Home Office Thin Client (Sophos + Dell)

Mitglied: nachgefragt
Hallo Administratoren,

für das Thema Home Office haben wir folgenden Wunsch.

IST-Zustand
  • Benutzer bekommt Windows-10 Client (+ TFT) mit nach Hause
  • installiert seinen Sophos VPN Client,
  • gibt die Zugangsdaten ein
  • und verbindet sich i.d.R. auf den Terminalserver.

SOLL Zustand
  • Benutzer bekommt einen Linux-ThinClient (+ TFT) mit nach Hause
  • muss die Zugangsdaten eingeben (Benutzername kann ggf. gespeichert werden)
  • und kann (nur) auf dem Terminalserver arbeiten.

= kein Windows
= keine Installation durch Benutzer

Fragen
Konnte/kann man dies mit einer Sophos SG230 + Dell Wyse 3040 ThinClient ermöglichen?
Welchen ThinClient nutzt ihr dafür?

Danke für euren Input!

Content-Key: 577685

Url: https://administrator.de/contentid/577685

Ausgedruckt am: 27.11.2021 um 01:11 Uhr

Mitglied: sabines
sabines 08.06.2020 um 11:12:21 Uhr
Goto Top
Moin,

erste Frage: Wie viele Benutzer sollen das nutzen?
zweite: Haben diese ggfs. Hardware zu Hause?

Je nachdem, könntest Du bei wenigen Nutzern mit Hardware vor Ort, USB Sticks nutzen (oder selber erstellen), mir fällt der Name nicht ein. Du startest im Prinzip auf/über den Stick ein angepasstes Linux/Ubuntu mit VPN Client und RDP zum RDS.

Gruss
Mitglied: NordicMike
NordicMike 08.06.2020 um 11:25:11 Uhr
Goto Top
Ja, das geht, du msusst nur dafür sorgen, dass die Thin Clients irgendwie booten, damit wärst du wieder beim Erstellen von bootfähigen USB Sticks.

Dem Sophos musst du dann noch in der Firewall sagen, dass über VPN alle Ports gesperrt sind, bis auf den Port für den Remote Desktop.
Mitglied: nachgefragt
nachgefragt 08.06.2020 um 11:27:12 Uhr
Goto Top
Zitat von @sabines:
erste Frage: Wie viele Benutzer sollen das nutzen?
Die Nachfrage steigt.
zweite: Haben diese ggfs. Hardware zu Hause?
Unternehmensfremde Hardware ist untersagt.
Mitglied: nachgefragt
nachgefragt 08.06.2020 um 11:29:19 Uhr
Goto Top
Zitat von @NordicMike:
Ja, das geht, du msusst nur dafür sorgen, dass die Thin Clients irgendwie booten, damit wärst du wieder beim Erstellen von bootfähigen USB Sticks.
Das habe ich nicht ganz verstanden. Die Thin Clients booten (irgendwie). USB Sticks möchte ich nicht.
Dem Sophos musst du dann noch in der Firewall sagen, dass über VPN alle Ports gesperrt sind, bis auf den Port für den Remote Desktop.
Das ist bereits eingestellt, da die Kollegen bereits jetzt von zu Hause aus so arbeiten.
Mitglied: tech-flare
tech-flare 08.06.2020 aktualisiert um 11:33:33 Uhr
Goto Top
Fragen
Konnte/kann man dies mit einer Sophos SG230 + Dell Wyse 3040 ThinClient ermöglichen?
Welchen ThinClient nutzt ihr dafür?
Ja...klar !

Wir nutzen DEll Wyse, Fujitsu Furot & IGEL ThinClients jeweils mit IGEL OS. Diese conencten sich automatisch per VPN beim Boot

Wir haben davon ca 250 ThinClients im Einsatz, wovon über 80 im HomeOffice sind
Mitglied: tech-flare
tech-flare 08.06.2020 um 11:32:47 Uhr
Goto Top
Zitat von @NordicMike:

Ja, das geht, du msusst nur dafür sorgen, dass die Thin Clients irgendwie booten, damit wärst du wieder beim Erstellen von bootfähigen USB Sticks.
Es kommt drauf an, ob er eines festes OS hat (z.B. IGEL OS) oder OpenThinClient, welches über PXE bootet.
Mitglied: nachgefragt
nachgefragt 08.06.2020 aktualisiert um 11:46:16 Uhr
Goto Top
Zitat von @tech-flare:
Es kommt drauf an, ob er eines festes OS hat (z.B. IGEL OS) oder OpenThinClient, welches über PXE bootet.

