arthek
Goto Top

Kleinunternehmen per VPN auf Server

Hallo Zusammen,

ich habe mich bereits etwas in euer Forum eingelesen und finde wirklich super wie hier geholfen wird.
Zu meinem Anliegen.

Ein guter Freund von mir hat eine Handwerksfirma er hat insgesamt 5 angestellt und 2 Büroarbeitsplätze (2x iMac). Aktuell sind alle seine Firmendaten in der iCloud, damit der mit beiden Mac's auf die Unterlagen drauf zugreifen kann.
Die drei Monteure haben jeweils ein iPad womit auf Fotos und Zeichnungen (aus der iCloud) zugegriffen werden kann. Die benötigen von Unterwegs also ebenfalls Zugriff auf die Daten (allerdings nur auf bestimmte Ordner).

Jetzt möchte er allerdings(endlich) weg von der iCloud und die Daten auf einem Server(eigner oder gemietet, oder eine eigene cloud) ablegen. Der Server kann auch im Unternehmen stehen, damit er im Firmennetzwerk ist. Allerdings möchte er auch von außerhalb drauf zugreifen, also per VPN.

Da ich in diesem Thema nicht so fit bin, könntet ihr mir Vorschläge machen, wie man das am besten umsetzen kann(welche Software, welche Hardware, welche VPN Anbieter, Server Mieten oder eigenen Server im "Keller" usw.)?

Vielen Dank und Gruß
Arthek

Content-Key: 560450

Url: https://administrator.de/contentid/560450

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: aqui
aqui 24.03.2020 aktualisiert um 10:52:43 Uhr
Goto Top
Aktuell sind alle seine Firmendaten in der iCloud
Sehr gefährlich wenn dort persönliche Daten gesichert werden. Da reichen schon die Gehaltskonten der Mitarbeiter um einen gravierenden Verstoß gegen die DSGVO zu rechtfertigen. Das kann gefährlich enden für ihn, denn da drohen drastische Strafen. Man kann nur hoffen das er sich dem bewusst ist.
Sinnvoller wäre hier immer ein kleines lokales NAS (QNAP oder Synology). Auf so einem NAS kann er auch seine Time Machine Sicherung machen und alle Daten bleiben lokal.
Es ist immer wieder verwunderlich wie scheinbar sorglos solche Laien bewusst gegen die DSGVO verstoßen.
Aber ganz andere Baustelle.... Zurück zum VPN
Jetzt möchte er allerdings(endlich) weg von der iCloud
Sehr vernünftig !

Am einfachsten und preiswertesten umzusetzen ist das mit einem NAS:
https://www.qnap.com/de-de/product/series/home
https://www.synology.com/de-de/support/nas_selector
4 Platten rein, Daten drauf und gut iss.
Alle diese NAS bieten auch einen onboard OpenVPN Server mit dem dann per Mausklick auch gleich ein VPN Zugang mit allen Endgeräten erstellt werden kann. Geht, aber langfristig kein gutes Design.

Besser ist es aber immer, aus Sicherheitsgründen, das VPN in der Peripherie zu terminieren. Das macht man dann mit einem VPN fähigen Router oder noch besser mit einer kleinen Firewall wie z.B. DIESER.
Wie sowas dann in der Praxis aussieht erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Diese VPN Lösung deckt alle onboard Clients in allen Betriebssystemen und Smartpones sovie Tabletts ohne zusätzliche Software ab.

Mit kleinem finanziellen Aufwand, also rein nur einem NAS mit ein paar Platten und einer kleinen Firewall, kannst du diese Anforderung schnell und einfach und vor allem rechtssicher für deinen guten Freund lösen.
So einfach ist das... face-wink
Mitglied: Vollmilchheini
Vollmilchheini 24.03.2020 um 11:35:38 Uhr
Goto Top
Hallo Arthek,

ich würde dir ebenso wie aqui empfehlen, einen NAS aufzustellen und dann entweder darauf eine kleine VM mit OpenVPN oder ein Rasberry Pi und OpenVPN drauf und fertig. Das ist meiner Meinung nach das Beste Ergebnis für möglichst wenig Aufwand.

