maximid
Goto Top

Büro Rechenzentrum connection

Hallo,

stehe vor folgender Hürde.

Habe 2 Bürostandorte an denen jeweils 3 Arbeitsplätze mit jeweils 2 Monitoren und einem Thin Client stehen sollen.
Internet haben wir in beiden Büros eine 50Mbit/s down und 10 Mbit/s up Anbindung via DSL und dann eine Fritzbox 7590.
Im Rechenzentrum steht ein Terminal Server auf dem dann die Mitarbeiter via Thin Client im Büro oder zuhause / unterwegs vom Rechner / Laptop via RDP aus arbeiten können.

Nun zu meiner Vorstellung.
Da wir keine feste IPv4 Adresse haben war mein Gedankengang Raspberry PI´s zu kaufen und dann in beiden Büros hinter die Fritzbox als VPN klemmen.
Im Rechenzentrum eine kleine VM mit openthinclient Manager ebenfalls mit VPN um diesen Server dann in beide Büros einzubinden.
openthinclient manager um verwaltung über alle thin clients zu haben und diese administrieren etc. zu können.


Das war bisher so das was ich mir gedacht habe würde mich sehr freuen wenn ihr mir mal euren Lösungsweg für sowas erklären würdet.


Danke und freue mich auf Antworten!

Content-ID: 631526

Url: https://administrator.de/contentid/631526

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

tikayevent
tikayevent 13.12.2020 um 17:31:12 Uhr
Goto Top
Warum so umständlich und nicht direkt eine VPN-Verbindung von den Fritzboxen aus zum RZ aufbauen?
maximid
maximid 13.12.2020 um 17:46:32 Uhr
Goto Top
Diesen Weg hatte ich mir auch bereits überlegt und probiert aber leider nicht hinbekommen da wenn ich es richtig verstanden habe man dafür
eine öffentliche IPv4 Adresse bräuchte ich diese aber leider nicht habe.
tikayevent
tikayevent 13.12.2020 um 18:10:19 Uhr
Goto Top
Im RZ solltest du ja eine haben, sonst klappt es selbst mit den Raspis nicht.

Bei welchem Provider bist du denn mit den DSL-Anschlüssen?
maximid
maximid 13.12.2020 um 18:54:47 Uhr
Goto Top
Ja klar im RZ also beide Server haben jeweils eine öffentliche IPv4.

1und1 dort habe ich nur eine IPv6 über DSL Lite oder wie das heißt.
LordGurke
LordGurke 13.12.2020 um 19:02:28 Uhr
Goto Top
Diese kannst du ja erreichen - der Client braucht keine eigene IPv4, geschweige denn eine statische.
Oder du baust die Verbindung mit IPv6 auf (und umgehst damit die Carrier-NAT-Probleme), das können die FritzBoxen aber AFAIK auch im Jahr 2020 noch immer nicht.
tikayevent
tikayevent 13.12.2020 um 20:17:11 Uhr
Goto Top
Pack nen halbwegs brauchbaren, IPSec-fähigen Router ins RZ, verbinde die Fritzboxen damit und gut. Wenn du keine Ahnung von VPN hast, könnte es komplizierter werden.
Gibt verschiedene Systeme, die es sehr einfach machen. LANCOM z.B. beherrscht One-Click-VPN. Da wird einfach ein Router auf den anderen gezogen, ein OK und fertig ist das VPN. Aber das ist preislich schon ein Hammer, wenn man von der Fritzbox kommt.
LANCOM kann dafür aber auch VPN über IPv6.
haggard
haggard 13.12.2020 um 20:30:11 Uhr
Goto Top
Lancom ist natürlich immer eine gute Wahl.
Allerdings auch eine Kostenfrage, da sowohl die Hardware als auch die Lizenzen schnell richtig ins Geld gehen, aber bei Sicherheit sollte man nicht sparen.

Alternativ kannst du von der Fritzbox auch direkt eine Verbindung zu einem OpenVPN Gateway schalten.
Wir machen das mit Sophos als VM Appliance, die wir aber für alles nutzen.
Alternativ sollte es aber auch mit der OpenVPN direkt funktionieren. Ist ja quasi das gleiche.
Aber ich würde das nicht auf nem RASPI fahren sondern eher auf einer kleinen VM im RZ.
und darauf dann eine öffentliche IP schalten.

