superhoshi
Goto Top

Lancom VPN oder besser VPN direkt auf dem Server

Hallo liebe Experten,

bitte jetzt nicht die Haare raufen, folgendes Anliegen:

In unserem Unternehmen ca. 20 Mitarbeiter, in 3 verschiedenen Ländern sollen ca. 10 Benutzer per VPN mit unserem Windows Server 2008 Standard SBS verbunden werden. Alle PCs nutzen WIndows 8 Prof. Server steht in Deutschland.
Auf diesem Server läuft Exchange, dazu haben wir eine statische IP.
Als DHCP / DNS / VPN Server ist zur Zeit ein Lancom 1811 WLAN eingerichtet, mit dem wir uns mit Shrewsoft VPN auch ins Netzwerk verbinden können.
Zur Zeit ist es so, dass sich die externen Benutzer erst über VPN verbinden müssen, um den Exchange nutzen zu können.
Outlook via HTTP wäre da doch idealer.
Für Netzlaufwerke ist VPN logisch.
Würdet Ihr es für Sinnvoll halten, den Lancom nur als Internetgateway zu nutzen, den Rest vom Server verwalten zu lassen?
Belastet dies den Server zu stark, wenn 10 VPN Verbindungen verwaltet werden?
Dann könnten wir auf Shrewsoft verzichten und den WIndowseigenen VPN Client nutzen, was viele Nutzer begrüßen würden.

Oder ist es generell ratsam einen VPN-Router statt dem Windows Server VPN Zugang zu nutzen?

Ist irgendwas zu beachten, wenn sich User aus den USA einwählen wollen? Dies klappt zur Zeit nicht.
Da ich dort noch nicht auf die Router und Firewalls geschaut habe, denke ich, dass dort einfach nur ein Port geblockt wird.
Evtl. hat da Jemand andere Erfahrungen gemacht mit ISPs, welche Ports sperren fürs Ausland?

Bitte nicht all zu streng sein mit Euren Antworten face-smile

Vielen Dank im voraus,

Hoshi

Content-ID: 204636

Url: https://administrator.de/forum/lancom-vpn-oder-besser-vpn-direkt-auf-dem-server-204636.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

MrNetman
MrNetman 08.04.2013 um 17:43:04 Uhr
Goto Top
Hi Hoshi,

USA und unverschlüsselte Verbindungen (http) für die Emails auf einem lokalen, ungeschützen Server?
Und wie heißen die anderen Länder? Ungarn, China, Korea?
Mach die Einwahl auf jeden Fall via VPN und du hast die Möglichkeit Sicherheitsfunktionen zu nutzen.
Und wenn du für die Netzlaufwerke VPN brauchst hast du ja nichts gespart, im Gegenteil.

Und ja, der Wunsch der Nutzer ist immer ein Handy ohne Passwort, weil das sooo praktisch ist.

Gruß
Netman
keine-ahnung
keine-ahnung 08.04.2013 um 17:48:31 Uhr
Goto Top
Zitat von @superhoshi:
In unserem Unternehmen ca. 20 Mitarbeiter, in 3 verschiedenen Ländern sollen ca. 10 Benutzer per VPN mit unserem Windows
Server 2008 Standard SBS verbunden werden. Alle PCs nutzen WIndows 8 Prof. Server steht in Deutschland.
Auf diesem Server läuft Exchange, dazu haben wir eine statische IP.
Bis hierher klingt das schick ...
Als DHCP / DNS / VPN Server ist zur Zeit ein Lancom 1811 WLAN eingerichtet
Ab hier wird das schon eher diffus ...
Zur Zeit ist es so, dass sich die externen Benutzer erst über VPN verbinden müssen, um den Exchange nutzen zu
können.
... und dafür kann weder Lancom noch der SBS etwas dafür face-wink.
Outlook via HTTP wäre da doch idealer.
Oder via https?
Für Netzlaufwerke ist VPN logisch.
Würdet Ihr es für Sinnvoll halten, den Lancom nur als Internetgateway zu nutzen, den Rest vom Server verwalten zu
lassen?
Nein.
Belastet dies den Server zu stark, wenn 10 VPN Verbindungen verwaltet werden?
Sollen alle User auf dem DC rumkrabbeln können? Hochfrquente Sicherungen nicht vergessen face-wink!
Dann könnten wir auf Shrewsoft verzichten und den WIndowseigenen VPN Client nutzen, was viele Nutzer begrüßen
würden.
Ja - Kontakt schafft Sympathie ...
Oder ist es generell ratsam einen VPN-Router statt dem Windows Server VPN Zugang zu nutzen?
Eher schon ...
Ist irgendwas zu beachten, wenn sich User aus den USA einwählen wollen? Dies klappt zur Zeit nicht.
Die NSA ist halt nicht die schnellste face-wink

Ich würde Dir empfehlen, mal jemanden ins Haus zu holen, der Euer Netzwerk- und Sicherheitskonzept überprüft, irgendwie klingt das nach nichts Halben und nichts Ganzem.