~Vollmilchheini
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.03.2020 aktualisiert um 12:02:35 Uhr
Goto Top
Moin,

zusätzlich zu den Ausführungen von Aqui:

Sollte der Kleinunternehmer zufällig eine Fritzbox für seinen Internetzugang haben, was gar nicht mal so selten ist, kann man auch das eingebaute VPN nutzen:

https://www.pcwelt.de/a/sicheres-vpn-mit-der-fritzbox-in-fuenf-schritten ...
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...

usw.

lks
Mitglied: Arthek
Arthek 24.03.2020 um 12:02:58 Uhr
Goto Top
Hi Aqui, vielen dank für deine schnelle und vor allem Kompetente Antwort.
Ich werde mich heute Abend mal dran setzten und mich in die Links einlesen.
Mitglied: Arthek
Arthek 24.03.2020 um 12:03:53 Uhr
Goto Top
ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.03.2020 um 12:18:26 Uhr
Goto Top
Zitat von @Arthek:

ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)

Für das VPN ist es unerheblich. Er kann somit das eingebaute IPSEC-VPN der Fritzbox nutzen.

lks
Mitglied: radiogugu
radiogugu 24.03.2020 aktualisiert um 14:26:10 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Arthek:

ja es hat eine Fritzbox, der Internet Anschluss läuft über Kabel (Coax)

Für das VPN ist es unerheblich. Er kann somit das eingebaute IPSEC-VPN der Fritzbox nutzen.

lks

Hallo.

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Also am besten prüfen, ob eine dedizierte IPv4 vergeben wird oder ob es sich wirklich um DS Lite handelt. Denn dann kommt man nur mit Portmapping weiter und ein einfacher DynDNS Dienst reicht nicht mehr aus.

EDIT:
Am besten der Kunde lässt sich eine statische IPv4 von Vodafone geben. Dann ist das mit dem Fritzbox VPN problemlos machbar. Kostet ein paar Euros im Monat mehr, ist aber die günstigste Variante hier ans Ziel zu kommen.

Gruß
Radiogugu
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.03.2020 aktualisiert um 14:38:56 Uhr
Goto Top
Zitat von @radiogugu:

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Geht prinzipiell auch:

  • per myfritz dyndns einrichten
  • Client mitteilen, daß die v6-dyndns-Adresse benutzt werden soll.

lks
Mitglied: radiogugu
radiogugu 24.03.2020 um 14:36:53 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @radiogugu:

Aber nur, wenn kein DS Lite Anschluss vorliegt und das ist bei Kabel mit höchster Wahrscheinlichkeit der Fall. AVM unterstützt keine IPv6 VPN Zugriffe (oder doch?).

Geht prinzipiell auch. (per myfritz dyndns einrichten).

lks

Sicher? Laut der offiziellen AVM Seite nämlich nicht.

https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Gruß
Radiogugu
Mitglied: Visucius
Visucius 24.03.2020 aktualisiert um 16:08:52 Uhr
Goto Top
Eine andere Alternative wäre evtl. auch Office 365 Sharepoint von Microsoft. Wenn "Klaut" nicht komplett verbrannt ist.

Sind Office-Lizenzen schon da, dann mit ner Business-Lizenz "Essenzial" von O365, sonst die Premium:

https://www.qualityhosting.de/office-365/tarife/tarifvergleich.html

Die Lizenzen bei Premium sind sowohl Mac/Win/iOS-tauglich (auf mehreren Geräten pro Nutzer!). Die Daten liegen in Deutschland. Und das Thema "Teams" wird ebenso abgefackelt wie 50 GB Exchange/Mail-Postfach. Die Exchange-Einbindung in iOS ist mMn. ziemlich gelungen und stabil. Trotzdem vorher vor allem die Adressen und Termine backupen.

Auch dann wäre eine kleine Syno nicht übel, weil sich damit (unter anderem) komplette Backups vom O365-Konto erstellen lassen, ebenso Domänencontroller bei Bedarf. Ich empfehle dabei auf den Prozessor zu achten, damit ggfs. Virtualisierungen möglich sind (z.B. 718/Intel aufwärts).

