dsf1284
Goto Top

Netzwerk mit VPN richtig einrichten

Hallo Administrator Freunde!

Ich habe folgendes vor:
Das Netzwerk in unserer Praxis ist bislang ein reines LAN ohne Verbindung zur Außenwelt. Dies soll sich nun mit einem ADSL Anschluss ändern.
Ich habe mir nun ein paar Gedanken gemacht, wie ich das am besten umsetze. Außerdem möchte ich gerne von meinen PCs zu Hause auf die Praxisrechner zugreifen.

Zunächst mal die Konfiguration des Netzwerkes in der Praxis:
Windows 2003 SB Server -> Switch -> insg. 8 Windows XP Pro SP 2 Rechner

Der Server ist DC und DNS Server mit AD. Auf dem Server läuft die Datenbank für die Praxissoftware, Symantec Anti Virus Server und WSUS. Die Clients bekommen per Login Skript über Gruppenrichtlinie vom Server die Netzlaufwerke zugewiesen.

Bei mir zu Hause stehen mehrere Windows XP Pro SP 2 Rechner, die in einem "normalen" Netzwerk mit Arbeitsgruppe an einem Switch mit DSL Modem hängen.


Ich möchte nun gerne von einem meiner Rechner zu Hause in mein Praxis Netzwerk kommen. Ich brauche die Netzlaufwerke vom Server, damit ich daheim auf die Praxisdatenbank zugreifen kann.

Für die Praxis Seite habe ich mir das so gedacht:
An den Switch hänge ich einen Linksys RV042 VPN Router und daran das DSL Modem. Das ist natürlich jetzt recht einfach; alle Clients und der Server haben Zugriff aufs internet - ist auch so gewollt. Allerdings bin ich mir nicht so sicher, ob das ganze "sicher" ist...

Außerdem, ich kenne mich mit VPN nicht so aus, weiß ich noch nicht so ganz, wie ich meinen Rechner zu Hause in die Domäne der Praxis bekomme. Muss ich den dann aus meiner Arbeitsgruppe rausnehmen? Wie verhält sich mein Heim PC in der Domäne? Der zieht sich ja allerhand Richtlinien, die ich im normalen Betrieb nicht brauche / nicht haben will... Wie gehe ich da vor?


Wäre für ein bisschen Hilfe sehr dankbar!

Content-ID: 68250

Url: https://administrator.de/contentid/68250

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

sysad
sysad 10.09.2007 um 00:11:33 Uhr
Goto Top
Grob vereinfacht:

1. RAS an im Server.
2. Eingehende Verbindungen per L2TP und IPSEC zulassen.
3. Im Router entsprechend auf den Server forwarden.
4. Darüber nachdenken, ob man das nicht besser per RPV macht, weil auch eine schnelle DSL-Verbindung für eine Datenbank normalerweise nicht richtig Freude macht.

Wer ganz sicher gehen will macht das zertifikatbasiert.

Sollte eigentlich sicher sein.

Frage: Warum gibt es in so einem Kleinnetz überhaupt DC/AD?
hevtig
hevtig 10.09.2007 um 00:20:02 Uhr
Goto Top
Hallo,

ob das Ganze sicher oder nicht ist lasse ich mal dahingestellt. Wenn du mit deinen Privat- PC´s dich reinwählen darfst, dann ist die Sicherheitsschraube sicherlich nicht zu hoch angedreht ;)
Das die Clients alle uneingeschränkten Zugriff haben kann sicherlich auch ein Risiko sein.

Zur Frage des VPN´s stellt sich mir die Frage, ob Linksys da einen eigenen Client anbietet, oder wie wählst du dich ein? Ansonsten gehe ich davon aus, daß der Tunnel ansich sicher ist.
Nach meiner Erfahrung muß du aber weder GPOs ziehen noch deinen (Privat-) Rechner in deine Praxisdomäne bringen.
Es sollte sich recht einfach gestalten: Einwählen -> per Hand Einlogskript ausführen oder entsprechend Netzlaufwerk binden. Anscheinend hast du ja deine Software auch auf deinem Privat PC. Nach Einbinden der Netzlaufwerke sollte die Software dann ebenfalls funktionieren.