LG, Thomas
ticuta1
ticuta1 08.04.2013 um 18:04:50 Uhr
Goto Top
Hallo Superhoshi,

gut das Du gefragt hast. Alle Dienste auf einem Server? geht der kaputt dann hast du 20 x100€ Schaden pro Stunde. Wäre vielleicht nicht angebrachter verschiedenen Servern( DC getrent vom Exchange, getrent vom Fileserver usw?) zu haben?
Der Antwort für Exchangezugriff lieferst Du allein "Outlook via HTTPS wäre da doch idealer." Für Netzlaufwerke über VPN würde ich eher den LANCOM benutzen.

LG, ticuta1
superhoshi
superhoshi 08.04.2013 aktualisiert um 18:43:46 Uhr
Goto Top
Ich meine natürlich RPC über https, es ist und soll nichts unverschlüsselt über tragen werden.

@MrNetman
Klar VPN, ich habe ja auch gefragt, ob der Server 2008 die VPN Verbindungen verwalten soll, oder der Lancom.

Als Länder kommen neben USA nur unkritische EU Länder in frage. face-smile
Aber eigentlich auch egal?

Tägliche Sicherung ist natürlich auch vorhanden.

Was klingt hier dran diffus?
Als DHCP / DNS / VPN Server ist zur Zeit ein Lancom 1811 WLAN eingerichtet
Mit DNS Weiterleitung doch kein Problem?
Es klappt auf jeden Fall.

gruss Hoshi
superhoshi
superhoshi 08.04.2013 um 18:43:01 Uhr
Goto Top
Klar sind mehrere Server mit getrennten Diensten besser. Nur bei uns und bei vielen Anderen halt einfach nicht vorhanden oder im Budget.
keine-ahnung
keine-ahnung 08.04.2013 um 18:53:31 Uhr
Goto Top
Zitat von @superhoshi:
Ich meine natürlich RPC über https, es ist und soll nichts unverschlüsselt über tragen werden.
Gut. Ein Anfang face-wink
Was klingt hier dran diffus?
Als DHCP / DNS / VPN Server ist zur Zeit ein Lancom 1811 WLAN eingerichtet
DHCP und DNS gehören auf den SBS ... reimt sich sogar face-wink
Es klappt auf jeden Fall.
Reine Zeitfrage ...

LG, Thomas
goscho
goscho 08.04.2013 um 19:04:50 Uhr
Goto Top
Zitat von @superhoshi:
Ich meine natürlich RPC über https, es ist und soll nichts unverschlüsselt über tragen werden.

@MrNetman
Klar VPN, ich habe ja auch gefragt, ob der Server 2008 die VPN Verbindungen verwalten soll, oder der Lancom.
Prinzipiell ist es ratsamer, dass VPN am Gateway zu realisieren.
So spart man sich die Portweiterleitungen für das VPN.
Außerdem ist der Windows SBS schon belastet genug mit seinen Diensten, lass den RRAS aus.
Als VPN-Protokoll nehmt ihr hoffentlich IPSEC mit IKE und nicht PPTP.

Als Länder kommen neben USA nur unkritische EU Länder in frage. face-smile
Aber eigentlich auch egal?
Man sollte halt klären, ob es bei den verwendeten INET-Providern Speren für bestimmte Ports gibt.
Auch sehr beliebt ist das Nutzen von privaten IP-Adressen bei bestimmten Anbietern (auch vielen deutschen UMTS-Tarifen).
Damit klappt dan halt kein VPN.
Tägliche Sicherung ist natürlich auch vorhanden.
Das sollte das Minimum sein.
Was klingt hier dran diffus?
Als DHCP / DNS / VPN Server ist zur Zeit ein Lancom 1811 WLAN eingerichtet
Bei einem SBS mit der dazugehörigen Domäne muss immer der SBS selbst der DNS-Server sein, nicht der Router.
Dieser wird auch automatisch bei der Einrichtung der Domäne (Installation des SBS) eingerichtet.
Wieso habt ihr das umkonfiguriert?
Sinnvoller Weise nutzt man auch den DHCP-Server auf dem SBS. Der ist vom Funktionsumfang dem des Lancom bei Weitem überlegen und trotzdem sehr einfach zu konfiguirern.
Mit DNS Weiterleitung doch kein Problem?
Wie?
DNS-Weiterleitung vom Gateway zum Server?
Jetzt wird's wirklich diffus.

gruss Hoshi
Gruß goscho
108012
108012 08.04.2013 um 19:17:06 Uhr
Goto Top
Hallo Hoschi,

Würdet Ihr es für Sinnvoll halten, den Lancom nur als Internetgateway zu nutzen, den Rest vom Server verwalten zu lassen?
Das war ja wohl nur eine rhetorische Frage, oder?

Oder ist es generell ratsam einen VPN-Router statt dem Windows Server VPN Zugang zu nutzen?
Ja und das aus guten Grund, überlege mal was macht jemand der bei Euch einbricht?
- einen neuen Benutzer anzulegen
- ein rootkit rein
- ein stealthkit drauf
- zum neuen Benutzer verlinken
- Logfiles kürzen pick pick pick (Loch in die Firewall) und Abflug!

