tuxhunt3r
Goto Top

Günstige Lösung für Arbeiten an Remotestandort gesucht

Tag ans Forum

Ich habe eine Anwaltskanzlei als Kunden. Diese hat sich eine andere Anwaltskanzlei einverleibt, sodass sich die Frage stellt, wie man diese zweite Kanzlei anbindet. Wir haben also Hauptstandort A und Aussenstandort B. Beim Hauptstandort A hat es vor Ort ein "normales" SBS-2003 Netzwerk mit einer Kanzleisoftware, die sich praktisch überall eingräbt, d.h. das Ding hat eine Schnittstelle zu Outlook, zu Word, etc. Die Mitarbeiter am Standort B sollen mit genau dieser Software samt allen Funktionen arbeiten können. Wichtig ist, dass das Netzwerk an Standort B nicht grossartig verändert werden darf, da dort noch ein Treuhand-Büro am selben SBS 2003 angehängt ist, welche auch wieder eine Spezialsoftware drauf läuft. Ich habe der Anwaltskanzlei nun eine Sonicwall RSA-1200 sowie einen Terminalserver mit 5 Lizenzen offeriert, was beides an Standort A installiert wird. Die Mitarbeiter an Remotestandort B geben also in Ihrem Webbrowser die externe IP des Standorts A ein, werden auf das GUI der Sonicwall geleitet, installieren einmalig pro Client das Zertifikat und stellen dann eine Remotedesktop-Verbindung auf den Terminalserver her (Testumgebung der Sonicwall liegt hier: https://virtualassist.demo.sonicwall.com/cgi-bin/welcome).

Soweit so gut. Nun ist das meinem Kunden aber zu teuer (war ja klar) und er will eine günstigere Offerte. Ich habe nun an folgendes gedacht: Ich lass dem Kunden seine ZyXel ZyWall 2, stelle Ihm einen Terminalserver hin, mache ein Portforwarding auf den Remotedesktopport vom Terminalserver und nutze die "normale" Verschlüsselung von Remotedesktop zusammen mit einem Zertifikat. Reicht das von der Sicherheit her und wenn ja, (blöde Frage), wie geht das?

Soweit ich weiss ist die Vorgehensweise in so einem Fall ungefähr so (habe ich so noch nie gebraucht):
- An Hauptstandort A ein Zertifikat über http://DC/certserv generieren
- Irgendwie den Terminalserver so einstellen, dass man nur mittels Zertifikat drauf connecten kann (weiss ich nicht wo, müsste ich noch googeln)..
- Zertifikat in Remotestandort B auf allen Rechnern wo nötig installieren
- Remotedesktop-Verbindung herstellen => Ding Dong, es läuft.

Tönt das so gut oder stelle ich mir das Ganze falsch vor?


Was nicht in Frage kommt ist eine "normale" VPN-Verbindung, d.h. per Site-To-Site oder so, da das Netzwerk an Standort B so bleiben soll, wie es ist und die Kunden an Remotestandort B auch parallel in beiden Netzwerken arbeiten können (einfach gesagt).

Danke für eine Antwort

gruss

TuXHunT3R

Content-ID: 175804

Url: https://administrator.de/contentid/175804

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

NetWolf
NetWolf 04.11.2011 um 17:35:51 Uhr
Goto Top
Moin Moin,

Was nicht in Frage kommt ist eine "normale" VPN-Verbindung, d.h. per Site-To-Site oder so,
das kann ich so nicht nachvollziehen

da das Netzwerk an Standort B so bleiben soll, wie es ist und die Kunden an Remotestandort B auch parallel in beiden Netzwerken arbeiten können (einfach gesagt).
und was davon geht bei einer VPN Verbindung nicht (einfach gefragt)?

Bitte hier lesen http://de.wikipedia.org/wiki/Virtual_Private_Network

Grüße aus Rostock
Wolfgang
(Netwolf)
Hubert.N
Hubert.N 04.11.2011, aktualisiert am 18.10.2012 um 18:49:00 Uhr
Goto Top
Moin

Das du keinen VPN-Tunnel zwischen den Standorten einrichten willst kann ich gerade auch nciht nachvollziehen. Alles außer dem ist in meinen Augen rumgefrickel.
Die Argumentation, dass du an dem Netz nichts verändern darfst zieht auch nicht, denn gerade bei einer Kopplung der Standorte über eine Firewalllösung musst du am wenigsten am bestehenden Netz verändern.

