Gibt es eine VPN Plug-Play Hardwarelösung?
Hallo zusammen, folgende Idee habe ich:
Das vernetzen von netzwerkfähigen, elektronischen Stechuhren.
Ein Freund hat als Franchisenehmer mittlerweile 4 Filialen und über 40 Mitarbeiter, größtenteils Teilzeit etc..
Um da den Überblick zu haben und die Gehaltsabrechnung, Urlaubsplanung etc. besser hin zu bekommen wäre eine Zeitabrechnungssystem hilfreich.
Es gibt z.B. von Chipdrive http://www.chipdrive.de/index.php/de/chipkarten-loesungen/zeiterfassung ... Lösungen die ich im kleineren Rahmen schon seit Ewigkeiten einsetze, die Hard- und Software funktioniert, allerdings hab ich hier nur ein lokales System.
So eine Stechuhr wird z.B. über das LAN an eine "PC-Stechuhr" (einem Dienst der auf einem Windows Rechner läuft) angeschlossen, die Stechuhr sendet jeden Buchungsvorgang über TCP/IP mit konfigurierbarem Port an die PC-Stechuhr, und bekommt auch die Mitarbeiter-Zeitkonto-Informationen zurück (also Über- oder Unterzeit, Urlaubsanspruch etc.)
Im LAN funktioniert das, für mich sicher kein Problem es einzurichten, für die 4 Fillialen sieht das für mich schon komplizierter aus.
In den Filialen gibt es ein ADSL Anschluss, da hängt eine Fritzbox als Modem-Router, dann noch ein zusätzlicher Router für die Kassen, die Kreditkartenabrechnung, für POS Informationen etc.p.p. auf jeden Fall ist diese Hardware vorhanden, aber soll natürlich nicht verändert werden. Wenn man an der Fritzbox über einen der LAN Ports einen PC oder ein WLAN Router anschliesst wird der PC oder WLAN Router über einen DHCP Server mit einer IP Adresse versorgt, ist ein Zugang zum Internet problemlos möglich.
Was ich suche wäre jetzt eine möglichst DAU taugliche Lösung um so ein Zeitabrechnungssystem zu vernetzen.
Man könnte z.B. im Privathaus des Freundes (mit normalen ADSL Anschluss) einen Mini-PC/Server/WHS aufstellen mit der PC-Stechuhr, und diesem mit DDNS eine Adresse verpassen
in den Fillialen bräuchte man eine Hardware die eine VPN Verbindung z.B. über OpenVPN zwischen der Stechuhr und dem Mini-PC im Privathaus aufbaut und jede Buchung auf die Software-PC-Stechuhr schickt.
Idealerweise müsste man so was Zuhause vorbereiten können und dann vor Ort in der Filliale nur an die Fritzbox und an den Strom anstecken, bekannt ist nur das der ADSL Modem-Router über freie LAN Ports einen Zugang ins Internet bietet, jegliche Veränderungen in dem ADSL Modem-Router sind unmöglich da die Konfigurationsoberfläche passwortgeschützt verriegelt und verrammelt ist.
Gibt es da eine Plug&Play Hardware, sowas wie OpenVPN taugliche Router?
Vielen Dank an alle die das gelesen haben und meiner Frage ein paar Gedanken opfern.
Gruss Auric
Das vernetzen von netzwerkfähigen, elektronischen Stechuhren.
Ein Freund hat als Franchisenehmer mittlerweile 4 Filialen und über 40 Mitarbeiter, größtenteils Teilzeit etc..
Um da den Überblick zu haben und die Gehaltsabrechnung, Urlaubsplanung etc. besser hin zu bekommen wäre eine Zeitabrechnungssystem hilfreich.
Es gibt z.B. von Chipdrive http://www.chipdrive.de/index.php/de/chipkarten-loesungen/zeiterfassung ... Lösungen die ich im kleineren Rahmen schon seit Ewigkeiten einsetze, die Hard- und Software funktioniert, allerdings hab ich hier nur ein lokales System.
