20
Aussenstellen sollen auf Zeiterfassung extern zugreifen können
Hallo, wir haben intern eine Zeiterfassung inkl. Zeiterfassungsterminal.
5 Aussenstellen sollen in Zukunft Online auf dieses Terminal bzw. den Web-Client des Termninals zugreifen können, um Online zu buchen etc.
Im Bestand haben wir einen Terminal-Server, der diesen Web-Client u.a. hat, jedoch nur für die Führungsetage dienen soll.
Per Remote komme ich auf diesen TS, jedoch können dann die externen Mitarbeiten alles andere (obwohl keine Rechte!) sehen, was nicht sein soll.
Meine Frage: Wie komme ich trotzdem auf den Web-Client der Zeiterfassungsmaschine, wo also nur ein Browser mit der IP des Web-Client erscheint?
(Bsp.: http://192.168.x.x und dann erscheint das Login der Zeiterfasung).
Danke Vorab.
5 Aussenstellen sollen in Zukunft Online auf dieses Terminal bzw. den Web-Client des Termninals zugreifen können, um Online zu buchen etc.
Im Bestand haben wir einen Terminal-Server, der diesen Web-Client u.a. hat, jedoch nur für die Führungsetage dienen soll.
Per Remote komme ich auf diesen TS, jedoch können dann die externen Mitarbeiten alles andere (obwohl keine Rechte!) sehen, was nicht sein soll.
Meine Frage: Wie komme ich trotzdem auf den Web-Client der Zeiterfassungsmaschine, wo also nur ein Browser mit der IP des Web-Client erscheint?
(Bsp.: http://192.168.x.x und dann erscheint das Login der Zeiterfasung).
Danke Vorab.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366792
Url: https://administrator.de/contentid/366792
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Das einfachste wäre :
Optimal wäre, den Hersteller konsultieren, ob er eine sichere App im Portfolio hat. Den Webdienst der PZE dann "öffentlich" (und abgesichert!!!!) bereitstellen und via App dann alle stempeln lassen...
Gruß
em-pie
Das einfachste wäre :
- VPN-Tunnel vom Smartphone zur Company aufbauen
- interne URL aufrufen
- stempeln
- VPN-Tunnel trennen...
Optimal wäre, den Hersteller konsultieren, ob er eine sichere App im Portfolio hat. Den Webdienst der PZE dann "öffentlich" (und abgesichert!!!!) bereitstellen und via App dann alle stempeln lassen...
Gruß
em-pie
Hallo,
Ich verstehe jetzt grad nicht wie ein Terminalserver einen Web Client "hat"?
Ein Web Client ist doch dafür da das ich Rechnerunabhängig auf einen Dienst zugreifen kann. Somit brauchst du nur einen PC mit Browser, vermutlich wird ein Raspberry reichen. Es gibt aber hier auch fertige Panel PC's und Touch. Dazu noch einen VPN Tunnel aufbauen und das sollte Funktionieren.
Aber wie schon geschrieben der Hersteller der Software kann Sicher mehr dazu sagen.
Ich verstehe jetzt grad nicht wie ein Terminalserver einen Web Client "hat"?
Ein Web Client ist doch dafür da das ich Rechnerunabhängig auf einen Dienst zugreifen kann. Somit brauchst du nur einen PC mit Browser, vermutlich wird ein Raspberry reichen. Es gibt aber hier auch fertige Panel PC's und Touch. Dazu noch einen VPN Tunnel aufbauen und das sollte Funktionieren.
Aber wie schon geschrieben der Hersteller der Software kann Sicher mehr dazu sagen.
Hallo und Danke erst einmal.
Mit web-Client ist gemeint, das lt. Hersteller ein Browser-Link anzulegen ist (http://192.168.x.x) und darüber können sich die MA anmelden.
Dieser Link ist bereits auf unserem TS hinterlegt und funktioniert auch so, aber ich müsste allem MA Zugang zum TS geben, was nicht sein soll, aber die MA sollen per extern auf diese Adresse zugreifen können. Diese Adresse ist auch gleichzeitig die IP des DS-Servers, jedoch der Link schaltet sich nur auf die Zeiterfassung und das klappt auch. Ich weiß i.M. nicht, wie ich ein Remote oder VPN direkt auf diesen DS-Server schalten soll, kann es i.M. nur über die Remote-IP des Routers...gleiches gilt für E-Mails per Exchange und Smartphone...Sorry, aber etwas verwirrt...VG
Mit web-Client ist gemeint, das lt. Hersteller ein Browser-Link anzulegen ist (http://192.168.x.x) und darüber können sich die MA anmelden.