Danke, nutzt ihr das in Kombi mit Dells "Wyse ThinOS"?
Mitglied: tech-flare
tech-flare 08.06.2020 um 12:06:33 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @tech-flare:
Es kommt drauf an, ob er eines festes OS hat (z.B. IGEL OS) oder OpenThinClient, welches über PXE bootet.

Danke, nutzt ihr das in Kombi mit Dells "Wyse ThinOS"?

Nein, ich habe doch geschrieben IGEL OS. Damit sind wir flexibler, als mit dem Dell Thinclient OS
Mitglied: NordicMike
NordicMike 08.06.2020 um 13:16:54 Uhr
Goto Top
Wo siehst du noch Probleme? Booten tut er, VPN Client sollte auch leicht einzurichten sein. Was fehlt dir noch zu deinem Glück?
Mitglied: maretz
maretz 08.06.2020 um 13:26:19 Uhr
Goto Top
na - sei froh das ich nich bei euch bin... alleine für den Spass würde ich schon fragen wie es denn mitm Internet aussieht - wenn ich keine Unternehmensfremde Hardware nutzen darf is es ja blöd mein Modem zu nutzen ;) Und meine Steckdose erst - die is aber mal sowas von Unternehmensfremd :D
Mitglied: nachgefragt
nachgefragt 08.06.2020 aktualisiert um 14:23:22 Uhr
Goto Top
Zitat von @NordicMike:
Was fehlt dir noch zu deinem Glück?
Die Antwort ob jemand praktische Erfahrung mit

Sophos SG230 + Dell Wyse 3040 + Dell ThinOS + VPN Verbindung aus dem Home-Office

hat, andernfalls wäre IgelOS eine Option.
Mitglied: nachgefragt
nachgefragt 08.06.2020 um 14:25:53 Uhr
Goto Top
Zitat von @maretz:
na - sei froh das ich nich bei euch bin...
;-) face-wink ...das bin ich, solche Kollegen braucht keiner!

Es ist natürlich selbstversändlich das Ressourcen wie Internet (WLAN) und Strom im Home-Office vom Verbot unternehmensfremder Hardware ausgeschlossen sind.
Mitglied: sabines
sabines 08.06.2020 um 15:11:37 Uhr
Goto Top
Zitat von @nachgefragt:

Es ist natürlich selbstversändlich das Ressourcen wie Internet (WLAN) und Strom im Home-Office vom Verbot unternehmensfremder Hardware ausgeschlossen sind.

Wie geil, unternehmensfremde HW verbieten, aber den Connect per WLAN!
Mitglied: maretz
maretz 08.06.2020 um 15:27:01 Uhr
Goto Top
Und die ganzen Kabel (Strom, Netzwerk,...)?

Das ganze soll auch nur zeigen wie schön es ist wenn IT die Richtlinen aufstellt aber eben nur solang es zum VORTEIL der Firma is...
Mitglied: tech-flare
tech-flare 08.06.2020 aktualisiert um 15:54:50 Uhr
Goto Top
Das wird genauso gut funktionieren, wenn das Dell ThinOS ein VPN mit onboard hat
Mitglied: tech-flare
tech-flare 08.06.2020 aktualisiert um 15:37:17 Uhr
Goto Top
@maretz

Und ihr stell wohl euren Mitarbeitern alles und seid die Helden? Oder seid ihr so modern und bietet kein HomeOffice an? Oder interessiert es euch nicht, mit was die Mitarbeiter bei euch ins Netz gehen?
Mitglied: tech-flare
tech-flare 08.06.2020 aktualisiert um 15:41:15 Uhr
Goto Top
Zitat von @sabines:

Zitat von @nachgefragt:

Es ist natürlich selbstversändlich das Ressourcen wie Internet (WLAN) und Strom im Home-Office vom Verbot unternehmensfremder Hardware ausgeschlossen sind.

Wie geil, unternehmensfremde HW verbieten, aber den Connect per WLAN!

Wo siehst du das Problem? Denn wenn du paranoid bist, dürften sich deine MA auch nicht in Hotel WLAN connecten

Wenn man den gesamten Traffic durch VPN leitet und das private Netz bei aktiver Verbindung nicht zulässt verhindert man grundsätzlich erstmal die gleichzeitige Nutzung von VPN und des privaten Netzwerkes

Davon mal abgesehen kannst du mit einem richtig konfigurierten ThinClientOS nicht viel anfangen.