Frage warum haben eure beiden Server jeweils eine öffentliche IP ? Normal ist eine öffentliche IP auf dem Gateway und dahinter dann die Server, ansonsten könnten deine Clients ja direkt eine Verbindung zu dem Servern aufbauen wenn du die Ports auf der internen Firewall freigibst.

Gruß Harald
wiesi200
wiesi200 13.12.2020 um 21:12:08 Uhr
Goto Top
Hallo,

RDP läßt doch schön über HTTPS Tunneln.
tikayevent
tikayevent 13.12.2020 um 21:27:37 Uhr
Goto Top
Alternativ kannst du von der Fritzbox auch direkt eine Verbindung zu einem OpenVPN Gateway schalten.
Seit wann beherrschen Fritzboxen OpenVPN? Ich kenn nur IPSec auf den Kisten.

RDP läßt doch schön über HTTPS Tunneln.
Wenn es an FritzVPN schon hapert, wird das wahrscheinlich zu Überforderung führen.

Und scheinbar stehen beide Server direkt im Internet, was auch nicht unbedingt das gelbe vom Ei ist.
aqui
aqui 13.12.2020 aktualisiert um 21:30:10 Uhr
Goto Top
eine öffentliche IPv4 Adresse bräuchte ich diese aber leider nicht habe.
Sind beide Fritzboxen denn bei DS-Lite Providern mit CGN ?
Das wäre dann in der Tat der Todesstoß für jegliche Arten von VPN. Da nützt dann auch ein RasPi nix. Weiss man aber eigentlich auch vorher wenn man eine VPN Connection plant.
Eine der FritzBoxen müsste eine öffentliche IP haben als kein DS-Lit und CGN.
Auch wenn diese wechselt wäre das kein Thema, denn das kannst du mit DynDNS wie myfritz.de lösen.
Diese FB mit öffentlicher IP wäre der IPsec Responder und die andere der Initiator. Das würde fehlerfrei klappen.

Wenn beide FBs allerdings in DS-Lite Netzen hängen ist es mit IPv4 aussichtslos. Das ist technisch nicht machbar.
Ausnahme ist dann wie Kollege @LordGurke schon sagt den VPN Tunnel mit IPv6 aufzubauen.
Oder...du fragst einen der Provider ob du den Vertrag in einen Business Vertrag mit einer öffentlichen IP abändern kannst. Die meisten Provider machen das.
haggard
haggard 13.12.2020 um 21:42:14 Uhr
Goto Top
Sorry stimmt die können nur IPSEC.
Hatte da was anderes im Kopf.
Deepsys
Deepsys 13.12.2020 um 22:12:29 Uhr
Goto Top
N'Abend,

so ganz verstehe ich das nicht:
Zuerst hast du 2x3 ThinClinets, dann sollen sich die Mitarbeiter vom Notebook aus einwählen?
Dann kommen zuerst keine feste IPv4, dann ein DSLite, da ist nicht das gleiche!

Ein feste IP hat kaum ein privater Anschluss, eine öffentliche IPv4 Adresse aber schon.
Bei DSLite hast du nichts davon; aber DSLite bei DSL?
Das habe ich noch nicht gesehen (und wir haben viele im Moment zu Hause), immer bei Kabelanschlüssen und Glasfaser bei einigen Providern.

Selbst mit DSLite ist eine VPN-Verbindung zum RZ möglich (zumindest vom Gerät direkt aus), ABER reduziere auf jeden Fall die MTU auf den VPN-Interface (das ist echt ein fieser Fehler, einige Programme wollen sonst nicht (Citrix Workspace) anderen (RDP) macht das nichts aus).

Wenn ihr mobiles Arbeiten anbietet, dann besorge allen ein ordentliches Notebook, das auch im Büro zu nutzen ist, und richte darauf das VPN ein. Win 10 kann IKEv2 direkt.

Und das RZ???? Was genau ist das?
Das wird doch eine Firewall haben und darüber machst du dann VPN.