Den Punkt "Kostenfaktor" kann ich nicht nachvollziehen. Wenn etwas an dem Projekt Geld kostet, dann dürfte es doch wohl der Terminalserver mit den Lizenzen sein. Eine gute Firewall kannst du fast zum Nulltarif bekommen. Lies dir doch mal den
Artikel Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät von aqui durch. Neben der monowall gibt es auch noch andere Produkte aus dem Bereich wie z.B. IPFire, die ihren Dienst tun und dich nur die Hardware kosten.

Gruß

Hubert
mrtux
mrtux 05.11.2011 um 07:21:55 Uhr
Goto Top
Hi !

Sei mir nicht böse aber das hört sich für mich alles andere als professionell an und das auch noch bei einer Anwaltskanzlei. Ich würde das auf keinen Fall ohne ein VPN realisieren und eben schon gar nicht in einer Anwaltskanzlei, denn wenn da was schief läuft, dann brauchst Du auch einen...

Arbeite an deinem sicheren Auftreten als Profi und erkläre dem Anwalt, was da alles schief gehen kann (Beispiele gibt es doch da genug z.B. Schweigepflicht, Mandanten, Zeugen oder Informantenschutz usw.) und wenn Du ihn dann immer noch nicht überzeugen kannst, dann lass ihn zumindest dafür unterschreiben, dass Du ihn über die Risiken aufgeklärt hast und am besten gleich noch eine Haftungsbeschränkung dazupacken. Das wirkt (gerade bei Anwälten) und zeigt ihm, dass Du Ahnung von dem Thema hast, das Thema Sicherheit nicht auf die leichte Schulter nimmst und zu einer sicheren und vor allem professionellen Umsetzung seines Anliegens bestrebt bist.

Wenn mir ein Anwalt mit Geiz ist geil kommen würde und absolut beratungsresistent wäre, dann würde ich mein Köfferchen packen und das Feld einem Kollegen überlassen, denn wenn hinterher nur das Geringste vorkommt, ist dem Anwalt plötzlich jeder Aufwand (Gutachten usw.) recht, um mir evt. Fehler nachzuweisen und mich irgendwie in die Haftung zu bringen, denn in dem Bereich ist er der Profi.

So einen ähnlichen Fall hatten wir hier schon (ist schon ewig her) und man lernt aus solchen Dingen, denn wenn man bei so einem Auftrag hinterher Geld bringen muss, braucht man morgens nicht aufzustehen, sondern kann im Bett bleiben und sich den Bauch kraulen lassen.... face-wink

mrtux
aqui
aqui 05.11.2011, aktualisiert am 18.10.2012 um 18:49:01 Uhr
Goto Top
Es ist in der Tat nicht wirklich nachzuvollziehen warum eine Site to Site Verbindung ausgeschlossen ist.
Man muss ja keineswegs etwas an den Netzen verändern sofern diese nun nicht dummerweise gerade beide mit einer identischen Dummie Adressierung ala 192.168.0.0 /24 arbeiten !
Solange beide netze unterschiedliche IP Netze benutzen ist doch alles im grünen Bereich !
Eine kleine preiswerte Firewall wie diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Eine Site to Site Verbindung mit IPsec oder OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Fertig ist der Lack !
Noch einfacher bekommst du das mit ein paar VPN Routern von der Stange hin z.B. Draytek.
Da sinds dann nur 3 Mausklicks und du hast die Standort zusammengebunden !
Dann ist es doch für die Clients viel einfacher zu arbeiten so als ob alles lokal ist als wenn sie unsinnigerweise noch einen lokalen VPN Client starten müssen.
Wer macht denn sowas bei einer Standortkopplung ? Das wäre überflüssiger Unsinn. Von deiner höchst bedenklichen Lösung ein Loch in die jeweiligen Router Firewalls zu bohren um TS Traffic zu forwarden mal ganz abgesehen. Sicherheitsseitig ein NoGo !
TuXHunt3R
TuXHunt3R 06.11.2011 um 21:07:06 Uhr
Goto Top
Man muss ja keineswegs etwas an den Netzen verändern sofern diese nun nicht dummerweise gerade beide mit einer identischen Dummie Adressierung ala 192.168.0.0 /24 arbeiten !

Ist der Fall. Ausserdem wird das eine Netz (Remotestandort) nicht von uns betreut. Ist eine Sch***-Situation, ich weiss.....