So eine Stechuhr wird z.B. über das LAN an eine "PC-Stechuhr" (einem Dienst der auf einem Windows Rechner läuft) angeschlossen, die Stechuhr sendet jeden Buchungsvorgang über TCP/IP mit konfigurierbarem Port an die PC-Stechuhr, und bekommt auch die Mitarbeiter-Zeitkonto-Informationen zurück (also Über- oder Unterzeit, Urlaubsanspruch etc.)
Im LAN funktioniert das, für mich sicher kein Problem es einzurichten, für die 4 Fillialen sieht das für mich schon komplizierter aus.
In den Filialen gibt es ein ADSL Anschluss, da hängt eine Fritzbox als Modem-Router, dann noch ein zusätzlicher Router für die Kassen, die Kreditkartenabrechnung, für POS Informationen etc.p.p. auf jeden Fall ist diese Hardware vorhanden, aber soll natürlich nicht verändert werden. Wenn man an der Fritzbox über einen der LAN Ports einen PC oder ein WLAN Router anschliesst wird der PC oder WLAN Router über einen DHCP Server mit einer IP Adresse versorgt, ist ein Zugang zum Internet problemlos möglich.
Was ich suche wäre jetzt eine möglichst DAU taugliche Lösung um so ein Zeitabrechnungssystem zu vernetzen.
Man könnte z.B. im Privathaus des Freundes (mit normalen ADSL Anschluss) einen Mini-PC/Server/WHS aufstellen mit der PC-Stechuhr, und diesem mit DDNS eine Adresse verpassen
in den Fillialen bräuchte man eine Hardware die eine VPN Verbindung z.B. über OpenVPN zwischen der Stechuhr und dem Mini-PC im Privathaus aufbaut und jede Buchung auf die Software-PC-Stechuhr schickt.
Idealerweise müsste man so was Zuhause vorbereiten können und dann vor Ort in der Filliale nur an die Fritzbox und an den Strom anstecken, bekannt ist nur das der ADSL Modem-Router über freie LAN Ports einen Zugang ins Internet bietet, jegliche Veränderungen in dem ADSL Modem-Router sind unmöglich da die Konfigurationsoberfläche passwortgeschützt verriegelt und verrammelt ist.
Gibt es da eine Plug&Play Hardware, sowas wie OpenVPN taugliche Router?
Vielen Dank an alle die das gelesen haben und meiner Frage ein paar Gedanken opfern.
Gruss Auric
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 237525
Url: https://administrator.de/forum/gibt-es-eine-vpn-plug-play-hardwareloesung-237525.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
18 Kommentare
Neuester Kommentar
Knapp und einfach: Nein, das gibt es nicht und wäre auch fatal, da mit solch einer (sorry) Dummie Plug&Play Lösung massiv Sicherheitsprobleme Tür und Tor geöffnet sind in einem VPN.
Zusätzlich müsste man solch einem Hersteller blind vertrauen und wer will das schon heutzutage ?!
Lösung: Du hast ja alles wesentliche für eine schnelle und unkomplizierte LAN zu LAN VPN Lösung der Standorte ja schon vorliegen !!
Alle aktuellen Fritzboxen supporten auch VPNs:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
So ein VPN bekommt man über das neue Klicki Bunti Interface im Handumdrehen hin. Das schafft jeder Dummie.
Damit ist die VPN Vernetzung der Filialen dann ein Kinderspiel und die Stechuhr ist dann überall präsent !
Weitere Grundlagen dazu findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
(AVM nutzt das sichere IPsec als VPN Tunnelprotokoll)
Die andere Option ist natürlich OpenVPN, klar. Eine Übersicht über OpenVPN fähige Router mit einfacher GUI zur Installation findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Geht aber nicht mit Fritzbox....es sei denn du flasht die alternative Firmware Freetz auf die FB, dann geht dort natürlich auch OVPN:
http://freetz.org
Zusätzlich müsste man solch einem Hersteller blind vertrauen und wer will das schon heutzutage ?!
