Büro Rechenzentrum connection
Hallo,
stehe vor folgender Hürde.
Habe 2 Bürostandorte an denen jeweils 3 Arbeitsplätze mit jeweils 2 Monitoren und einem Thin Client stehen sollen.
Internet haben wir in beiden Büros eine 50Mbit/s down und 10 Mbit/s up Anbindung via DSL und dann eine Fritzbox 7590.
Im Rechenzentrum steht ein Terminal Server auf dem dann die Mitarbeiter via Thin Client im Büro oder zuhause / unterwegs vom Rechner / Laptop via RDP aus arbeiten können.
Nun zu meiner Vorstellung.
Da wir keine feste IPv4 Adresse haben war mein Gedankengang Raspberry PI´s zu kaufen und dann in beiden Büros hinter die Fritzbox als VPN klemmen.
Im Rechenzentrum eine kleine VM mit openthinclient Manager ebenfalls mit VPN um diesen Server dann in beide Büros einzubinden.
openthinclient manager um verwaltung über alle thin clients zu haben und diese administrieren etc. zu können.
Das war bisher so das was ich mir gedacht habe würde mich sehr freuen wenn ihr mir mal euren Lösungsweg für sowas erklären würdet.
Danke und freue mich auf Antworten!
stehe vor folgender Hürde.
Habe 2 Bürostandorte an denen jeweils 3 Arbeitsplätze mit jeweils 2 Monitoren und einem Thin Client stehen sollen.
Internet haben wir in beiden Büros eine 50Mbit/s down und 10 Mbit/s up Anbindung via DSL und dann eine Fritzbox 7590.
Im Rechenzentrum steht ein Terminal Server auf dem dann die Mitarbeiter via Thin Client im Büro oder zuhause / unterwegs vom Rechner / Laptop via RDP aus arbeiten können.
Nun zu meiner Vorstellung.
Da wir keine feste IPv4 Adresse haben war mein Gedankengang Raspberry PI´s zu kaufen und dann in beiden Büros hinter die Fritzbox als VPN klemmen.
Im Rechenzentrum eine kleine VM mit openthinclient Manager ebenfalls mit VPN um diesen Server dann in beide Büros einzubinden.
openthinclient manager um verwaltung über alle thin clients zu haben und diese administrieren etc. zu können.
Das war bisher so das was ich mir gedacht habe würde mich sehr freuen wenn ihr mir mal euren Lösungsweg für sowas erklären würdet.
Danke und freue mich auf Antworten!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 631526
Url: https://administrator.de/contentid/631526
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
29 Kommentare
Neuester Kommentar
Pack nen halbwegs brauchbaren, IPSec-fähigen Router ins RZ, verbinde die Fritzboxen damit und gut. Wenn du keine Ahnung von VPN hast, könnte es komplizierter werden.
Gibt verschiedene Systeme, die es sehr einfach machen. LANCOM z.B. beherrscht One-Click-VPN. Da wird einfach ein Router auf den anderen gezogen, ein OK und fertig ist das VPN. Aber das ist preislich schon ein Hammer, wenn man von der Fritzbox kommt.
LANCOM kann dafür aber auch VPN über IPv6.
Gibt verschiedene Systeme, die es sehr einfach machen. LANCOM z.B. beherrscht One-Click-VPN. Da wird einfach ein Router auf den anderen gezogen, ein OK und fertig ist das VPN. Aber das ist preislich schon ein Hammer, wenn man von der Fritzbox kommt.
LANCOM kann dafür aber auch VPN über IPv6.
Lancom ist natürlich immer eine gute Wahl.
Allerdings auch eine Kostenfrage, da sowohl die Hardware als auch die Lizenzen schnell richtig ins Geld gehen, aber bei Sicherheit sollte man nicht sparen.
Alternativ kannst du von der Fritzbox auch direkt eine Verbindung zu einem OpenVPN Gateway schalten.
Wir machen das mit Sophos als VM Appliance, die wir aber für alles nutzen.
Alternativ sollte es aber auch mit der OpenVPN direkt funktionieren. Ist ja quasi das gleiche.
Aber ich würde das nicht auf nem RASPI fahren sondern eher auf einer kleinen VM im RZ.
und darauf dann eine öffentliche IP schalten.
Frage warum haben eure beiden Server jeweils eine öffentliche IP ? Normal ist eine öffentliche IP auf dem Gateway und dahinter dann die Server, ansonsten könnten deine Clients ja direkt eine Verbindung zu dem Servern aufbauen wenn du die Ports auf der internen Firewall freigibst.
Gruß Harald
Allerdings auch eine Kostenfrage, da sowohl die Hardware als auch die Lizenzen schnell richtig ins Geld gehen, aber bei Sicherheit sollte man nicht sparen.
Alternativ kannst du von der Fritzbox auch direkt eine Verbindung zu einem OpenVPN Gateway schalten.