Dieser Link ist bereits auf unserem TS hinterlegt und funktioniert auch so, aber ich müsste allem MA Zugang zum TS geben, was nicht sein soll, aber die MA sollen per extern auf diese Adresse zugreifen können. Diese Adresse ist auch gleichzeitig die IP des DS-Servers, jedoch der Link schaltet sich nur auf die Zeiterfassung und das klappt auch. Ich weiß i.M. nicht, wie ich ein Remote oder VPN direkt auf diesen DS-Server schalten soll, kann es i.M. nur über die Remote-IP des Routers...gleiches gilt für E-Mails per Exchange und Smartphone...Sorry, aber etwas verwirrt...VG
Ruf doch einfach mal über irgend einen anderen Rechner (nicht den Terminal Server) den Browser Link aus, dann solltest du dich auch an deiner Zeit Erfassung anmelden können, zumindest ist das der Sinn eines Web Clients. Somit hast du dann festgestellt das eben nicht jeder Zugänge zu deinem Terminal Server braucht.
VPN, schon mal gehört? Entweder du verbindest 2 Router miteinander, damit kannst du von Standort 1 auf alles vom Standort 2 zugreifen (wenn entsprechend eingerichtet) zugreifen als währst du im Standort 2. Oder du verbindest ein Endgerät mit dem Router vom Hauptstandort und kannst von überall auf die Ressourcen zugreifen als währst du am Hauptstandort.
So verwirrend ist das eigentlich nicht
VPN, schon mal gehört? Entweder du verbindest 2 Router miteinander, damit kannst du von Standort 1 auf alles vom Standort 2 zugreifen (wenn entsprechend eingerichtet) zugreifen als währst du im Standort 2. Oder du verbindest ein Endgerät mit dem Router vom Hauptstandort und kannst von überall auf die Ressourcen zugreifen als währst du am Hauptstandort.
So verwirrend ist das eigentlich nicht
Klappt von überall, aber nicht von extern....
VPN klappt auch nicht, habe aber i.M. keinen 2. Router...
VPN klappt auch nicht, habe aber i.M. keinen 2. Router...
Und warum klappt VPN nicht? Nutzt ihr das bereits?
Was wurde da eingerichtet? Hast du das eingerichten, schon mal mit dem geredet der das bei euch gemacht hat bzw. der derfür verantwortlich ist?
Bei 5 festen Außenstellen sollte ihr doch pro Standort einen eigenen Router haben. Hier sollte man dann auf geeignete VPN Router wechseln falls nicht vorhanden.
Was soll eigentlich "i.M." bedeuten?
i.M. heißt "im Moment"!
Die 5 Aussenstellen haben einen eigenen Router.
Unser VPN funktionierte auch schon mal, aber durch eine Servermigration (?) plötzlich nicht mehr.
Wie gesagt, per Remote über IP-Adresse des Routers komme ich auf den TS, aber per VPN nicht, imm die mMeldung ...RAS konnte nicht ausfindig gemacht werden...!Meiner Meinung nach haben wir aber nicjzts weiter geändert...
Die 5 Aussenstellen haben einen eigenen Router.
Unser VPN funktionierte auch schon mal, aber durch eine Servermigration (?) plötzlich nicht mehr.
Wie gesagt, per Remote über IP-Adresse des Routers komme ich auf den TS, aber per VPN nicht, imm die mMeldung ...RAS konnte nicht ausfindig gemacht werden...!Meiner Meinung nach haben wir aber nicjzts weiter geändert...
Hmm... Wer ist denn bei euch für die IT zuständig?
Wenn es keinen gibt, holt euch Fachpersonal dafür. Manche Leute betreiben ganze Firmen, um anderen Unternehmen, die keine Zeit/ Geld haben, eigenes Personal zu beschäftigen, die IT-Themen sicher und fachgerecht zu etablieren.
Ist nicht böse gemeint, aber bevor das alles in die Buchse geht....
RAS nicht verfügbar klingt danach, als wenn jemand "damals" VPN via Microsoft-Server eingerichtet hat (gruselig)...