Gruß
cykes
cykes 10.09.2007 um 08:00:50 Uhr
Goto Top
Hi,

was genau ist das für eine "Praxis"? Sollte es sich z.B. um eine Arztpraxis handeln, wäre ich sehr
vorsichtig irgendwelche Zugänge von aussen zu ermöglichen, die sollten dann zu 100%
abgesichert sein.

Wenn nur Du von aussen Zugriff haben musst, würde ich das ganze über eine Rückruf-Verbidung
zusätzlich zu IPSec realisieren, hol' Dir dafür für zu Hause eine DynDNS Adresse und lass Dich
vom Server in der Praxis auf dieser Adresse zurückrufen, um den Tunnel aufzubauen.

Des weiteren würde ich eine zentral administriebare Antivirenlösung für das Netzwerk empfehlen.

Patientendaten sind ein sehr sensibles Thema, deswegen auch genau definieren, was man
remote darf und was nicht.

Gruß

cykes
Dani
Dani 10.09.2007 um 08:31:29 Uhr
Goto Top
Moin!
Wenn du wirklich VPN Zugriff brauchst, dann würde ich mir auch eine vernünftige Firewall hinter den Internetanschluss der Praxis hängen. Denn der Router, etc...hat zwar eine drinnne, aber ich gehe mal davon aus dass der Router von 0815 Serie ist. face-smile


Grüße
Dani
aqui
aqui 10.09.2007 um 08:57:43 Uhr
Goto Top
Der Weg die VPN Verbindung ueber den Router abzubilden ist aber auf alle Faelle der richtige.
VPN Router wie die z.B. von Draytek (www.draytek.de) und auch der Linksys bieten dir Zugriffsupport fuer alle derzeit gaengigen VPN Protokolle, was dich unabhaengig von einem Server macht und seinem Protokoll.
Dadurch bist du in der Lage die klassischen VPN Clients wie Windows, Linux und MacOS-X sie an Bord haben zu bedienen und auch gleichzeitig mit einem dedizierten oder freien IPsec Client zu arbeiten. Somit macht dich das unabhaengig und schafft dir eine grosse Flexibilitaet in Bezug auf Endgeraete.
Als weiteren Pluspunkt vermeidest du mit dem Einsatz der o.a. VPN Router ein Aufbohren der Firewall oder ein Port Forwarding bei Nicht VPN Routern auf interne Geraete, was nich eine gute Loesung ist. Das ist immer ein potentielles Sicherheitsloch und schafft dir zudem noch weitere technische Probleme bei Mehrfachzugriff.
Ob du dir zwischen VPN Router und deinem lokalen LAN noch eine Firewall stellst haengt von deinem Sicherheits Bauchgefuehl ab oder wie sensibel deine Daten sind. Schaden kann es wie oben geraten..nicht.
dsf1284
dsf1284 10.09.2007 um 12:21:52 Uhr
Goto Top
Danke für die Tipps soweit!

Mir persönlich gefällt die Lösung eines eigenen VPN Routers aus den selben Gründen, die aqui bereits genannt hat, besser. Die Vorstellung mit Port Forwarding direkt auf den Server zu kommen und so quasi ein "Loch" aufzumachen, mag ich nicht.

Was die Sicherheit angeht, bin ich der Meinung, dass die im Linksys integrierte Firewall durchaus reichen sollte. Hinter die Firewall des Routers nochmal eine Firewall zu hängen, scheint mir dann doch etwas zu übertrieben. Ob der Linksys jetzt ein 0815 Gerät ist weiß ich nicht. Es ist, da Cisco ja mit drin hängt, wahrscheinlich nicht schlecht...

Ich habe allerdings immer noch Verständnisprobleme, was den VPN Rechner in der Domäne angeht. Wahrscheinlich habe ich da einen großen Denkfehler drin. Ist es nicht so, dass mein Rechner Zuhause (PC A) über das VPN vom Server so behandelt wird, wie jeder andere Rechner im LAN der Praxis? Dann muss ich doch den PC A auch ins AD eintragen. Und dann zieht er sich doch beim Login auch die entsprechenden Richtlinien. Oder sehe ich das falsch?
Man kann doch nicht von einem Rechner ausserhalb der Domäne einfach auf Freigaben des DCs zugreife, oder?
hevtig
hevtig 10.09.2007 um 14:03:40 Uhr
Goto Top
Wenn es sich tatsächlich um eine Arztpraxis handelt finde ich nicht, daß ein normaler Router für die Sicherheit reicht. Normalerweise sollte da mE doch noch eine weitere Firewall stehen, die den Verkehr zwischen Router und _Netzwerk filtert. Aber egal...