Viele Grüße,
Deepsys
maximid
maximid 14.12.2020 um 11:34:10 Uhr
Goto Top
Okay, wie würdet ihr denn vorgehen wenn ihr zwei Standorte habt wo Thin Clients stehen mit diesen sich ins Rechenzentrum auf den Terminal Server verbunden werden soll. Zudem Kollegen auch vom Homeoffice wenn notwendig von ihrem privaten PC / Laptop arbeiten sollen können.

Gruß,
Max
wiesi200
wiesi200 14.12.2020 um 11:46:14 Uhr
Goto Top
So wie ich geschrieben hab. Über SSL Tunneln.
Sprich Remotedesktop Gateway aktivieren.

Zwischenablage und Laufwerksverbindung sperren damit nix von den Privaten Rechnern in die Firma kommt oder weg geht.

Und gut ist.
aqui
aqui 14.12.2020 aktualisiert um 11:50:01 Uhr
Goto Top
Beide Standorte mit ihren Routern oder Firewall per Site to Site VPN verbinden und einen VPN Dialin für die Homeoffice Clients zusätzlich auf den Routern/Firewalls aufsetzen. Wurde oben ja schon mehrfach so gesagt.
So ein Allerweltsdesign ist doch nun simplester Standard heutzutage. face-wink
Das Forum hier ist voll von entsprechenden Tutorials und weiterführenden Links:
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
usw. usw. usw.
maximid
maximid 14.12.2020 aktualisiert um 12:17:53 Uhr
Goto Top
Der Lösungsweg von wiesi200 gefällt mir eigentlich am besten.
Bedeutet alle Nutzer die am Laptop oder PC zuhause oder unterwegs arbeiten können einfach RDP ist ja bei Windows schon vorinstalliert nutzen.

Hast du hier eventuell eine Anleitung für mich wie man das ganze einrichtet?

Gruß Max
SlainteMhath
SlainteMhath 15.12.2020 um 11:08:53 Uhr
Goto Top
Moin,

eigentlich bekomm' ich ja schon bei diesem Satz
beide Server haben jeweils eine öffentliche IPv4.
das Gruseln face-sad

Da gehört eigentlich eine (Hardware-)FW davor, dann ist das mit VPN weniger das Problem.

lg,
Slainte
aqui
aqui 15.12.2020 um 12:30:31 Uhr
Goto Top
eigentlich bekomm' ich ja schon bei diesem Satz
Nicht nur du sondern wohl jeder Netzwerker der das liest ! face-wink
conquestador
conquestador 15.12.2020 aktualisiert um 15:32:29 Uhr
Goto Top
Zitat von @aqui:

eigentlich bekomm' ich ja schon bei diesem Satz "beide Server haben jeweils eine öffentliche IPv4" das Gruseln face-sad

Nicht nur du sondern wohl jeder Netzwerker der das liest ! face-wink

Das stimmt!

Aber ich versuch mich trotzdem an einer Lösungshilfe:

Vorab, wo kommt denn plötzlich der 2. Server her? Ganz oben hieß es noch "1 TS"

1.
Du benötigst mindestens eine virtuelle Firewall, falls möglich, besser eine aus Blech. Falls Investitionen ein Problem sind, als Open Source wäre hier z.B. pfSense zu nennen, die sich mit einem Mindestmaß an Wissen recht gut konfigurieren läßt. Diese ist dann auch dein VPN-Server
2.
Ernsthafte Überlegungen anstellen, welche Firewall-Regeln eingerichtet werden sollen. Offensichtlich steht dein Terminalserver direkt und ungeschützt im Internet. Speziell deine RDP-Regeln sollten in etwa so aussehen:
- Gruppe VPN-User erstellen, hier die User rein
- 1. Regel: VPN-User --> RDP --> Terminalserver (IP oder FQDN) --> erlauben
- 2. Regel: VPN-User --> any --> Terminalserver --> verbieten
3.
Wenn du in deinen Büros auf die Thin Clients verzichtest und z.B. einen Laptop oder PC hättest, könntest du einen openVPN-Client draufbauen und freu.
Mit Thin-Clients kenne ich mich nicht ganz so aus aber ich meine, dass du dort nicht so ohne weiteres Zusatzsoftware draufbasteln kannst.
Hier müsstest du also versuchen, mit der Fritze einen IPsec-Tunnel zu bauen, was aber eher keinen Spass macht.
Außerdem finde ich eine site to site VPN Lösung für Homeoffice oder deine Bürolösung mit zusätzlichen Laptops, zum Arbeiten auf einem TS eher sehr schlecht.
maximid
maximid 15.12.2020 um 16:29:13 Uhr
Goto Top
Hallo conquestador,