Was steht bei euch Vorort für ein Router (Hersteller/ Modell)?
€dit:
Typo
Wenn es keinen gibt, holt euch Fachpersonal dafür. Manche Leute betreiben ganze Firmen, um anderen Unternehmen, die keine Zeit/ Geld haben, eigenes Personal zu beschäftigen, die IT-Themen sicher und fachgerecht zu etablieren.
Ist nicht böse gemeint, aber bevor das alles in die Buchse geht....
RAS nicht verfügbar klingt danach, als wenn jemand "damals" VPN via Microsoft-Server eingerichtet hat (gruselig)...
Was steht bei euch Vorort für ein Router (Hersteller/ Modell)?
€dit:
Typo
Also den Remotedesktop direkt ohne VPN frei geschalten finde ich extrem Fragwürdig.
Du brauchst für das Hauptbüro und deine Außenstellen jeweils einen vernünftigen VPN Router, wenn nicht schon vorhanden aber nicht genutzt. Die lässt du dir dann von einem vernünftigen Dienstleister einrichten, und nein ich selber bin kein Dienstleister und nehme sowas so gut wie nie in Anspruch. Nur dann hast du eine saubere und sichere Konfiguration, die auch problemlos funktioniert
Sorry aber alles andere währe fahrlässig und du würdest dir damit selber und der Firma keinen Gefallen tun. Kostet zwar etwas Geld, aber dann habt ihr Ruhe.
Du brauchst für das Hauptbüro und deine Außenstellen jeweils einen vernünftigen VPN Router, wenn nicht schon vorhanden aber nicht genutzt. Die lässt du dir dann von einem vernünftigen Dienstleister einrichten, und nein ich selber bin kein Dienstleister und nehme sowas so gut wie nie in Anspruch. Nur dann hast du eine saubere und sichere Konfiguration, die auch problemlos funktioniert
Sorry aber alles andere währe fahrlässig und du würdest dir damit selber und der Firma keinen Gefallen tun. Kostet zwar etwas Geld, aber dann habt ihr Ruhe.
Danke - es stehen Fritzbox 7490 und 7590 zur Verfügung (am Hauptstandort und 1 Aussenstelle), alle anderen haben Vodafone-Router.
Nutzer auf die TS zulassen und entsprechende Rechte geben, VPN Zugriff, welcher nur X kann. Aber ohne genaue Daten zur Sw ist das nur mutmaßung. Gerne mehr Details/Abklärung per PN. Gerne auch zur Unterstützung beim Rechte/VPN Konzept
VG
VG
Wäre toll, wenn ich Unterstützung bekäme, ich mache das freiwillig und mit einigen Kenntnissen, haben aber keine IT-DL! VG
Deine Initiative in allen Ehren (ernst und pos. gemeint!) aber das hat auch haftungstechnische Gründe.
Wer haftet denn/ wird zur Rechenschaft gezogen, wenn aufgrund einer Fehlkonfiguration (aufgrund von Unwissenheit) ein IT-Einbruch passiert und über euren Anschluss illegales Zeug statt findet? Wenn über euren Anschluss Kin...por... heruntergeladen/ angeboten werden, stehst du da erstmal in der Schusslinie... Vom Imageschaden, wenn das publik wird, mal ganz abgesehen.
Das ist wie gesagt nicht böse gemeint, soll dich/ euch eher vor Problemen schützen....
€dit:
Typo
Wer haftet denn/ wird zur Rechenschaft gezogen, wenn aufgrund einer Fehlkonfiguration (aufgrund von Unwissenheit) ein IT-Einbruch passiert und über euren Anschluss illegales Zeug statt findet? Wenn über euren Anschluss Kin...por... heruntergeladen/ angeboten werden, stehst du da erstmal in der Schusslinie... Vom Imageschaden, wenn das publik wird, mal ganz abgesehen.
Das ist wie gesagt nicht böse gemeint, soll dich/ euch eher vor Problemen schützen....
€dit:
Typo
Alles verstanden und es ist ja auch noch nichts passiert, aber ich dachte hier bekommt man unbürokratisch und evtl. schnelle Hilfe. Meist sind es jedoch nur hinweisende Ratschläge, welche ich auch kenne und recherchieren kann. Aber i.O., werde es schon irgendwann packen...Danke trotzdem...MfG
Das problem ist hier einfach weil die Baustelle zu groß ist und du sehr spartanisch bist was Informationen betrifft.