Lösung: Du hast ja alles wesentliche für eine schnelle und unkomplizierte LAN zu LAN VPN Lösung der Standorte ja schon vorliegen !!
Alle aktuellen Fritzboxen supporten auch VPNs:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
So ein VPN bekommt man über das neue Klicki Bunti Interface im Handumdrehen hin. Das schafft jeder Dummie.
Damit ist die VPN Vernetzung der Filialen dann ein Kinderspiel und die Stechuhr ist dann überall präsent !
Weitere Grundlagen dazu findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
(AVM nutzt das sichere IPsec als VPN Tunnelprotokoll)
Die andere Option ist natürlich OpenVPN, klar. Eine Übersicht über OpenVPN fähige Router mit einfacher GUI zur Installation findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Geht aber nicht mit Fritzbox....es sei denn du flasht die alternative Firmware Freetz auf die FB, dann geht dort natürlich auch OVPN:
http://freetz.org
Ich hab äußerst positive Erfahrungen mit den Routern von http://www.lancom-systems.de/ gemacht. Wir nutzen in diversen Locations diese Router um VPNs zu erstellen. Grundsätzlich sollte aber jeder Nicht-Consumer Router dies können. Ich glaube sogar, dass mehrere Fritzboxen dazu in der Lage sind.
Die Low-Bugget-Variante (ich weiß bei Franchise Unternehmen ist dass das Zauberwort) ist ein günstiger Router (e.g. der Linksys WRT54GL) und dann darauf die alternative Firmware DD-WRT (siehe http://www.dd-wrt.com) zu installieren! Alles Kinderleicht, automatisch und selbsterklärend - selbst ein Laie bekommt das in ein paar Minuten hin.
Die sollte dann die gleichen Funktionen, wie 3x-5x so teure Business-Router, mit Bravur erfüllen.
Softwareseitig gibts dann natürlich die "Plug&Play Lösung" wie Hamatchi https://secure.logmein.com/DE/products/hamachi/ oder ähnliche Produkte....
Die Low-Bugget-Variante (ich weiß bei Franchise Unternehmen ist dass das Zauberwort) ist ein günstiger Router (e.g. der Linksys WRT54GL) und dann darauf die alternative Firmware DD-WRT (siehe http://www.dd-wrt.com) zu installieren! Alles Kinderleicht, automatisch und selbsterklärend - selbst ein Laie bekommt das in ein paar Minuten hin.
Die sollte dann die gleichen Funktionen, wie 3x-5x so teure Business-Router, mit Bravur erfüllen.
Softwareseitig gibts dann natürlich die "Plug&Play Lösung" wie Hamatchi https://secure.logmein.com/DE/products/hamachi/ oder ähnliche Produkte....
Sorry komme mit der Forensoftware nicht ganz klar ...
Dafür gibt es hier FAQs die man lesen kann !Also wie beschrieben soll das ohne Veränderung der existierenden Hard- und Software funktionieren
Damit ist ja dann die Entscheidung gefallen: VPNs mit der FritzBox !!es ist denkbar das ich für jede Filiale eine zusätzliche Fritzbox besorge
Wozu denn der Unsinn ?? Wenn du eine FB hast die VPN supportet warum dann noch eine 2te sinnlos dazukaufen ?Mit der Fritzbox kann ein Dummi wie ich eine VPN Verbindung einrichten, ausprobieren und dann vor Ort an den vorhandenen Modemrouter anstöpseln.
Ja, aber warum denn nicht gleich den vorhandene Modemrouter dazu nehmen. DAS macht Sinn ! Keine Router Kaskade.Ganz so einfach mit simplen "Anstöpseln" geht es bei solch einer Router Kaskade natürlich nicht.
