24.03.2020

7891

Kleinunternehmen per VPN auf Server

Hallo Zusammen,

ich habe mich bereits etwas in euer Forum eingelesen und finde wirklich super wie hier geholfen wird.
Zu meinem Anliegen.

Ein guter Freund von mir hat eine Handwerksfirma er hat insgesamt 5 angestellt und 2 Büroarbeitsplätze (2x iMac). Aktuell sind alle seine Firmendaten in der iCloud, damit der mit beiden Mac's auf die Unterlagen drauf zugreifen kann.
Die drei Monteure haben jeweils ein iPad womit auf Fotos und Zeichnungen (aus der iCloud) zugegriffen werden kann. Die benötigen von Unterwegs also ebenfalls Zugriff auf die Daten (allerdings nur auf bestimmte Ordner).

Jetzt möchte er allerdings(endlich) weg von der iCloud und die Daten auf einem Server(eigner oder gemietet, oder eine eigene cloud) ablegen. Der Server kann auch im Unternehmen stehen, damit er im Firmennetzwerk ist. Allerdings möchte er auch von außerhalb drauf zugreifen, also per VPN.

Da ich in diesem Thema nicht so fit bin, könntet ihr mir Vorschläge machen, wie man das am besten umsetzen kann(welche Software, welche Hardware, welche VPN Anbieter, Server Mieten oder eigenen Server im "Keller" usw.)?

Vielen Dank und Gruß
Arthek

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 560450

Url: https://administrator.de/forum/kleinunternehmen-per-vpn-auf-server-560450.html

Ausgedruckt am: 08.04.2025 um 21:04 Uhr

19 Kommentare

Neuester Kommentar

Aktuell sind alle seine Firmendaten in der iCloud

Sehr gefährlich wenn dort persönliche Daten gesichert werden. Da reichen schon die Gehaltskonten der Mitarbeiter um einen gravierenden Verstoß gegen die DSGVO zu rechtfertigen. Das kann gefährlich enden für ihn, denn da drohen drastische Strafen. Man kann nur hoffen das er sich dem bewusst ist.
Sinnvoller wäre hier immer ein kleines lokales NAS (QNAP oder Synology). Auf so einem NAS kann er auch seine Time Machine Sicherung machen und alle Daten bleiben lokal.
Es ist immer wieder verwunderlich wie scheinbar sorglos solche Laien bewusst gegen die DSGVO verstoßen.
Aber ganz andere Baustelle.... Zurück zum VPN

Jetzt möchte er allerdings(endlich) weg von der iCloud

Sehr vernünftig !

Am einfachsten und preiswertesten umzusetzen ist das mit einem NAS:
https://www.qnap.com/de-de/product/series/home
https://www.synology.com/de-de/support/nas_selector
4 Platten rein, Daten drauf und gut iss.
Alle diese NAS bieten auch einen onboard OpenVPN Server mit dem dann per Mausklick auch gleich ein VPN Zugang mit allen Endgeräten erstellt werden kann. Geht, aber langfristig kein gutes Design.

Besser ist es aber immer, aus Sicherheitsgründen, das VPN in der Peripherie zu terminieren. Das macht man dann mit einem VPN fähigen Router oder noch besser mit einer kleinen Firewall wie z.B. DIESER.
Wie sowas dann in der Praxis aussieht erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Diese VPN Lösung deckt alle onboard Clients in allen Betriebssystemen und Smartpones sovie Tabletts ohne zusätzliche Software ab.

Mit kleinem finanziellen Aufwand, also rein nur einem NAS mit ein paar Platten und einer kleinen Firewall, kannst du diese Anforderung schnell und einfach und vor allem rechtssicher für deinen guten Freund lösen.
So einfach ist das...

Hallo Arthek,

ich würde dir ebenso wie aqui empfehlen, einen NAS aufzustellen und dann entweder darauf eine kleine VM mit OpenVPN oder ein Rasberry Pi und OpenVPN drauf und fertig. Das ist meiner Meinung nach das Beste Ergebnis für möglichst wenig Aufwand.

~Vollmilchheini

Moin,

zusätzlich zu den Ausführungen von Aqui:

Sollte der Kleinunternehmer zufällig eine Fritzbox für seinen Internetzugang haben, was gar nicht mal so selten ist, kann man auch das eingebaute VPN nutzen:

https://www.pcwelt.de/a/sicheres-vpn-mit-der-fritzbox-in-fuenf-schritten ...
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...

usw.

lks

Hi Aqui, vielen dank für deine schnelle und vor allem Kompetente Antwort.
Ich werde mich heute Abend mal dran setzten und mich in die Links einlesen.

ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)

Zitat von @Arthek:

ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)

Für das VPN ist es unerheblich. Er kann somit das eingebaute IPSEC-VPN der Fritzbox nutzen.

lks

Zitat von @Lochkartenstanzer:

Zitat von @Arthek:

ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)

Für das VPN ist es unerheblich. Er kann somit das eingebaute IPSEC-VPN der Fritzbox nutzen.

lks

Hallo.

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Also am besten prüfen, ob eine dedizierte IPv4 vergeben wird oder ob es sich wirklich um DS Lite handelt. Denn dann kommt man nur mit Portmapping weiter und ein einfacher DynDNS Dienst reicht nicht mehr aus.

EDIT:
Am besten der Kunde lässt sich eine statische IPv4 von Vodafone geben. Dann ist das mit dem Fritzbox VPN problemlos machbar. Kostet ein paar Euros im Monat mehr, ist aber die günstigste Variante hier ans Ziel zu kommen.

Gruß
Radiogugu

Zitat von @radiogugu:

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Geht prinzipiell auch:

per myfritz dyndns einrichten
Client mitteilen, daß die v6-dyndns-Adresse benutzt werden soll.

lks

Zitat von @Lochkartenstanzer:

Zitat von @radiogugu:

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Geht prinzipiell auch. (per myfritz dyndns einrichten).

lks

Sicher? Laut der offiziellen AVM Seite nämlich nicht.

https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Gruß
Radiogugu

Eine andere Alternative wäre evtl. auch Office 365 Sharepoint von Microsoft. Wenn "Klaut" nicht komplett verbrannt ist.

Sind Office-Lizenzen schon da, dann mit ner Business-Lizenz "Essenzial" von O365, sonst die Premium:

https://www.qualityhosting.de/office-365/tarife/tarifvergleich.html

Die Lizenzen bei Premium sind sowohl Mac/Win/iOS-tauglich (auf mehreren Geräten pro Nutzer!). Die Daten liegen in Deutschland. Und das Thema "Teams" wird ebenso abgefackelt wie 50 GB Exchange/Mail-Postfach. Die Exchange-Einbindung in iOS ist mMn. ziemlich gelungen und stabil. Trotzdem vorher vor allem die Adressen und Termine backupen.

Auch dann wäre eine kleine Syno nicht übel, weil sich damit (unter anderem) komplette Backups vom O365-Konto erstellen lassen, ebenso Domänencontroller bei Bedarf. Ich empfehle dabei auf den Prozessor zu achten, damit ggfs. Virtualisierungen möglich sind (z.B. 718/Intel aufwärts).

Viele Grüße

PS: Wenn NAS, bzw. Syno, dann schau Dir mal Synology Drive an.

Zitat von @radiogugu:
Sicher? Laut der offiziellen AVM Seite nämlich nicht.

Da gibt es dann Probleme je nachdem von wo man kommt, IPv4 auf DS-Lite oder IPv6 auf DS-Lite.
Synology routet das daher über einen eigenen Connectserver der das dann transferiert.

Schön, wenn man eine IPv4 Adresse hat, oder aber IPv4 und IPv6. ;)

Synology routet das daher über einen eigenen Connectserver der das dann transferiert.

Ein Schelm wer Böses dabei denkt !
Ein triftiger Grund das eben NICHT über solche Vermittlungsserver zu machen die entsprechende Userprofile erstellen die dann dubios irgendwohin verkauft und vermarktet werden.
In Firmen ein absolutes No Go.
Deshalb macht man das auch immer in Eigenregie ohne Lauscher in der Mitte !
IPsec, OpenVPN und DynDNS sind dann wie immer die besten Freunde im VPN Umfeld !
Und das in der Peripherie und aus den o.g. Gründen besser nicht intern auf Server und NAS !

So habe mir mal die die Links vorgenommen und mich ein bisschen eingelesen. Dazu habe ich dann ein paar Fragen

Am einfachsten und preiswertesten umzusetzen ist das mit einem NAS:
https://www.qnap.com/de-de/product/series/home
https://www.synology.com/de-de/support/nas_selector
4 Platten rein, Daten drauf und gut iss.
Alle diese NAS bieten auch einen onboard OpenVPN Server mit dem dann per Mausklick auch gleich ein VPN Zugang mit allen Endgeräten erstellt werden kann. Geht, aber langfristig kein gutes Design.