Du brauchst deinen Rechner nicht der Domäne hinzufügen.
Sobald du einmal auf eine Netzresource zugreifen möchtest wird User, PW, Domain abgefragt. Wenn das alles eingetragen wurde hast du "normalen" Zugriff im Netz, da du dich ja authentifiziert hast. Evtl. noch die Einlog.bat ausführen, damit du die Laufwerke bindest...

Grüße
sysad
sysad 10.09.2007 um 14:34:59 Uhr
Goto Top
Danke für die Tipps soweit!

Gern geschehen.


Mir persönlich gefällt die
Lösung eines eigenen VPN Routers aus den
selben Gründen, die aqui bereits genannt
hat, besser. Die Vorstellung mit Port
Forwarding direkt auf den Server zu kommen
und so quasi ein "Loch"
aufzumachen, mag ich nicht.

Zum Verständnis: Wenn man von 'draussen' auf den Server kommen soll, funktioniert das nur, wenn man irgendwo ein 'Loch' aufmacht, egal welche Lösung. Wenn dann der Tunnel L2TP mit IPSEC ist, ist es auch verschlüsselt etc, dann muss man nichts mehr 'filtern' etc.


Was die Sicherheit angeht, bin ich der
Meinung, dass die im Linksys integrierte
Firewall durchaus reichen sollte. Hinter die
Firewall des Routers nochmal eine Firewall zu
hängen, scheint mir dann doch etwas zu
übertrieben. Ob der Linksys jetzt ein
0815 Gerät ist weiß ich nicht. Es
ist, da Cisco ja mit drin hängt,
wahrscheinlich nicht schlecht...

Cisco muss nicht immer gut sein, siehe

http://www.tuaw.com/2007/07/22/wireless-problem-was-cisco-bug-not-iphon ...

und ein guter Hacker, wenn er genügend Zeit hat und unbedingt in Deinen PC will, der wird es immer schaffen, sogar beim Pentagon....Wie gesagt, es ist vom Aufwand und der kriminellen Energie abhängig.
(Die einfachere Methode ist sicher die, eine(n) MitarbeiterIn anzubaggern und nach erfolgter Anbahnung von der/dem Zugang zu bekommen. Das ist seit DDR-Zeiten in der Industrie die gängigste Methode...)

Wir betreuen derzeit 9 Arzt-/Zahnarzt/KfO-Praxen, in denen wir einen Fernzugang über DSL implementiert haben. Es kommt täglich zu Portscans von draussen, aber bis jetzt fanden wir noch nie Zeichen für einen erfolgreichen 'Einbruch'. Router sind meist Speedport von TCom.

Wenn es ganz sicher sein soll face-wink haben wir eine ISDN-Lösung mit Rückruf implementiert.
hevtig
hevtig 10.09.2007 um 17:35:06 Uhr
Goto Top
Zum Verständnis: Wenn man von
'draussen' auf den Server kommen
soll, funktioniert das nur, wenn man irgendwo
ein 'Loch' aufmacht, egal welche
Lösung. Wenn dann der Tunnel L2TP mit
IPSEC ist, ist es auch verschlüsselt
etc, dann muss man nichts mehr
'filtern' etc.

Die Filterung ist generell nicht umbedingt notwendig. Es kommt auf die Vertrauenswürdigkeit des Clients an und wie wahrscheinlich es ist, daß er evtl. komprommitiert ist.
Viele professionelle Router bringen teilweise auch schon sowas mit. Vielleicht auch der Linksys kA. Eine Filterung durch eine 2. Instanz ist jedenfalls sinnig, wenn der Client evtl. komprommitiert wurde.

Wir betreuen derzeit 9
Arzt-/Zahnarzt/KfO-Praxen, in denen wir einen
Fernzugang über DSL implementiert
haben. Es kommt täglich zu Portscans von
draussen, aber bis jetzt fanden wir noch nie
Zeichen für einen erfolgreichen
'Einbruch'. Router sind meist
Speedport von TCom.

Wenn es ganz sicher sein soll face-wink haben wir
eine ISDN-Lösung mit Rückruf
implementiert.