Wir machen das mit Sophos als VM Appliance, die wir aber für alles nutzen.
Alternativ sollte es aber auch mit der OpenVPN direkt funktionieren. Ist ja quasi das gleiche.
Aber ich würde das nicht auf nem RASPI fahren sondern eher auf einer kleinen VM im RZ.
und darauf dann eine öffentliche IP schalten.
Frage warum haben eure beiden Server jeweils eine öffentliche IP ? Normal ist eine öffentliche IP auf dem Gateway und dahinter dann die Server, ansonsten könnten deine Clients ja direkt eine Verbindung zu dem Servern aufbauen wenn du die Ports auf der internen Firewall freigibst.
Gruß Harald
Alternativ kannst du von der Fritzbox auch direkt eine Verbindung zu einem OpenVPN Gateway schalten.
Seit wann beherrschen Fritzboxen OpenVPN? Ich kenn nur IPSec auf den Kisten.RDP läßt doch schön über HTTPS Tunneln.
Wenn es an FritzVPN schon hapert, wird das wahrscheinlich zu Überforderung führen.Und scheinbar stehen beide Server direkt im Internet, was auch nicht unbedingt das gelbe vom Ei ist.
eine öffentliche IPv4 Adresse bräuchte ich diese aber leider nicht habe.
Sind beide Fritzboxen denn bei DS-Lite Providern mit CGN ?Das wäre dann in der Tat der Todesstoß für jegliche Arten von VPN. Da nützt dann auch ein RasPi nix. Weiss man aber eigentlich auch vorher wenn man eine VPN Connection plant.
Eine der FritzBoxen müsste eine öffentliche IP haben als kein DS-Lit und CGN.
Auch wenn diese wechselt wäre das kein Thema, denn das kannst du mit DynDNS wie myfritz.de lösen.
Diese FB mit öffentlicher IP wäre der IPsec Responder und die andere der Initiator. Das würde fehlerfrei klappen.
Wenn beide FBs allerdings in DS-Lite Netzen hängen ist es mit IPv4 aussichtslos. Das ist technisch nicht machbar.
Ausnahme ist dann wie Kollege @LordGurke schon sagt den VPN Tunnel mit IPv6 aufzubauen.
Oder...du fragst einen der Provider ob du den Vertrag in einen Business Vertrag mit einer öffentlichen IP abändern kannst. Die meisten Provider machen das.
N'Abend,
so ganz verstehe ich das nicht:
Zuerst hast du 2x3 ThinClinets, dann sollen sich die Mitarbeiter vom Notebook aus einwählen?
Dann kommen zuerst keine feste IPv4, dann ein DSLite, da ist nicht das gleiche!
Ein feste IP hat kaum ein privater Anschluss, eine öffentliche IPv4 Adresse aber schon.
Bei DSLite hast du nichts davon; aber DSLite bei DSL?
Das habe ich noch nicht gesehen (und wir haben viele im Moment zu Hause), immer bei Kabelanschlüssen und Glasfaser bei einigen Providern.
Selbst mit DSLite ist eine VPN-Verbindung zum RZ möglich (zumindest vom Gerät direkt aus), ABER reduziere auf jeden Fall die MTU auf den VPN-Interface (das ist echt ein fieser Fehler, einige Programme wollen sonst nicht (Citrix Workspace) anderen (RDP) macht das nichts aus).
Wenn ihr mobiles Arbeiten anbietet, dann besorge allen ein ordentliches Notebook, das auch im Büro zu nutzen ist, und richte darauf das VPN ein. Win 10 kann IKEv2 direkt.
Und das RZ???? Was genau ist das?
Das wird doch eine Firewall haben und darüber machst du dann VPN.
Viele Grüße,
Deepsys
so ganz verstehe ich das nicht:
Zuerst hast du 2x3 ThinClinets, dann sollen sich die Mitarbeiter vom Notebook aus einwählen?
Dann kommen zuerst keine feste IPv4, dann ein DSLite, da ist nicht das gleiche!
Ein feste IP hat kaum ein privater Anschluss, eine öffentliche IPv4 Adresse aber schon.
Bei DSLite hast du nichts davon; aber DSLite bei DSL?
Das habe ich noch nicht gesehen (und wir haben viele im Moment zu Hause), immer bei Kabelanschlüssen und Glasfaser bei einigen Providern.
Selbst mit DSLite ist eine VPN-Verbindung zum RZ möglich (zumindest vom Gerät direkt aus), ABER reduziere auf jeden Fall die MTU auf den VPN-Interface (das ist echt ein fieser Fehler, einige Programme wollen sonst nicht (Citrix Workspace) anderen (RDP) macht das nichts aus).