Diese Alternative ist kurzfristig eine Möglichkeit da es schnell und kostengünstig geht. Allerdings hast du in deinem Zweiten post geschrieben, dass man das VPN nicht auf dem NAS sonder auf der Peripherie terminieren soll oder ? Daher ist das auf Dauer keine gute Lösung.

Besser ist es aber immer, aus Sicherheitsgründen, das VPN in der Peripherie zu terminieren. Das macht man dann mit einem VPN fähigen Router oder noch besser mit einer kleinen Firewall wie z.B. DIESER.
Wie sowas dann in der Praxis aussieht erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Diese VPN Lösung deckt alle onboard Clients in allen Betriebssystemen und Smartpones sovie Tabletts ohne zusätzliche Software ab.

Also am besten mit Modem und Firewall. Dazu hab ich eine Frage, pfSense ist da jetzt die Kostengünstige Möglichkeit im Verhältnis zu Sophos oder anderen Namenhaften Herstellern. Ist aber in der Theorie das gleiche oder ? Wenn ja, macht Sophos ja überhaupt kein Sinn, die sind ja mega teuer

.

Vielen Dank für deine Mühen.

Gruß

Zitat von @Arthek:
Also am besten mit Modem und Firewall. Dazu hab ich eine Frage, pfSense ist da jetzt die Kostengünstige Möglichkeit im Verhältnis zu Sophos oder anderen Namenhaften Herstellern. Ist aber in der Theorie das gleiche oder ? Wenn ja, macht Sophos ja überhaupt kein Sinn, die sind ja mega teuer

.

Vielen Dank für deine Mühen.

Gruß

Sophos ist ja schon eine vorbereite Hardware-Lösung. Diese macht Sinn, da dort bestimmte Dienste (App Control, etc.) schon mit der Lizenz erworben werden. Ist einfach ein anderer Ansatz gegenüber Open Source.

PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen und dann entsprechend zu konfigurieren. Netgate verkauft hier zwar auf vorbereitete Lösungen, diese sind aber dann auch gleich ein paar Euros teurer, als so ein APU Board mit Gehäuse und allem.

In jedem Fall eine gute Lösung, da man hier auf eine vollwertige Firewall setzt.

Lass Dich hier von den Tutorials leiten, dann kommst Du Deinem Ziel ein ganzes Stück näher.

Gruß
Radiogugu

PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen

Nein nicht zwingend ! Kann man muss man aber nicht.
Netgate hat auch komplett fertige Appliances:
https://www.pfsense.org/products/
https://www.voleatech.de/de/pfsense/
https://www.scope7.de/hardware/scope7-apu2
Usw. Es gibt zig Anbieter dafür.
Aber warum unnötig dafür zahlen wenn man auch als Laie das mit einem simplen Schraubendreher auch in 10 Minuten selber erledigen kann !?

Zitat von @aqui:

PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen

Meine Rede. Hier scheint aber auch eine Budget-Hürde im Weg zu stehen und die günstigste Netgate Appliances sind schon mal 1/3 teurer als eine APU-Eigenkonstruktion (ausgenommen vielleicht die SG-1100).

Gruß
Radiogugu

Zitat von @aqui:

Aber warum unnötig dafür zahlen wenn man auch als Laie das mit einem simplen Schraubendreher auch in 10 Minuten selber erledigen kann !?

Nicht jeder kann eine Glühbirne im Auto in 5 Minuten wechseln oder hat Lust, sich die Finger schmutzig zu machen. Da zahlt man dann "kleines Geld", damit andere das machen.

lks

Also ob jetzt ein SYNOLOGY/QNAO NAS wirklich die beste und guenstigste Luesung ist wage ich mal zu bezweifeln.

Wenn ich mir da eine Hetzner Cloud mit Storage und Backup preislich anschaue, mit der ich gleichzeitig ein Wireguard Netzwerk aufsetzen kann, dann sehe ich den Kostenfaktor nicht auf der Seite der SYNOLOGY/QNAP Loesung inkl. Kosten fuer Festplatten, Strom, Abschreibungen etc.. Der Faktor GDPR wird dabei auch unterschaetzt und zu Unrecht auf die falsche Seite gezogen. Was ist denn wenn das NAS in der Firma gestohlen wird und alle Daten in falsche Haende gelangen? Wie sollen zum Beispiel Daten aus einem Cloud-Storage verschwinden, wenn die Daten nie lokal vorraetig sind und die Verbindung der VPN auf eine IP begrenzt ist? Da brauch man dann auch keine grossartigen pfSense Experten fuer so einen kleinen Betrieb die grosse Kosten verursachen. Rechnet man das mal alles rein, dann sieht die Welt in Sachen Cloud-Solution ganz ganz anders aus.