Auch ein "Dummie" wie du sollte wissen das sich auf dem Router davor eine Firewall befindet und die lässt keinerlei von außen initiierte Verbindungen zu.
Ohne eine entsprechende Port Forwarding Konfiguration auf dem Router davor, der die entsprechenden IPsec Ports an die dahinter kaskadierte WAN IP Adresse des "angestöpselten" Routers forwardet wird das also nie funktionieren.
Um dich von dieser Fricklei zu befreien deshalb der ernstgemeinte Tip das IMMER wenn möglich auf dem bestehenden Router zu realisieren, denn dort hast du diese Problematik nicht !
Die Fritzboxen in der Filialen können hoffentlich eine private IP Adresse haben, die sollen als VPN Client sich durch die existierenden Modem Router hindurch an eine VPN-Server-Fritzbox mit festen IP (DDNS) einloggen an der angeschlossen der PC mit der PC-Stechuhr Software läuft und permanent Online bleiben.
Das ist wie gesagt gängige VPN Praxis die Millionenfach so im Einsatz ist....Wie gesagt wenn man dem exisistierenden Router ein korrektes Port Forwarding konfiguriert...sonst kommt das nicht zum Fliegen !
Ausnahme ist OpenVPN, denn das ist ein SSL basiertes VPN. Wenn du einen OpenVPN Router dahinter kaskadierst musst du auf der Filialseite keinerlei Port Forwarding definieren.
Dafür reicht dann ein billiger WRT54 oder auch ein 20 Euro TP-Link_WR841N den man mit OpenWRT Firmware betankt und dann mit dem OVPN Package.
Wie das geht steht in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
im Kapitel "OpenWRT Router".
die sind für mich Tabu, da komme ich auch nicht auf die Systemeinstellungen, da kann und will ich nichts verändern.
Das "Tabu" ist dann der Todesstoß für dein VPN Vorhaben....jedenfalls mit IPsec als VPN Protokoll.Du kannst einzig dann nur noch OpenVPN machen !! Sonst kannst du die NAT Firewall des Routers davor nicht überwinden.
Gibt es einen sinnvollen Grund warum du auf das "Tabu" System keinen Zugriff hast ?
Ist das ein "Tabu" Zwangsrouter vom Provider ?
Bei letzterem musst du so oder so IMMER eigenes Equipment danach verwenden, denn vertrauen kannst du solcher HW natürlich dann niemals. Ein VPN dadrauf erübrigt sich dann damit auch.
500€ musst du nicht ausgeben. Wenn dich 100 Euro nicht stören wäre eine kleine Firewall mit einem Klicki Bunti GUI das richtige:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere von sich aus OVPN fähige Systeme liegen in der gleichen Preisregion.
Billiger bekommst du es nur hin wenn du wie oben schon beschrieben Router Systeme von der Stange mit alternativer Firmware wie OpenWRT oder DD-WRT flashst die alle OVPN supporten. Da bist du dann schon ab 20 Euronen dabei.
OpenWRT und DD-WRT erfordern aber schon etwas Netzwerk Knowhow bei der Einrichtung.
Wie man darauf dann OpenVPN einrichtet erklärt dir dieses Tutorial dann Schritt für Schritt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Oha...
Aus Sicherheitsgründen eine Katastrofe denn ein WLAN zu hacken ist ein Kinderspiel. Was da wohl die Firmen mit den Wartungsverträgen zu sagen ?? Damit hebelst du ja alles an "Tabu" aus.
Allein das Szenario zeigt schon was das für ein planloses Szenario dort vor Ort ist....aber egal..ist ja nicht das Thema hier.
Zurück dazu also....