Dann konfigurierst du noch Secure Boot und verhinderst das Booten von anderen Medien und die ThonClient HW ist nutzlos für was anderes
Mitglied: nachgefragt
nachgefragt 08.06.2020 um 15:50:19 Uhr
Goto Top
Zitat von @tech-flare:
Das wird genauso gut funktionieren, wenn das Dell ThinOS ein ThinClient mit onboard hat

Danke, das prüfen wir.

@ sabines
Natürlich, wuebra hat ein praktisches Beispiel genannt. WLAN im Home Office wird bevorzugt, alternativ xx Meter Kabel durch Haus/Wohnung zu ziehen

@ maretz
Home Office ist auch zum Vorteil des Mitarbeiters (auch ich bin einer davon). Wie gehst du denn mit der Home-Office Situation als Adminstrator um, hinsichtlich DSVGO-Richtlinien und IT-Sicherheit?

Artikel erst von Samstag
"Hinzu kommt, dass sich die weniger gut geschützte IT-Oberfläche, seitdem Millionen von Menschen kurzfristig von zu Hause aus arbeiten, vergrößert hat", heißt es in dem Papier der CDU-nahen Stiftung, das der Deutschen Presse-Agentur vorliegt. Anders als bei großen Unternehmen, Behörden und Organisationen fehle dort in der Regel professioneller Schutz für das IT-System.
Quelle: https://www.heise.de/news/Mehr-Angriffsflaeche-fuer-Cyberkriminelle-in-d ...

Ich freu mich auf deine Anregungen!
Mitglied: maretz
maretz 08.06.2020 um 15:56:05 Uhr
Goto Top
Ähm - das kommt da ein wenig drauf an, bei den meisten bei uns kannst du dir überlegen ob die homeoffice haben oder es nicht möglich ist -> das is jetzt ne ziemlich schwere Frage... Da die Crew an Bord der Schiffe schläft bin ich wirklich nicht sicher wie man das jetzt nennen möchte ... ;). Was dann aber die nächste Frage aufwirft - wenn du über (je nach Vertrag) 4/4 oder 8/4 wochen im Homeoffice lebst, schläfst, isst,... -> is das dann gut oder nich...)

Und doch, es gibt natürlich auch Homeoffice - allerdings sind die Regeln eben auch generell nicht so streng. Es wäre aber u.a. auch kein Problem z.B. das Mobiltelefon als Hotspot zu nehmen...
Mitglied: nachgefragt
nachgefragt 08.06.2020 um 17:00:53 Uhr
Goto Top
Zitat von @maretz:
Ähm - das kommt da ein wenig drauf an, bei den meisten bei uns kannst du dir überlegen ob die homeoffice haben oder es nicht möglich ist -> das is jetzt ne ziemlich schwere Frage... Da die Crew an Bord der Schiffe schläft bin ich wirklich nicht sicher wie man das jetzt nennen möchte ... ;). Was dann aber die nächste Frage aufwirft - wenn du über (je nach Vertrag) 4/4 oder 8/4 wochen im Homeoffice lebst, schläfst, isst,... -> is das dann gut oder nich...)
In #1 hatte ich IST und SOLL Zustand erklärt, was du kommentierst verstehe ich hinsichtlich dessen nicht. Was genau möchtest du sagen?

Es wäre aber u.a. auch kein Problem z.B. das Mobiltelefon als Hotspot zu nehmen...
Es ist sicherlich kein "Problem" ansich xx Smartphones anzuschaffen...
aber warum sollte man auf ein Mobiltelefon ausweichen?
Und welchen Mobilfunkvertrag sollten wir deiner Meinung nach nutzen, bei einem 8h-Home-Office-Tag?

Problematisch ist aber die Netzabdeckung, gerade in ländlicher Gegend.

zum VORTEIL der Firma is...
Welchen "VORTEIL" hat dies dann für den Mitarbeiter?
Der administrative Aufwand (DSVGO, IT-Sicherheit, Verwaltung,...) für Smartphones ist dir geläufig?
Mitglied: Fabezz
Fabezz 08.06.2020 aktualisiert um 18:43:09 Uhr
Goto Top
Tag,
ich habe mir mal den Admin Guide angeschaut.
Falls du lesen willst:
https://www.dell.com/support/manuals/de/de/debsdt1/wyse-5070-thin-client ...