Viele Grüße

PS: Wenn NAS, bzw. Syno, dann schau Dir mal Synology Drive an.
Mitglied: dertowa
dertowa 24.03.2020 um 15:59:08 Uhr
Goto Top
Zitat von @radiogugu:
Sicher? Laut der offiziellen AVM Seite nämlich nicht.

Da gibt es dann Probleme je nachdem von wo man kommt, IPv4 auf DS-Lite oder IPv6 auf DS-Lite.
Synology routet das daher über einen eigenen Connectserver der das dann transferiert.

Schön, wenn man eine IPv4 Adresse hat, oder aber IPv4 und IPv6. ;)
Mitglied: aqui
aqui 24.03.2020 aktualisiert um 17:11:09 Uhr
Goto Top
Synology routet das daher über einen eigenen Connectserver der das dann transferiert.
Ein Schelm wer Böses dabei denkt !
Ein triftiger Grund das eben NICHT über solche Vermittlungsserver zu machen die entsprechende Userprofile erstellen die dann dubios irgendwohin verkauft und vermarktet werden.
In Firmen ein absolutes No Go.
Deshalb macht man das auch immer in Eigenregie ohne Lauscher in der Mitte !
IPsec, OpenVPN und DynDNS sind dann wie immer die besten Freunde im VPN Umfeld !
Und das in der Peripherie und aus den o.g. Gründen besser nicht intern auf Server und NAS !
Mitglied: Arthek
Arthek 24.03.2020 um 22:27:32 Uhr
Goto Top
So habe mir mal die die Links vorgenommen und mich ein bisschen eingelesen. Dazu habe ich dann ein paar Fragen face-smile

Am einfachsten und preiswertesten umzusetzen ist das mit einem NAS:
https://www.qnap.com/de-de/product/series/home
https://www.synology.com/de-de/support/nas_selector
4 Platten rein, Daten drauf und gut iss.
Alle diese NAS bieten auch einen onboard OpenVPN Server mit dem dann per Mausklick auch gleich ein VPN Zugang mit allen Endgeräten erstellt werden kann. Geht, aber langfristig kein gutes Design.

Diese Alternative ist kurzfristig eine Möglichkeit da es schnell und kostengünstig geht. Allerdings hast du in deinem Zweiten post geschrieben, dass man das VPN nicht auf dem NAS sonder auf der Peripherie terminieren soll oder ? Daher ist das auf Dauer keine gute Lösung.


Besser ist es aber immer, aus Sicherheitsgründen, das VPN in der Peripherie zu terminieren. Das macht man dann mit einem VPN fähigen Router oder noch besser mit einer kleinen Firewall wie z.B. DIESER.
Wie sowas dann in der Praxis aussieht erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Diese VPN Lösung deckt alle onboard Clients in allen Betriebssystemen und Smartpones sovie Tabletts ohne zusätzliche Software ab.

Also am besten mit Modem und Firewall. Dazu hab ich eine Frage, pfSense ist da jetzt die Kostengünstige Möglichkeit im Verhältnis zu Sophos oder anderen Namenhaften Herstellern. Ist aber in der Theorie das gleiche oder ? Wenn ja, macht Sophos ja überhaupt kein Sinn, die sind ja mega teuer face-smile.

Vielen Dank für deine Mühen.

Gruß
Mitglied: radiogugu
radiogugu 24.03.2020 um 22:59:03 Uhr
Goto Top
Zitat von @Arthek:
Also am besten mit Modem und Firewall. Dazu hab ich eine Frage, pfSense ist da jetzt die Kostengünstige Möglichkeit im Verhältnis zu Sophos oder anderen Namenhaften Herstellern. Ist aber in der Theorie das gleiche oder ? Wenn ja, macht Sophos ja überhaupt kein Sinn, die sind ja mega teuer face-smile.

Vielen Dank für deine Mühen.