Da habe ich 99.99% Verfuegbarkeit, keine Investitionskosten alle 3-4 Jahre, keinen Hardwareausfall und im Grunde genommen sehr geringen Maintenance-Aufwand. Ihr vergesst da sitzen offensichtlich Leute mit wenig Ahnung ueber IT. Und ich befuerchte die Daten im Sinne der GDPR sind in einer einmal aufgesetzten Hetzner Cloud sicherer als in einem lokalen Betrieb von Ahnungslosen.

Ich verstehe Euch nicht. Ich finde Cloud in diesem speziellen Fall schon richtig. Nur iCloud eben nicht. Von mir aus auch eine ordentliche NextCloud-Instanz mit 1&1 oder so. Muss ja nicht immer Hetzner-Cloud sein.

Zitat von @satosan:

Also ob jetzt ein SYNOLOGY/QNAO NAS wirklich die beste und guenstigste Luesung ist wage ich mal zu bezweifeln.

Wenn ich mir da eine Hetzner Cloud mit Storage und Backup preislich anschaue, mit der ich gleichzeitig ein Wireguard Netzwerk aufsetzen kann, dann sehe ich den Kostenfaktor nicht auf der Seite der SYNOLOGY/QNAP Loesung inkl. Kosten fuer Festplatten, Strom, Abschreibungen etc.. Der Faktor GDPR wird dabei auch unterschaetzt und zu Unrecht auf die falsche Seite gezogen. Was ist denn wenn das NAS in der Firma gestohlen wird und alle Daten in falsche Haende gelangen? Wie sollen zum Beispiel Daten aus einem Cloud-Storage verschwinden, wenn die Daten nie lokal vorraetig sind und die Verbindung der VPN auf eine IP begrenzt ist? Da brauch man dann auch keine grossartigen pfSense Experten fuer so einen kleinen Betrieb die grosse Kosten verursachen. Rechnet man das mal alles rein, dann sieht die Welt in Sachen Cloud-Solution ganz ganz anders aus.

Da habe ich 99.99% Verfuegbarkeit, keine Investitionskosten alle 3-4 Jahre, keinen Hardwareausfall und im Grunde genommen sehr geringen Maintenance-Aufwand. Ihr vergesst da sitzen offensichtlich Leute mit wenig Ahnung ueber IT. Und ich befuerchte die Daten im Sinne der GDPR sind in einer einmal aufgesetzten Hetzner Cloud sicherer als in einem lokalen Betrieb von Ahnungslosen.

Ich verstehe Euch nicht. Ich finde Cloud in diesem speziellen Fall schon richtig. Nur iCloud eben nicht. Von mir aus auch eine ordentliche NextCloud-Instanz mit 1&1 oder so. Muss ja nicht immer Hetzner-Cloud sein.

Das funktioniert bei kleinen Umgebungen wunderbar. Hier könnte das eine Alternative sein. Je größer das wird, desto höher ist logischerweise der finanzielle Aufwand und dann braucht man nicht mehr groß zu rechnen.

Aber nichts ist für das eigene Gefühl besser, als das die Technik im heimischen Serverraum liegt.

Am Ende ist es auch großteils persönliche Präferenz.

Wenn aber der Kunde sagt, ich will Blech, dann gibt es Blech.

Wenn er Cloud sagt und Kosten für die Server, Anbindung und entsprechende Redundanzen dabei abgenickt werden, dann gibt es Cloud.

Die vorgeschlagenen NAS Geräte sind schnell einzurichten und man hat jede Menge zusätzliche Funktionen (ein kleines AD, VPN Server, Foto-Verwaltung, Backup Anbindungen, etc.) direkt an Board ohne zusätzliche Lizenzen oder ähnliches erwerben zu müssen. Einzig die Backup Hardware muss dann wieder angeschafft werden. Und alles in allem ca. 1.000 € in die Hand zu nehmen und das über 3 Jahre abschreiben zu lassen ist jetzt nicht wirklich der Aufwand.

Gruß
Radiogugu

Frage Sicherheit Sicherheitsgrundlagen

Heiß diskutiert