Hier ist ein VPN Manager aber ob der mit OpenVPN kann ist hier nicht ersichtlich. Des Weiteren kommt es darauf an was du bei dir stehen hast. Einzelner RDS Host oder eine Farm mit RDGW RDCB.
So wie ich das nämlich verstanden habe benötigt ThinOS das letztere.

Warum willst denn so teure Remote Plätze bauen?
Geb denen ein Raspberry mit OpenVPN und Remote Desktop App drauf und fertig. Ist doch eh nur Bildübertragung und sparst dir 200 Euro. 40 Euro Raspi + Monitor deiner Wahl.
Bist zumindest nicht an das ThinOS gebunden.

Edit: du hast doch eh ne Sophos am start. Warum informierst dich net übers HTML5 Portal? Da können die User ihre eigene Hardware ohne Bedenken benutzen!


Gruß
Mitglied: nachgefragt
nachgefragt 08.06.2020 aktualisiert um 20:00:32 Uhr
Goto Top
Zitat von @Fabezz:
Tag,
ich habe mir mal den Admin Guide angeschaut.
Falls du lesen willst:
https://www.dell.com/support/manuals/de/de/debsdt1/wyse-5070-thin-client ...
Tag,
ja das Handbuch kenne ich natürlich, aber...
Hier ist ein VPN Manager aber ob der mit OpenVPN kann ist hier nicht ersichtlich.
... genau, hab ich auch nicht gefunden.

Warum willst denn so teure Remote Plätze bauen?
Geb denen ein Raspberry mit OpenVPN und Remote Desktop App drauf und fertig. Ist doch eh nur Bildübertragung und sparst dir 200 Euro. 40 Euro Raspi + Monitor deiner Wahl.
Die Dell Wyse ThinClients haben wir ja schon.
Aber ja - es ist für unsere Azubis ein nettes Projekt, d.h. einen Raspberry Pi RDP fähig zu machen. Es müsste aber mindestens die gleichen Features wie heute haben:

Kannst du da etwas empfehlen?

Bist zumindest nicht an das ThinOS gebunden.
Das benötigen wir wegen der kostenlos eingesetzten Dell Wyse Management Suite, für uns von Vorteil.

Warum informierst dich net übers HTML5 Portal? Da können die User ihre eigene Hardware ohne Bedenken benutzen!
Unternehmensfremde Hardware ist untersagt.
Das HTML5 nutzen wir in Ausnahmefällen, die Performance ist aber leider (standortabhängig) schlechter im Vergleich zu RDP.
Mitglied: Fabezz
Fabezz 08.06.2020 aktualisiert um 20:58:40 Uhr
Goto Top
Wenn du die Wyse schon hast warum probierst du es einfach nicht mal aus?
Du hast doch die vor dir stehen und wie kann man mehr Erfahrung mit den Dinger sammeln als wenn se Griffbereit sind. Wir müssen auch die Guides lesen wenn wir das Teil nicht haben.

Raspi 4 hat 2x HDMI.

Artikel inkl. Citrix
https://www.citrix.com/blogs/2019/07/08/how-good-is-the-new-raspberry-pi ...

Raspi hat kein zentrales Management. Du kannst aber puppet oder sowas nehmen. Linux Guides gibts bei g00gl3.
Mitglied: Dani
Dani 08.06.2020 um 21:41:18 Uhr
Goto Top
Moin,
Unternehmensfremde Hardware ist untersagt.
was hofft ihr damit zu gewinnen? Ein Blumentopf ist es nicht... ;-) face-wink

Das HTML5 nutzen wir in Ausnahmefällen, die Performance ist aber leider (standortabhängig) schlechter im Vergleich zu RDP.
Dann nutzt ihr das falsche Produkt oder es liegt ein Konfigurationsfehler vor. Könnte auch an der eingesetzten Version von Windows Server liegen. Da hat sich in den letzten Jahren viel getan. Auch auf Hinblick der Nutzung von RemoteFX.