Fazit: Alles was OpenVPN kann ist dein Freund !
diese Hardware haben irgend welche IT-Firmen da hingestellt, die haben Wartungsverträge und haben alles passwortgeschützt etc.. Ich WILL da überhaupt nichts dran ändern, selbst wenn ich Zugriff auf z.B. die Menues der Fritzbox hätte.
und dann aber...in drei Filialen irgend einen WLAN Router angesteckt und hab so dort einen Internetzugang für meinen Freund ermöglicht,
Das wiederspricht sich da diametral !!Aus Sicherheitsgründen eine Katastrofe denn ein WLAN zu hacken ist ein Kinderspiel. Was da wohl die Firmen mit den Wartungsverträgen zu sagen ?? Damit hebelst du ja alles an "Tabu" aus.
Allein das Szenario zeigt schon was das für ein planloses Szenario dort vor Ort ist....aber egal..ist ja nicht das Thema hier.
Zurück dazu also....
Fazit: Alles was OpenVPN kann ist dein Freund !
sitzt noch mal eine Hardware/Firewall/Router/bla-blubber
OK, das sieht dann anders aus und ist auch nicht planlos... Wenn du das vorher geschildert hättest wäre der Kommentar auch überflüssig gewesen Ein Modem kann übrigens niemals ein Angriffspunkt sein, denn Modems sind immer passive Medienwandler. Du verwechselst hier leider wie so häufig den Begriff Modem mit Router...aber egal.
Alle Router die einen USB Port haben supporten in der Regel an diesen auch USB UMTS Sticks so das damit dann eine OVPN Vernetzung möglich ist.
Vergiss das aber... ist in deinem Szenario gar nicht nötig, denn das kann die von dir favorisierte Asus Kiste ja über Draht.
Hauptsache du hast das hier gelesen:
http://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
.Modem-Router wäre auch die perfekt richtige Bezeichnung technisch dafür. Für eine technische Beschreibung eines Sachverhalts, besonders wenn man sich nicht sieht wie hier in einem Forum, ist das aber wichtig und wird immer wieder falsch gemacht hier. Es gibt ja immer auch getrennte Szenarien wo Router und Modem getrennt sind.
Aber wollen wir mal nicht ganz so spitzfindig werden hier
Was aber leider oft der Fall ist das Otto DAU User sich nicht um die Konfig schert und auf diesen Systemen die Hersteller aus Bequemlichkeit UPnP aktiviert haben.
Damit kann dann jedes Endgerät ungefragt automatisch Löscher in die Firewall bohren. Da reicht der FTP Server oder das NAS auf dem FTP aktiviert ist um unbemerkt via UPnP per Port Forwarding die Firewall zu öffnen.
Genau das ist vermutlich auch bei dir passiert.
Deshalb die goldenen Regel als erstes UPnP zu deaktivieren auf einem Router !!!
Und....ab und zu mal einen Wireshark ins Netz klemmen und sehen was da so los ist... oder einen kleinen Raspberry Pi dafür bemühen:
Netzwerk Management Server mit Raspberry Pi
--> Kapitel: "Was ist los im Netzwerk"
Aber wollen wir mal nicht ganz so spitzfindig werden hier
Das die Teile doch regelmässig Löcher haben ist wohl unvermeidbar.
Nein, diese Feststellung ist schlicht falsch !! Mal ausgenommen von irgendwelchen Bugs.Was aber leider oft der Fall ist das Otto DAU User sich nicht um die Konfig schert und auf diesen Systemen die Hersteller aus Bequemlichkeit UPnP aktiviert haben.
Damit kann dann jedes Endgerät ungefragt automatisch Löscher in die Firewall bohren. Da reicht der FTP Server oder das NAS auf dem FTP aktiviert ist um unbemerkt via UPnP per Port Forwarding die Firewall zu öffnen.
Genau das ist vermutlich auch bei dir passiert.
Deshalb die goldenen Regel als erstes UPnP zu deaktivieren auf einem Router !!!
Und....ab und zu mal einen Wireshark ins Netz klemmen und sehen was da so los ist... oder einen kleinen Raspberry Pi dafür bemühen:
Netzwerk Management Server mit Raspberry Pi
--> Kapitel: "Was ist los im Netzwerk"