Dann ist es doch für die Clients viel einfacher zu arbeiten so als ob alles lokal ist als wenn sie unsinnigerweise noch einen lokalen VPN Client starten müssen.

Ist so erwünscht, bitte meinen Eintrag genauer lesen.

Wer macht denn sowas bei einer Standortkopplung ? Das wäre überflüssiger Unsinn. Von deiner höchst bedenklichen Lösung ein Loch in die jeweiligen Router Firewalls zu bohren um TS Traffic zu forwarden mal ganz abgesehen. Sicherheitsseitig ein
NoGo !

Das war ja auch erst eine erste Idee, die ich hatte. Ich bin für andere Vorschläge offen, bin einfach in der Zwickmühle, da die Offerte relativ bald gefordert ist und ich nebenbei auch noch 100 andere Dinge zu tun habe....
chfr77
chfr77 21.11.2011 um 16:20:53 Uhr
Goto Top
Zitat von @TuXHunt3R:
> Man muss ja keineswegs etwas an den Netzen verändern sofern diese nun nicht dummerweise gerade beide mit einer
identischen Dummie Adressierung ala 192.168.0.0 /24 arbeiten !

Ist der Fall. Ausserdem wird das eine Netz (Remotestandort) nicht von uns betreut. Ist eine Sch***-Situation, ich weiss.....

Mach trotzdem einen stehenden Tunnel mit zwei Office-VPN-Billigroutern und die Zweigstelle soll das Netz ändern. Dann stellst Du an dem Standort wo drauf zugegriffen wird ein, wo genau die andern hindürfen. So hast Du die Freiheit, da irgendwas extrabilliges zu nehmen, z.B. 2003-Terminalserver mit gebrauchten Lizenzen aus ebay auf ausrangierten Rechnern von anderen Kunden. face-wink
Wenn die auf superbillig stehen müssen sie halt Kompromisse machen. Du musst denen klarmachen, dass am Ende nur Probleme entstehen wenn die 2 SBS-Domänen mit gleichen Adressen ineinander mit irgendwelchen Abenteuerlösungen verknödeln.

Lass Terminalserver und Extrazeug auf den SBS-DC's lieber sein. Das gibt sonst Probleme mit den beiden SBS-Domänen. Hier sollte auf einen echten Winserver-Std und Exchange umgestell werden. Da das 2003 sbs ist (da weiß ich es sicher), kannst Du Terminalserver eh erst legal nach der SBS-Transition anwenden. Das ganze bei einem Kunden der auf Billig-IT steht und in einem live laufenden Wollmilchsauserver wo wahrscheinlich ein überfüllter Exchange mit drauf ist wird etwas für starke Nerven.

Ich verstehe die Idee, dass man die Limitationen mit mehreren Domänen von SBS umgehen will und auch, dass Du da nach Lösungen für den Kunden suchst. Theoretisch ist das aber schon Lizenzbruch, wenn Du auf Windows-Server den Remotedesktop für produktives Arbeiten nimmst (also wofür der kostenpflichtige TS gedacht ist).

Ich glaub nicht, dass eine Anwaltskanzlei, die gerade gewachsen ist, Lust darauf hat wenn Ihnen später nachgewiesen wird, dass sie sich trotz Hinweis von Dir auf einen Urheberrechtsverstoß einlassen. Red nochmal mit denen face-wink
Hubert.N
Hubert.N 21.11.2011 um 18:15:20 Uhr
Goto Top
Zitat von @chfr77:
Lass Terminalserver und Extrazeug auf den SBS-DC's lieber sein. Das gibt sonst Probleme mit den beiden SBS-Domänen.

Naja - die Probleme gibts schon bei der einrichtung, weil sich Terminaldienste nun einmal nicht auf einem SBS installieren lassen.

Eine Änderung eines IP-Netzes ist ohnehin erforderlich, weil sonst das Routing nicht funktionieren kann.

Gruß

Hubert
TuXHunt3R
TuXHunt3R 14.03.2012 um 15:34:13 Uhr
Goto Top
Tag

Habe das Ganze nun mit einer Sonicwall an Standort A realisiert. Die Benutzer an Standort B installieren ein PlugIn in Ihren Internet Explorer und können so eine SSL-VPN Verbindung aufbauen. Läuft stabil. Ich danke für die Feedbacks.