Gruß

Sophos ist ja schon eine vorbereite Hardware-Lösung. Diese macht Sinn, da dort bestimmte Dienste (App Control, etc.) schon mit der Lizenz erworben werden. Ist einfach ein anderer Ansatz gegenüber Open Source.

PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen und dann entsprechend zu konfigurieren. Netgate verkauft hier zwar auf vorbereitete Lösungen, diese sind aber dann auch gleich ein paar Euros teurer, als so ein APU Board mit Gehäuse und allem.

In jedem Fall eine gute Lösung, da man hier auf eine vollwertige Firewall setzt.

Lass Dich hier von den Tutorials leiten, dann kommst Du Deinem Ziel ein ganzes Stück näher.

Gruß
Radiogugu
Mitglied: aqui
aqui 25.03.2020 um 09:17:22 Uhr
Goto Top
PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen
Nein nicht zwingend ! Kann man muss man aber nicht.
Netgate hat auch komplett fertige Appliances:
https://www.pfsense.org/products/
https://www.voleatech.de/de/pfsense/
https://www.scope7.de/hardware/scope7-apu2
Usw. Es gibt zig Anbieter dafür.
Aber warum unnötig dafür zahlen wenn man auch als Laie das mit einem simplen Schraubendreher auch in 10 Minuten selber erledigen kann !?
Mitglied: radiogugu
radiogugu 25.03.2020 aktualisiert um 14:05:00 Uhr
Goto Top
Zitat von @aqui:

PFSense ist zu dem von Dir selbst auf eine Hardware zu bringen
Nein nicht zwingend ! Kann man muss man aber nicht.
Netgate hat auch komplett fertige Appliances:
https://www.pfsense.org/products/
https://www.voleatech.de/de/pfsense/
https://www.scope7.de/hardware/scope7-apu2
Usw. Es gibt zig Anbieter dafür.
Aber warum unnötig dafür zahlen wenn man auch als Laie das mit einem simplen Schraubendreher auch in 10 Minuten selber erledigen kann !?

Meine Rede. Hier scheint aber auch eine Budget-Hürde im Weg zu stehen und die günstigste Netgate Appliances sind schon mal 1/3 teurer als eine APU-Eigenkonstruktion (ausgenommen vielleicht die SG-1100).

Gruß
Radiogugu
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.03.2020 aktualisiert um 14:11:33 Uhr
Goto Top
Zitat von @aqui:

Aber warum unnötig dafür zahlen wenn man auch als Laie das mit einem simplen Schraubendreher auch in 10 Minuten selber erledigen kann !?


Nicht jeder kann eine Glühbirne im Auto in 5 Minuten wechseln oder hat Lust, sich die Finger schmutzig zu machen. Da zahlt man dann "kleines Geld", damit andere das machen. face-smile

lks
Mitglied: satosan
satosan 25.03.2020 aktualisiert um 22:41:00 Uhr
Goto Top
Also ob jetzt ein SYNOLOGY/QNAO NAS wirklich die beste und guenstigste Luesung ist wage ich mal zu bezweifeln.

Wenn ich mir da eine Hetzner Cloud mit Storage und Backup preislich anschaue, mit der ich gleichzeitig ein Wireguard Netzwerk aufsetzen kann, dann sehe ich den Kostenfaktor nicht auf der Seite der SYNOLOGY/QNAP Loesung inkl. Kosten fuer Festplatten, Strom, Abschreibungen etc.. Der Faktor GDPR wird dabei auch unterschaetzt und zu Unrecht auf die falsche Seite gezogen. Was ist denn wenn das NAS in der Firma gestohlen wird und alle Daten in falsche Haende gelangen? Wie sollen zum Beispiel Daten aus einem Cloud-Storage verschwinden, wenn die Daten nie lokal vorraetig sind und die Verbindung der VPN auf eine IP begrenzt ist? Da brauch man dann auch keine grossartigen pfSense Experten fuer so einen kleinen Betrieb die grosse Kosten verursachen. Rechnet man das mal alles rein, dann sieht die Welt in Sachen Cloud-Solution ganz ganz anders aus.

