle stempeln lassen...

Gruß
em-pie
wiesi200
wiesi200 03.03.2018 um 12:32:35 Uhr
Goto Top
Hallo,

Ich verstehe jetzt grad nicht wie ein Terminalserver einen Web Client "hat"?
Ein Web Client ist doch dafür da das ich Rechnerunabhängig auf einen Dienst zugreifen kann. Somit brauchst du nur einen PC mit Browser, vermutlich wird ein Raspberry reichen. Es gibt aber hier auch fertige Panel PC's und Touch. Dazu noch einen VPN Tunnel aufbauen und das sollte Funktionieren.
Aber wie schon geschrieben der Hersteller der Software kann Sicher mehr dazu sagen.
FKRR56
FKRR56 04.03.2018 aktualisiert um 18:35:54 Uhr
Goto Top
Hallo und Danke erst einmal.
Mit web-Client ist gemeint, das lt. Hersteller ein Browser-Link anzulegen ist (http://192.168.x.x) und darüber können sich die MA anmelden.
Dieser Link ist bereits auf unserem TS hinterlegt und funktioniert auch so, aber ich müsste allem MA Zugang zum TS geben, was nicht sein soll, aber die MA sollen per extern auf diese Adresse zugreifen können. Diese Adresse ist auch gleichzeitig die IP des DS-Servers, jedoch der Link schaltet sich nur auf die Zeiterfassung und das klappt auch. Ich weiß i.M. nicht, wie ich ein Remote oder VPN direkt auf diesen DS-Server schalten soll, kann es i.M. nur über die Remote-IP des Routers...gleiches gilt für E-Mails per Exchange und Smartphone...Sorry, aber etwas verwirrt...VG
wiesi200
wiesi200 04.03.2018 um 18:44:05 Uhr
Goto Top
Ruf doch einfach mal über irgend einen anderen Rechner (nicht den Terminal Server) den Browser Link aus, dann solltest du dich auch an deiner Zeit Erfassung anmelden können, zumindest ist das der Sinn eines Web Clients. Somit hast du dann festgestellt das eben nicht jeder Zugänge zu deinem Terminal Server braucht.

VPN, schon mal gehört? Entweder du verbindest 2 Router miteinander, damit kannst du von Standort 1 auf alles vom Standort 2 zugreifen (wenn entsprechend eingerichtet) zugreifen als währst du im Standort 2. Oder du verbindest ein Endgerät mit dem Router vom Hauptstandort und kannst von überall auf die Ressourcen zugreifen als währst du am Hauptstandort.

So verwirrend ist das eigentlich nicht
FKRR56
FKRR56 04.03.2018 um 19:32:40 Uhr
Goto Top
Klappt von überall, aber nicht von extern....
VPN klappt auch nicht, habe aber i.M. keinen 2. Router...
wiesi200
wiesi200 04.03.2018 um 19:40:30 Uhr
Goto Top
Zitat von @FKRR56:

VPN klappt auch nicht, habe aber i.M. keinen 2. Router...

Und warum klappt VPN nicht? Nutzt ihr das bereits?
Was wurde da eingerichtet? Hast du das eingerichten, schon mal mit dem geredet der das bei euch gemacht hat bzw. der derfür verantwortlich ist?

Bei 5 festen Außenstellen sollte ihr doch pro Standort einen eigenen Router haben. Hier sollte man dann auf geeignete VPN Router wechseln falls nicht vorhanden.
wiesi200
wiesi200 04.03.2018 um 19:45:21 Uhr
Goto Top
Was soll eigentlich "i.M." bedeuten?
FKRR56
FKRR56 04.03.2018 um 20:03:21 Uhr
Goto Top
i.M. heißt "im Moment"!
Die 5 Aussenstellen haben einen eigenen Router.
Unser VPN funktionierte auch schon mal, aber durch eine Servermigration (?) plötzlich nicht mehr.
Wie gesagt, per Remote über IP-Adresse des Routers komme ich auf den TS, aber per VPN nicht, imm die mMeldung ...RAS konnte nicht ausfindig gemacht werden...!Meiner Meinung nach haben wir aber nicjzts weiter geändert...
em-pie
em-pie 04.03.2018, aktualisiert am 05.03.2018 um 09:33:39 Uhr
Goto Top
Hmm... Wer ist denn bei euch für die IT zuständig?
Wenn es keinen gibt, holt euch Fachpersonal dafür. Manche Leute betreiben ganze Firmen, um anderen Unternehmen, die keine Zeit/ Geld haben, eigenes Personal zu beschäftigen, die IT-Themen sicher und fachgerecht zu etablieren.
Ist nicht böse gemeint, aber bevor das alles in die Buchse geht....

RAS nicht verfügbar klingt danach, als wenn jemand "damals" VPN via Microsoft-Server eingerichtet hat (gruselig)...

Was steht bei euch Vorort für ein Router (Hersteller/ Modell)?

€dit:
Typo
wiesi200
wiesi200 04.03.2018 um 20:55:17 Uhr
Goto Top
Also den Remotedesktop direkt ohne VPN frei geschalten finde ich extrem Fragwürdig.