Was schöneres/bequemeres gibt es für IT und Arbeitnehmer nicht. Keine Abhängigkeiten - weder Software noch Hardware. Keine Investitionskosten für das Unternehmen, Minimierung der Fehler und somit Auslastung des UHD, einfacher Rollout, einfacher Rollback, etc.. 2 FA darf natürlich nicht fehlen. Was will man mehr...
Mitglied: sabines
sabines 09.06.2020 aktualisiert um 07:02:09 Uhr
Goto Top
Zitat von @tech-flare:

Wo siehst du das Problem? Denn wenn du paranoid bist, dürften sich deine MA auch nicht in Hotel WLAN connecten


Für solche Zwecke gibt es LTE Sticks und was weiß ich noch alles, solltest Du eigentlich kennen.
Und wer unternehmensfremde HW verbietet, nicht mal wenn mit einem Stick "entkoppelt" aber das WLAN etc. erlaubt, der hat, so wie Du, einfach nicht zu Ende gedacht. Da gibt es auch nichts zu deuteln, sorry.
Ich bin dann mal raus ;-) face-wink
Mitglied: nachgefragt
nachgefragt 09.06.2020 aktualisiert um 07:34:11 Uhr
Goto Top
Zitat von @Fabezz:
Du hast doch die vor dir stehen
Guten Morgen,
nein - ich habe das Gerät nicht vor mir stehen; aber ich suche hier eine zweite Meinung ob es nicht/geht oder eben doch. Aber ich gebe es weiter.

Wir müssen auch die Guides lesen wenn wir das Teil nicht haben.
Das war nicht meine Intenstion, eher hatte ich gehofft jemand kann von seiner praktischen Erfahrung berichten.

Raspi hat kein zentrales Management. Du kannst aber puppet oder sowas nehmen. Linux Guides gibts bei g00gl3.
Somit bevorzuge ich das bestehende und funktionierende System.
Meine Azubis können sich das dennoc mal genauer anschauen, irgendwann.
Mitglied: nachgefragt
nachgefragt 09.06.2020 um 07:32:28 Uhr
Goto Top
Zitat von @Dani:
was hofft ihr damit zu gewinnen? Ein Blumentopf ist es nicht... ;-) face-wink
Guten Morgen,
in meiner Frage wollte ich die Vorgaben der GL nicht in Frage stellen, daher bitte um Nachsicht wenn ich den Punkt nicht mehr weiter kommentieren möchte. HTML5 fällt damit ebenfalls weg.
Mitglied: nachgefragt
nachgefragt 09.06.2020 um 07:33:05 Uhr
Goto Top
Zitat von @sabines:
Ich bin dann mal raus ;-) face-wink
Guten Morgen, vielen Dank dafür.
Mitglied: tech-flare
tech-flare 09.06.2020 um 10:01:05 Uhr
Goto Top
Zitat von @sabines:

Zitat von @tech-flare:

Wo siehst du das Problem? Denn wenn du paranoid bist, dürften sich deine MA auch nicht in Hotel WLAN connecten


Für solche Zwecke gibt es LTE Sticks und was weiß ich noch alles, solltest Du eigentlich kennen.
Und wer unternehmensfremde HW verbietet, nicht mal wenn mit einem Stick "entkoppelt" aber das WLAN etc. erlaubt, der hat, so wie Du, einfach nicht zu Ende gedacht. Da gibt es auch nichts zu deuteln, sorry.
Ich bin dann mal raus ;-) face-wink

Du denkst scheinbar nicht zu Ende! Wo siehst du das Problem mit einem fremden wlan?
Mitglied: nachgefragt
nachgefragt 09.06.2020 um 11:58:22 Uhr
Goto Top
Zitat von @tech-flare:
Du denkst scheinbar nicht zu Ende! Wo siehst du das Problem mit einem fremden wlan?

Ich glaube uns geht es ähnlich, ich kann in den Kommentaren von sabines leider nichts Nützliches finden. Scheinbar stört den Kollegen eine feste Vorgabe, sodass die eigentliche Frage bei ihm untergeht und eine völlige Nebensache debatiert wird.

OFF-Topic
"LTE-USB-Stick" hatte ich seit min. 10 Jahren nicht mehr einsetzen müssen (dank Smartphone-Hotspot keine Mulit-SIM mehr), und eignen sich ohne unbegrenztes Datenvolumen auch nicht für das Home-Office.
= Aber auch das ist hier nicht das Thema.

Sollten wir den DELL Wyse mit ThinOS zum Laufen bekommen gebe ich hierzu ein Feedback.
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server10 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 19 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 12 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...