Da habe ich 99.99% Verfuegbarkeit, keine Investitionskosten alle 3-4 Jahre, keinen Hardwareausfall und im Grunde genommen sehr geringen Maintenance-Aufwand. Ihr vergesst da sitzen offensichtlich Leute mit wenig Ahnung ueber IT. Und ich befuerchte die Daten im Sinne der GDPR sind in einer einmal aufgesetzten Hetzner Cloud sicherer als in einem lokalen Betrieb von Ahnungslosen.

Ich verstehe Euch nicht. Ich finde Cloud in diesem speziellen Fall schon richtig. Nur iCloud eben nicht. Von mir aus auch eine ordentliche NextCloud-Instanz mit 1&1 oder so. Muss ja nicht immer Hetzner-Cloud sein.
Mitglied: radiogugu
radiogugu 26.03.2020 um 08:01:43 Uhr
Goto Top
Zitat von @satosan:

Also ob jetzt ein SYNOLOGY/QNAO NAS wirklich die beste und guenstigste Luesung ist wage ich mal zu bezweifeln.

Wenn ich mir da eine Hetzner Cloud mit Storage und Backup preislich anschaue, mit der ich gleichzeitig ein Wireguard Netzwerk aufsetzen kann, dann sehe ich den Kostenfaktor nicht auf der Seite der SYNOLOGY/QNAP Loesung inkl. Kosten fuer Festplatten, Strom, Abschreibungen etc.. Der Faktor GDPR wird dabei auch unterschaetzt und zu Unrecht auf die falsche Seite gezogen. Was ist denn wenn das NAS in der Firma gestohlen wird und alle Daten in falsche Haende gelangen? Wie sollen zum Beispiel Daten aus einem Cloud-Storage verschwinden, wenn die Daten nie lokal vorraetig sind und die Verbindung der VPN auf eine IP begrenzt ist? Da brauch man dann auch keine grossartigen pfSense Experten fuer so einen kleinen Betrieb die grosse Kosten verursachen. Rechnet man das mal alles rein, dann sieht die Welt in Sachen Cloud-Solution ganz ganz anders aus.

Da habe ich 99.99% Verfuegbarkeit, keine Investitionskosten alle 3-4 Jahre, keinen Hardwareausfall und im Grunde genommen sehr geringen Maintenance-Aufwand. Ihr vergesst da sitzen offensichtlich Leute mit wenig Ahnung ueber IT. Und ich befuerchte die Daten im Sinne der GDPR sind in einer einmal aufgesetzten Hetzner Cloud sicherer als in einem lokalen Betrieb von Ahnungslosen.

Ich verstehe Euch nicht. Ich finde Cloud in diesem speziellen Fall schon richtig. Nur iCloud eben nicht. Von mir aus auch eine ordentliche NextCloud-Instanz mit 1&1 oder so. Muss ja nicht immer Hetzner-Cloud sein.

Das funktioniert bei kleinen Umgebungen wunderbar. Hier könnte das eine Alternative sein. Je größer das wird, desto höher ist logischerweise der finanzielle Aufwand und dann braucht man nicht mehr groß zu rechnen.

Aber nichts ist für das eigene Gefühl besser, als das die Technik im heimischen Serverraum liegt.

Am Ende ist es auch großteils persönliche Präferenz.

Wenn aber der Kunde sagt, ich will Blech, dann gibt es Blech.

Wenn er Cloud sagt und Kosten für die Server, Anbindung und entsprechende Redundanzen dabei abgenickt werden, dann gibt es Cloud.

Die vorgeschlagenen NAS Geräte sind schnell einzurichten und man hat jede Menge zusätzliche Funktionen (ein kleines AD, VPN Server, Foto-Verwaltung, Backup Anbindungen, etc.) direkt an Board ohne zusätzliche Lizenzen oder ähnliches erwerben zu müssen. Einzig die Backup Hardware muss dann wieder angeschafft werden. Und alles in allem ca. 1.000 € in die Hand zu nehmen und das über 3 Jahre abschreiben zu lassen ist jetzt nicht wirklich der Aufwand.

Gruß
Radiogugu