Jemandem der schon mal einen Schraubenschlüssel in der Hand hatte kann man auch schlecht, so kurz nebenbei, am Telefon erklären wie man einen Automotor zusammenbaut.
Ich sag überall vernünfige VPN Router hin. Ein paar Site-2-Site Tunnel aufbauen und das mit dem Terminalserver vergessen.
Möglichkeiten wie man das genau umsetzt gibt es viele.
Jemandem der schon mal einen Schraubenschlüssel in der Hand hatte kann man auch schlecht, so kurz nebenbei, am Telefon erklären wie man einen Automotor zusammenbaut.
Ich sag überall vernünfige VPN Router hin. Ein paar Site-2-Site Tunnel aufbauen und das mit dem Terminalserver vergessen.
Möglichkeiten wie man das genau umsetzt gibt es viele.
Du hast doch hier unbürokratisch Hilfe bekommen:
Die FritzBoxen sind vermutlich kein Problem, die können Site-2-Site, für die Vodafone-Schüsseln wirst du vermutlich noch einen VPN-Server dahintersetzen müssen oder diese bei Zeiten auch mal austauschen, was zu empfehlen wäre. Dann aber keine FritzBox nehmen, sondern im Idealfall etwas ausgewachsenes. z.B. ein A-/V-DSL Modem von Allnet oder Draytek Vigor 130 und dahinter eine pfSense mit einem APU-Board.
Hilfe-Links:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Und bzgl. eurers TS: Deinen Posts nach zu Urteilen klingt das so, als wenn ihr am Standort A einfach ein nacktes Portforwarding für den Port 3389 gemacht habt, so dass ihr beim Aufruf eurer öffentlichen IP/ eines DynDNS-Namens direkt auf dem Server seid. Und das ist ein erhöhtes Sicherheitsrisiko, da so auch andere Leute per IP-Scan den Server versuchen können, zu kompromitieren -> Da wäre mir ein Zugriff der Außenstellen auf den TS lieber, denn da weiss ich, wem ich im Zweifel die Hammelbeine langziehen müsste
€dit: Typo
- alle Standorte via VPN vernetzen (und zwar direkt an den Routern)
- statische Routen setzen (sofern erforderlich), sodass man auch von Standort 3 über Standort 1 auf Standort 2 zugreifen kann
- aus den Standorten dann die interne IP des Webservers der PZE aufrufen, ohne sich erst auf den TS einzuwählen
Die FritzBoxen sind vermutlich kein Problem, die können Site-2-Site, für die Vodafone-Schüsseln wirst du vermutlich noch einen VPN-Server dahintersetzen müssen oder diese bei Zeiten auch mal austauschen, was zu empfehlen wäre. Dann aber keine FritzBox nehmen, sondern im Idealfall etwas ausgewachsenes. z.B. ein A-/V-DSL Modem von Allnet oder Draytek Vigor 130 und dahinter eine pfSense mit einem APU-Board.
Hilfe-Links:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Und bzgl. eurers TS: Deinen Posts nach zu Urteilen klingt das so, als wenn ihr am Standort A einfach ein nacktes Portforwarding für den Port 3389 gemacht habt, so dass ihr beim Aufruf eurer öffentlichen IP/ eines DynDNS-Namens direkt auf dem Server seid. Und das ist ein erhöhtes Sicherheitsrisiko, da so auch andere Leute per IP-Scan den Server versuchen können, zu kompromitieren -> Da wäre mir ein Zugriff der Außenstellen auf den TS lieber, denn da weiss ich, wem ich im Zweifel die Hammelbeine langziehen müsste
€dit: Typo
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
Ja Danke und das klingt gut - werde ich so versuchen...VG und Danke auch für die doch tollen Hinweise...
Zitat von @FKRR56:
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
Ja Danke, habe ich so verstanden und werde mein Bestes versuchen..., aber was sind denn vernünftige VPN-Router!? Eine große Investition ist kaum möglich...so der Stand i.M.! VG
NaJa, ne große Investion muss es nicht unbedingt sein. Wie schon geschrieben, pfSense mit nem kleinen Board kostet nicht die Welt.
Klar gibt es auch schönere Lösungen die bequemer zu verwalten sind. Da muss man dann Kosten Arbeitszeit mit Anschaffungskosten hochrechnen.