ja also es gibt einmal den Terminalserver auf dem vom Büro aus über Thin Clients gearbeitet werden soll.
Um eine Verwaltung über die Thin Clients zu haben würde ich gerne die Software openthinclient nutzen dort gibt es den openthinclient Manager welchen ich ebenfalls auf einem virtuellen Server hosten würde.
In beiden Büros bin ich dabei eine Internetanbindung mit fester IPv4 Adresse ranzuschaffen dann könnte ich von den Fritzboxen aus eine IPSec Verbindung ins Rechenzentrum zum Terminalserver und zum openthinclient Manager herstellen oder?

Zu beachten sollte noch sein das wir die VM für den openthinclient und den Terminal Server nur mieten demnach das mit der Hardware Firewall etwas schwieriger wird.

Den Leuten die dann mal zuhause arbeiten sollen von ihrem privaten Gerät aus was ist denn hier die smarteste Lösung?
Am liebsten wäre mir das sie nichts installieren müssen sondern einfach RDP nutzen können gibt es hier einen abgesicherten Weg?

Gruß,
Max
tikayevent
tikayevent 15.12.2020 aktualisiert um 16:58:12 Uhr
Goto Top
Du brauchst keine feste IP in den Büros. Du brauchst einzig und allein im RZ eine feste IP und dort einen Router, der die VPN-Verbindungen der Fritzboxen annehmen kann.
Du willst ja nicht die Büros untereinander verbinden sondern mit dem Server. Wenn du dennoch beide Büros miteinander verbinden willst, kannst du es über das RZ machen. Buzzword "Hub and Spoke"
maximid
maximid 15.12.2020 um 16:53:28 Uhr
Goto Top
Naja ich möchte das der openthinclient Manager in´s interne Netzwerk beider Büros kommt.
Wie kann ich das sonst anstellen?
tikayevent
tikayevent 15.12.2020 um 16:57:22 Uhr
Goto Top
Über den VPN-Tunnel. Wie sonst?!

Hast du deine Konstruktion denn mal richtig konzeptioniert? Was passiert bei einem Ausfall der Internetverbindung, was beim Ausfall des Servers?
maximid
maximid 15.12.2020 um 17:04:11 Uhr
Goto Top
Aber damit sich der Server in das interne Netzwerk einwählen kann benötige ich doch am Standort eine feste IPv4 Adresse?

Naja bei einem Ausfall der Internetverbindung kann nicht gearbeitet werden.
Bei einem Ausfall des Servers genauso wenig.
tikayevent
tikayevent 15.12.2020 um 17:47:42 Uhr
Goto Top
Die VPN-Verbindung wird von den Büros aus aufgebaut, bleibt bestehen und kann in beide Richtungen verwendet werden. Grundgedanke von VPN.

Nur interessehalber: Welchen Posten bekleidest du in deinem Unternehmen?
maximid
maximid 15.12.2020 um 17:58:02 Uhr
Goto Top
Ja eben, diese baue ich von der Fritzbox aus auf wofür ich aber eine öffentliche oder feste IPv4 Adresse benötige. Da mein Anbieter allerdings nur DSLite anbietet benötige ich eine feste?

Inhaber / Geschäftsführer
tikayevent
tikayevent 15.12.2020 aktualisiert um 18:12:28 Uhr
Goto Top
Nein, du brauchst keine öffentliche IP auf der Seite, die die Verbindung aufbaut. Wenn das so wäre könnten 95% der Leute, die aktuell im Homeoffice sitzen kein Homeoffice möglich. Nur die Seite, die die Verbindung annimmt benötigt eine öffentliche IP-Adresse.