Wenn ihr mobiles Arbeiten anbietet, dann besorge allen ein ordentliches Notebook, das auch im Büro zu nutzen ist, und richte darauf das VPN ein. Win 10 kann IKEv2 direkt.
Und das RZ???? Was genau ist das?
Das wird doch eine Firewall haben und darüber machst du dann VPN.
Viele Grüße,
Deepsys
Beide Standorte mit ihren Routern oder Firewall per Site to Site VPN verbinden und einen VPN Dialin für die Homeoffice Clients zusätzlich auf den Routern/Firewalls aufsetzen. Wurde oben ja schon mehrfach so gesagt.
So ein Allerweltsdesign ist doch nun simplester Standard heutzutage.
Das Forum hier ist voll von entsprechenden Tutorials und weiterführenden Links:
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
usw. usw. usw.
So ein Allerweltsdesign ist doch nun simplester Standard heutzutage.
Das Forum hier ist voll von entsprechenden Tutorials und weiterführenden Links:
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
usw. usw. usw.
Zitat von @aqui:
eigentlich bekomm' ich ja schon bei diesem Satz "beide Server haben jeweils eine öffentliche IPv4" das Gruseln
Nicht nur du sondern wohl jeder Netzwerker der das liest !
Das stimmt!
Aber ich versuch mich trotzdem an einer Lösungshilfe:
Vorab, wo kommt denn plötzlich der 2. Server her? Ganz oben hieß es noch "1 TS"
1.
Du benötigst mindestens eine virtuelle Firewall, falls möglich, besser eine aus Blech. Falls Investitionen ein Problem sind, als Open Source wäre hier z.B. pfSense zu nennen, die sich mit einem Mindestmaß an Wissen recht gut konfigurieren läßt. Diese ist dann auch dein VPN-Server
2.
Ernsthafte Überlegungen anstellen, welche Firewall-Regeln eingerichtet werden sollen. Offensichtlich steht dein Terminalserver direkt und ungeschützt im Internet. Speziell deine RDP-Regeln sollten in etwa so aussehen:
- Gruppe VPN-User erstellen, hier die User rein
- 1. Regel: VPN-User --> RDP --> Terminalserver (IP oder FQDN) --> erlauben
- 2. Regel: VPN-User --> any --> Terminalserver --> verbieten
3.
Wenn du in deinen Büros auf die Thin Clients verzichtest und z.B. einen Laptop oder PC hättest, könntest du einen openVPN-Client draufbauen und freu.
Mit Thin-Clients kenne ich mich nicht ganz so aus aber ich meine, dass du dort nicht so ohne weiteres Zusatzsoftware draufbasteln kannst.
Hier müsstest du also versuchen, mit der Fritze einen IPsec-Tunnel zu bauen, was aber eher keinen Spass macht.
Außerdem finde ich eine site to site VPN Lösung für Homeoffice oder deine Bürolösung mit zusätzlichen Laptops, zum Arbeiten auf einem TS eher sehr schlecht.
Du brauchst keine feste IP in den Büros. Du brauchst einzig und allein im RZ eine feste IP und dort einen Router, der die VPN-Verbindungen der Fritzboxen annehmen kann.
Du willst ja nicht die Büros untereinander verbinden sondern mit dem Server. Wenn du dennoch beide Büros miteinander verbinden willst, kannst du es über das RZ machen. Buzzword "Hub and Spoke"
Du willst ja nicht die Büros untereinander verbinden sondern mit dem Server. Wenn du dennoch beide Büros miteinander verbinden willst, kannst du es über das RZ machen. Buzzword "Hub and Spoke"
Nein, du brauchst keine öffentliche IP auf der Seite, die die Verbindung aufbaut. Wenn das so wäre könnten 95% der Leute, die aktuell im Homeoffice sitzen kein Homeoffice möglich. Nur die Seite, die die Verbindung annimmt benötigt eine öffentliche IP-Adresse.
Ich hatte schon die Vermutung, dass du keinen oder keinen weitreichenden IT-Hintergrund hast. Das was du vorhast ist im KMU-Bereich gängig und auch empfehlenswert, aber dieses sollte man mit dem entsprechenden Hintergrund und einem passenden Konzept realisieren oder realisieren lassen.
Wenn der Server ausfällt, kann man nicht arbeiten, das siehst du richtig, nur wie schnell kannst du den Server wieder zum Laufen bringen bzw. wie lange darf der Ausfall von Anfang bis zur Wiederherstellung dauern, bis es deinem Unternehmen wehtut.
Ich kenn dich nicht, ich kann dich jetzt nur durch die wenigen Beiträge ein kleines bisschen bzgl. deines Fachwissens einschätzen und rate dir dringend, jemanden mit dem entsprechenden Fachwissen (Systemhaus oder vergleichbar) dazu zu holen, damit das ganze nicht frustrierend endet. Am Ende ist das laufende System auch kein statisches Konstrukt sondern hochdynamisch. Systemadministration kostet viel Zeit, insbesondere wenn das Internet bzw. WAN-Verbindungen mitspielen.