Du brauchst für das Hauptbüro und deine Außenstellen jeweils einen vernünftigen VPN Router, wenn nicht schon vorhanden aber nicht genutzt. Die lässt du dir dann von einem vernünftigen Dienstleister einrichten, und nein ich selber bin kein Dienstleister und nehme sowas so gut wie nie in Anspruch. Nur dann hast du eine saubere und sichere Konfiguration, die auch problemlos funktioniert

Sorry aber alles andere währe fahrlässig und du würdest dir damit selber und der Firma keinen Gefallen tun. Kostet zwar etwas Geld, aber dann habt ihr Ruhe.
FKRR56
FKRR56 04.03.2018 um 22:07:39 Uhr
Goto Top
Danke - es stehen Fritzbox 7490 und 7590 zur Verfügung (am Hauptstandort und 1 Aussenstelle), alle anderen haben Vodafone-Router.
certifiedit.net
certifiedit.net 04.03.2018 um 22:19:49 Uhr
Goto Top
Nutzer auf die TS zulassen und entsprechende Rechte geben, VPN Zugriff, welcher nur X kann. Aber ohne genaue Daten zur Sw ist das nur mutmaßung. Gerne mehr Details/Abklärung per PN. Gerne auch zur Unterstützung beim Rechte/VPN Konzept

VG
FKRR56
FKRR56 04.03.2018 um 22:24:31 Uhr
Goto Top
Wäre toll, wenn ich Unterstützung bekäme, ich mache das freiwillig und mit einigen Kenntnissen, haben aber keine IT-DL! VG
em-pie
em-pie 05.03.2018 aktualisiert um 09:32:35 Uhr
Goto Top
Deine Initiative in allen Ehren (ernst und pos. gemeint!) aber das hat auch haftungstechnische Gründe.
Wer haftet denn/ wird zur Rechenschaft gezogen, wenn aufgrund einer Fehlkonfiguration (aufgrund von Unwissenheit) ein IT-Einbruch passiert und über euren Anschluss illegales Zeug statt findet? Wenn über euren Anschluss Kin...por... heruntergeladen/ angeboten werden, stehst du da erstmal in der Schusslinie... Vom Imageschaden, wenn das publik wird, mal ganz abgesehen.

Das ist wie gesagt nicht böse gemeint, soll dich/ euch eher vor Problemen schützen....

€dit:
Typo
FKRR56
FKRR56 05.03.2018 um 09:06:56 Uhr
Goto Top
Alles verstanden und es ist ja auch noch nichts passiert, aber ich dachte hier bekommt man unbürokratisch und evtl. schnelle Hilfe. Meist sind es jedoch nur hinweisende Ratschläge, welche ich auch kenne und recherchieren kann. Aber i.O., werde es schon irgendwann packen...Danke trotzdem...MfG
wiesi200
wiesi200 05.03.2018 um 09:20:04 Uhr
Goto Top
Das problem ist hier einfach weil die Baustelle zu groß ist und du sehr spartanisch bist was Informationen betrifft.

Jemandem der schon mal einen Schraubenschlüssel in der Hand hatte kann man auch schlecht, so kurz nebenbei, am Telefon erklären wie man einen Automotor zusammenbaut.

Ich sag überall vernünfige VPN Router hin. Ein paar Site-2-Site Tunnel aufbauen und das mit dem Terminalserver vergessen.
Möglichkeiten wie man das genau umsetzt gibt es viele.
em-pie
em-pie 05.03.2018 aktualisiert um 09:28:06 Uhr
Goto Top
Du hast doch hier unbürokratisch Hilfe bekommen:
  • alle Standorte via VPN vernetzen (und zwar direkt an den Routern)
  • statische Routen setzen (sofern erforderlich), sodass man auch von Standort 3 über Standort 1 auf Standort 2 zugreifen kann
  • aus den Standorten dann die interne IP des Webservers der PZE aufrufen, ohne sich erst auf den TS einzuwählen
Fertig.

Die FritzBoxen sind vermutlich kein Problem, die können Site-2-Site, für die Vodafone-Schüsseln wirst du vermutlich noch einen VPN-Server dahintersetzen müssen oder diese bei Zeiten auch mal austauschen, was zu empfehlen wäre. Dann aber keine FritzBox nehmen, sondern im Idealfall etwas ausgewachsenes. z.B. ein A-/V-DSL Modem von Allnet oder Draytek Vigor 130 und dahinter eine pfSense mit einem APU-Board.

Hilfe-Links:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software


Und bzgl. eurers TS: Deinen Posts nach zu Urteilen klingt das so, als wenn ihr am Standort A einfach ein nacktes Portforwarding für den Port 3389 gemacht habt, so dass ihr beim Aufruf eurer öffentlichen IP/ eines DynDNS-Namens direkt auf dem Server seid. Und das ist ein erhöhtes Sicherheitsrisiko, da so auch andere Leute per IP-Scan den Server versuchen können, zu kompromitieren -> Da wäre mir ein Zugriff der Außenstellen auf den TS lieber, denn da weiss ich, wem ich im Zweifel die Hammelbeine langziehen müsste face-wink

€dit: Typo
FKRR56
FKRR56 05.03.2018 um 09:24:47 Uhr
Goto Top
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
FKRR56
FKRR56 05.03.2018 aktualisiert um 09:27:01 Uhr
Goto Top
Ja Danke und das klingt gut - werde ich so versuchen...VG und Danke auch für die doch tollen Hinweise...
wiesi200
Lösung wiesi200 05.03.2018 um 09:45:08 Uhr
Goto Top
Zitat von @FKRR56:

Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG

NaJa, ne große Investion muss es nicht unbedingt sein. Wie schon geschrieben, pfSense mit nem kleinen Board kostet nicht die Welt.
Klar gibt es auch schönere Lösungen die bequemer zu verwalten sind. Da muss man dann Kosten Arbeitszeit mit Anschaffungskosten hochrechnen.