Das kann der sich nun alles sparen, denn Du machst Ihm jetzt ja freiwillig ein Loch in die Wand!
Oder öffnest einen Port vorne am Router! Und das noch freiwillig!!!!

Eigentlich gibt es bei solchen Fragen immer nur zwei Möglichkeiten die aber um Gottes Willen niemand ausspricht oder aussprechen darf.

1. Es ist nicht genug VPN Durchsatz vorhanden und die Anwender beschweren sich, aber Geld für eine
performantere Lösung wie zum Beispiel einen Draytek Vigor3900 gibt es auch nicht.


2. Es sind mehr VPN Nutzer aber dafür muss man dann wieder eine neue VPN Lizenz kaufen oder eine
zusätzliche VPN Lizenz

Als Beispiel: Lancom Router mit bis zu xyz VPN Benutzern und wenn die Zahl der VPN Benutzer erreicht ist dann muss mit einem Lizenzupgrade die Anzahl aufgestockt werden.

So und nun wird schnell mal überlegt wie kann man denn nun den VPN Durchsatz erhöhen und dann wird
halt auch mal eine Alibifrage in einem Forum losgetreten, da der Server recht gut ausgestattet ist
soll der das doch "wuppen". Ich sag nur eins Danke!

Wenn das VPN vorne an der Firewall oder dem Router endet und das ist dann auch noch ein Gerät
von einem guten Hersteller wie LANCOM, bist Du doch auf der sicheren Seite, oder?

Da bietet der Windows Server bei weitem mehr Angriffsfläche finde ich zumindest.

Outlook via HTTP wäre da doch idealer.
Klar nur für wen?

Für Netzlaufwerke ist VPN logisch.
Also wenn schon VPN eingesetzt wird warum dann nicht für alles?


In unserem Unternehmen ca. 20 Mitarbeiter, in 3 verschiedenen Ländern sollen ca. 10 Benutzer per VPN mit unserem Windows Server 2008 Standard SBS verbunden werden. Alle PCs nutzen WIndows 8 Prof. Server steht in Deutschland.

Vielleicht irre ich mich ja jetzt auch aber kann man nicht einfach alle drei Standtorte per VPN miteinander vernetzen und gut ist es?

Oder sind das SOHO Mitarbeiter, also welche die von zu Hause aus via ShrewSoft arbeiten,
oder wofür wird der ShrewSoft benutzt? Klar VPN Standortvernetzung ist nicht die einfachste Sache
und es mag eine Menge Leute geben die da nicht ran wollen aber der Vorteil ist die Sicherheit und
bei LANCOM bist Du ja auch an der richtigen Adresse.

So und nun zu dem was viele denken aber keiner ausspricht, ich traue mich mal (Heimanwenderbonus)
Du bist nicht zufällig der Chef des Unternehmens und Dein "echter" Admin hat Dir ganz was anderes erzählt aber Du fragst lieber einmal hier nach?

Die NSA ist halt nicht die schnellste.
Ne das ist der militärische Geheimdienst der USA und wenn die sich für etwas interessieren,
egal was, nützt Dir VPN auch nichts mehr! Der andere Vorteil ist, die blamieren sich nicht mit einem
Trojaner sondern machen das einfach was sie wollen und es traut sich nicht einmal jemand die bloß zu
stellen.

Gruß
Dobby
ticuta1
ticuta1 08.04.2013 um 20:09:31 Uhr
Goto Top
Hallo Dobby,

Ne das ist der militärische Geheimdienst der USA und wenn die sich für etwas interessieren,
egal was, nützt Dir VPN auch nichts mehr!

Gruß
Dobby

rein technisch (ohne physischen Zugang zum "Serverraum") betrachtet, gibt´s nichts was dagegen helfen könnte?
LG, ticuta1
108012
108012 08.04.2013 um 20:18:05 Uhr
Goto Top
rein technisch (ohne physischen Zugang zum "Serverraum") betrachtet, gibt´s nichts was dagegen helfen könnte?
Ich persönlich denke nicht.

Gruß
Dobby
ticuta1
ticuta1 08.04.2013 um 20:24:30 Uhr
Goto Top
Hallo Dobby,

dann haben die Russen(Chinesen; Französen usw) bei der jeweiligen Verteidigungsministerien ein gewaltiges Problem :O

LG, ticuta1
keine-ahnung
keine-ahnung 08.04.2013 um 20:36:32 Uhr
Goto Top
Zitat von @108012:
Mensch Dobby,
Ne das ist der militärische Geheimdienst der USA und wenn die sich für etwas interessieren,
egal was, nützt Dir VPN auch nichts mehr!
durch meine Lancom-Firewall kommt Niemand! Nicht die NSA und nicht die Chin ... Moment, was ist jetzt ... 军事情报和其他.

最好的问候,托马斯