Ich hatte schon die Vermutung, dass du keinen oder keinen weitreichenden IT-Hintergrund hast. Das was du vorhast ist im KMU-Bereich gängig und auch empfehlenswert, aber dieses sollte man mit dem entsprechenden Hintergrund und einem passenden Konzept realisieren oder realisieren lassen.
Wenn der Server ausfällt, kann man nicht arbeiten, das siehst du richtig, nur wie schnell kannst du den Server wieder zum Laufen bringen bzw. wie lange darf der Ausfall von Anfang bis zur Wiederherstellung dauern, bis es deinem Unternehmen wehtut.

Ich kenn dich nicht, ich kann dich jetzt nur durch die wenigen Beiträge ein kleines bisschen bzgl. deines Fachwissens einschätzen und rate dir dringend, jemanden mit dem entsprechenden Fachwissen (Systemhaus oder vergleichbar) dazu zu holen, damit das ganze nicht frustrierend endet. Am Ende ist das laufende System auch kein statisches Konstrukt sondern hochdynamisch. Systemadministration kostet viel Zeit, insbesondere wenn das Internet bzw. WAN-Verbindungen mitspielen.
maximid
maximid 15.12.2020 um 18:18:59 Uhr
Goto Top
Okay, aber es muss doch der Server (openthinclient Manager) in das interne Netzwerk der Fritz Box, also baut doch der Server die Verbindung zur Fritz Box auf und nicht andersherum?

Ja das stimmt, hatte bisher nur immer alles gemacht und hat auch immer gut geklappt deshalb dachte ich mir ich versuche mich hier auch mal :D
Der Server läuft in einem HA Cluster mit einer garantierten Verfügbarkeit von 99,999% weshalb ich mir da ehrlich gesagt nicht wirklich sorgen mache.

Ja alles gut, das wäre auch mein nächster Schritt gewesen aber wollte es eben erstmal selbst probieren.

Vielen Dank an dich und auch alle anderen für konstruktive Beiträge face-smile
tikayevent
tikayevent 15.12.2020 um 18:38:06 Uhr
Goto Top
Ich kenn openthinclient nicht, aber andere Lösungen aus dem Bereich. Denen ist egal wo der Server steht, solange er über eine IP-Adresse oder einen Hostname erreichbar ist. Über das VPN erweiterst du dein internes Netzwerk. In dem Moment, in dem die VPN-Verbindung aufgebaut wird, wird sogesehen ein Netzwerkkabel von deinem Büro zum RZ gespannt. Und ein Netzwerkkabel funktioniert in beide Richtungen.

Das einzige, was ohne eine öffentliche IP in deinen Büros nicht geht, ist dass das RZ die VPN-Verbindung aufbaut, wenn die nicht besteht und die Büros keinen Grund sehen, diese aufzubauen. Meist ist dies aber nur ein Zustand, der nach einer Verbindungstrennung auftritt und keiner im Büro arbeitet. Sobald irgendwas im Büro eine Verbindung zum RZ benötigt, baut die Fritzbox im Büro die VPN-Verbindung zum RZ auf und kann dann anschließen bis zu einem Verbindungsabbau vom Server zu den Büros und gleichzeitig von den Büros zu den Servern genutzt werden.

Der Server läuft in einem HA Cluster mit einer garantierten Verfügbarkeit von 99,999% weshalb ich mir da ehrlich gesagt nicht wirklich sorgen mache.
Ist das ein Server von einem Massenhoster wie Strato, 1&1, Webtropia oder so? Wenn ja, dann wird das mit der Konstruktion eher schwierig, wenn die kein VPN-Gateway anbieten. Damit müsstest du die VPN-Verbindung von dem Server terminieren lassen, was sicherheitstechnisch eine nicht sehr einfache Arbeit ist. Da ist die Grenze von unsicher über sicher zu ausgesperrt fließend.
Desweiteren betrifft der HA-Cluster nur die Hardware, also fällt ein Host aus, wird deine VM einfach auf den nächsten Host geschoben, wieder eingeschaltet und fertig. Es kann aber auch Ausfälle durch Fehler im Betriebssystem, der Software, der Konfiguration, dem Dateissystem und sonstwas geben. Die fallen nicht unter´s HA sondern in die Zuständigkeit des Systemverwalters, also in dem Fall du. Und diese Ausfälle sind meist deutlich komplexer als ein Stück defekte Hardware.