Ich hatte schon die Vermutung, dass du keinen oder keinen weitreichenden IT-Hintergrund hast. Das was du vorhast ist im KMU-Bereich gängig und auch empfehlenswert, aber dieses sollte man mit dem entsprechenden Hintergrund und einem passenden Konzept realisieren oder realisieren lassen.
Wenn der Server ausfällt, kann man nicht arbeiten, das siehst du richtig, nur wie schnell kannst du den Server wieder zum Laufen bringen bzw. wie lange darf der Ausfall von Anfang bis zur Wiederherstellung dauern, bis es deinem Unternehmen wehtut.
Ich kenn dich nicht, ich kann dich jetzt nur durch die wenigen Beiträge ein kleines bisschen bzgl. deines Fachwissens einschätzen und rate dir dringend, jemanden mit dem entsprechenden Fachwissen (Systemhaus oder vergleichbar) dazu zu holen, damit das ganze nicht frustrierend endet. Am Ende ist das laufende System auch kein statisches Konstrukt sondern hochdynamisch. Systemadministration kostet viel Zeit, insbesondere wenn das Internet bzw. WAN-Verbindungen mitspielen.
Ich kenn openthinclient nicht, aber andere Lösungen aus dem Bereich. Denen ist egal wo der Server steht, solange er über eine IP-Adresse oder einen Hostname erreichbar ist. Über das VPN erweiterst du dein internes Netzwerk. In dem Moment, in dem die VPN-Verbindung aufgebaut wird, wird sogesehen ein Netzwerkkabel von deinem Büro zum RZ gespannt. Und ein Netzwerkkabel funktioniert in beide Richtungen.
Das einzige, was ohne eine öffentliche IP in deinen Büros nicht geht, ist dass das RZ die VPN-Verbindung aufbaut, wenn die nicht besteht und die Büros keinen Grund sehen, diese aufzubauen. Meist ist dies aber nur ein Zustand, der nach einer Verbindungstrennung auftritt und keiner im Büro arbeitet. Sobald irgendwas im Büro eine Verbindung zum RZ benötigt, baut die Fritzbox im Büro die VPN-Verbindung zum RZ auf und kann dann anschließen bis zu einem Verbindungsabbau vom Server zu den Büros und gleichzeitig von den Büros zu den Servern genutzt werden.
Desweiteren betrifft der HA-Cluster nur die Hardware, also fällt ein Host aus, wird deine VM einfach auf den nächsten Host geschoben, wieder eingeschaltet und fertig. Es kann aber auch Ausfälle durch Fehler im Betriebssystem, der Software, der Konfiguration, dem Dateissystem und sonstwas geben. Die fallen nicht unter´s HA sondern in die Zuständigkeit des Systemverwalters, also in dem Fall du. Und diese Ausfälle sind meist deutlich komplexer als ein Stück defekte Hardware.
Das einzige, was ohne eine öffentliche IP in deinen Büros nicht geht, ist dass das RZ die VPN-Verbindung aufbaut, wenn die nicht besteht und die Büros keinen Grund sehen, diese aufzubauen. Meist ist dies aber nur ein Zustand, der nach einer Verbindungstrennung auftritt und keiner im Büro arbeitet. Sobald irgendwas im Büro eine Verbindung zum RZ benötigt, baut die Fritzbox im Büro die VPN-Verbindung zum RZ auf und kann dann anschließen bis zu einem Verbindungsabbau vom Server zu den Büros und gleichzeitig von den Büros zu den Servern genutzt werden.
Der Server läuft in einem HA Cluster mit einer garantierten Verfügbarkeit von 99,999% weshalb ich mir da ehrlich gesagt nicht wirklich sorgen mache.
Ist das ein Server von einem Massenhoster wie Strato, 1&1, Webtropia oder so? Wenn ja, dann wird das mit der Konstruktion eher schwierig, wenn die kein VPN-Gateway anbieten. Damit müsstest du die VPN-Verbindung von dem Server terminieren lassen, was sicherheitstechnisch eine nicht sehr einfache Arbeit ist. Da ist die Grenze von unsicher über sicher zu ausgesperrt fließend.Desweiteren betrifft der HA-Cluster nur die Hardware, also fällt ein Host aus, wird deine VM einfach auf den nächsten Host geschoben, wieder eingeschaltet und fertig. Es kann aber auch Ausfälle durch Fehler im Betriebssystem, der Software, der Konfiguration, dem Dateissystem und sonstwas geben. Die fallen nicht unter´s HA sondern in die Zuständigkeit des Systemverwalters, also in dem Fall du. Und diese Ausfälle sind meist deutlich komplexer als ein Stück defekte Hardware.