Ja, die ISDN Lösung ist ansich die sicherste Lösung :D , allerdings nicht mehr state-of-the-art.
Die Speedport sind ja eher home- Produkte, die weder IDS noch (integriertes) VPN noch sonstwas können. Bei niedrigeren Sicherheitsansprüchen sicherlich ausreichend. Aber Ärzte kneifen ja meist auch schneller den Geldbeutel zu... ;)

Ich will das Ganze nicht madig machen. VPN ist ansich schon sicher, aber wenn etwas passiert, dann bereut man, daß man nicht doch eine "größere" Lösung gewählt hat...
Und da der TO nicht geschrieben hat, wie und ob vertrauenswürdig die einzuwählenden Clients sind läßt sich das nur schwer abschätzen, was ausreichend ist und was nicht...
dsf1284
dsf1284 30.09.2007 um 23:27:41 Uhr
Goto Top
Darf ich erneut um eure Hilfe bitten?

Ich habe jetzt den Linksys RV042 installiert und ans Internet angeschlossen.
Einen DynDNS Account habe ich eingerichtet.

Jetzt sitze ich seit Stunden vor der VPN Sache. Ich bring sie einfach nicht zum laufen...
Das einzige was ich geschafft habe, war eine VPN Sitzung über den aktivierten PPTP Server des Linksys mit dem Windows Client. Das will ich aber nicht. Ist mir zu unsicher und hätte ich auch mit Bordmitteln auf diese Weise lösen können.

Mir ist irgendwie die richtige Konfiguration noch nicht so ganz klar.
Linksys unterscheidet da einmal zwischen dem VPN Tunnel und der VPN Verbindung über das Linksys Tool QuickVPN. Doch auch mit QuickVPN komme ich nicht weiter. Er verbindet sich zwar auf den Router, bleibt dann aber bei "Verifying Network" hängen.

Eine, von mir gewünschte IPSec VPN Verbindung über einen normalen VPN Client bekomme ich nicht zustande!

Hat jemand von euch eine Ahnung, wie ich den Linksys Router konfigurieren muss, damit ich meine Client to Gateway IpSec VPN Verbindung hinkriege?

Beide Seiten hängen an DSL. Der Linksys ist über DynDNS zu erreichen. Hinter dem Linksys hängt, wie oben beschrieben, eine SBS 2003 AD Domäne.

Was muss ich tun?
aqui
aqui 01.10.2007 um 10:16:03 Uhr
Goto Top
Das Problem wird sicher deine Client Seite sein und weniger der Linksys.
Der DSL Router hinter dem dein Client sitzt muss VPN Passthrough supporten, sonst hast du keine Chance !
Leider schreibst du nicht welches VPN Protokoll der Linksys Client benutzt so das man nun mühsam raten muss face-sad
Vermutlich wird das aber IPsec im ESP Modus sein. Du musst dann an diesem Router hinter dem der Client ist folgende Ports in die Port Forwarding Tabell eintragen auf die lokale IP Adresse deines Client PCs:
  • ESP Protokoll mit der Protokoll Nummer 50 (Nicht TCP 50 !)
  • IKE mit UDP 500
  • NAT Traversal mit UDP 4500

ESP muss nicht immer eingragen werden, wenn der Router VPN Passthrough supportet aber die andere Protokolle in jedem Falle, sonst ist einen IPsec(ESP) Verbindung mit einem NAT Router nicht zu übertragen.
Der Client muss auf den ESP Modus eingestellt sein ! Es gibt auch noch den AH Modus der gar nicht über NAT zu übertragen ist !!!

Den Quercheck ob es funktioniert kannst du immer ganz einfach machen sofern sich dein Linksys VPN Client auf einem Laptop mit eingebautem Analogmodem (haben Laptops ausnahmslos immer mit an Bord..) befindet. (Oder du hast noch so ein Modem in oder am PC...)
Damit wählst du dich mal über deinen vorhandenen Telefonanschluss bei einem Internet by Call Provider wie z.B. Arcor direkt ins Internet ein mit folgenden Zugangsdaten:

Rufnummer: 01920791
Benutzername: arcor
Passwort: internet

Damit bist du dann direkt ohne NAT im Internet und kannst mal testweise den VPN Zugang ausprobieren ohne das du einen NAT Router dazwischen hast. Wenn es klappt ist es de facto das fehlen der PFW Liste im NAT Router vorm Client !