Netzwerk mit VPN richtig einrichten
Hallo Administrator Freunde!
Ich habe folgendes vor:
Das Netzwerk in unserer Praxis ist bislang ein reines LAN ohne Verbindung zur Außenwelt. Dies soll sich nun mit einem ADSL Anschluss ändern.
Ich habe mir nun ein paar Gedanken gemacht, wie ich das am besten umsetze. Außerdem möchte ich gerne von meinen PCs zu Hause auf die Praxisrechner zugreifen.
Zunächst mal die Konfiguration des Netzwerkes in der Praxis:
Windows 2003 SB Server -> Switch -> insg. 8 Windows XP Pro SP 2 Rechner
Der Server ist DC und DNS Server mit AD. Auf dem Server läuft die Datenbank für die Praxissoftware, Symantec Anti Virus Server und WSUS. Die Clients bekommen per Login Skript über Gruppenrichtlinie vom Server die Netzlaufwerke zugewiesen.
Bei mir zu Hause stehen mehrere Windows XP Pro SP 2 Rechner, die in einem "normalen" Netzwerk mit Arbeitsgruppe an einem Switch mit DSL Modem hängen.
Ich möchte nun gerne von einem meiner Rechner zu Hause in mein Praxis Netzwerk kommen. Ich brauche die Netzlaufwerke vom Server, damit ich daheim auf die Praxisdatenbank zugreifen kann.
Für die Praxis Seite habe ich mir das so gedacht:
An den Switch hänge ich einen Linksys RV042 VPN Router und daran das DSL Modem. Das ist natürlich jetzt recht einfach; alle Clients und der Server haben Zugriff aufs internet - ist auch so gewollt. Allerdings bin ich mir nicht so sicher, ob das ganze "sicher" ist...
Außerdem, ich kenne mich mit VPN nicht so aus, weiß ich noch nicht so ganz, wie ich meinen Rechner zu Hause in die Domäne der Praxis bekomme. Muss ich den dann aus meiner Arbeitsgruppe rausnehmen? Wie verhält sich mein Heim PC in der Domäne? Der zieht sich ja allerhand Richtlinien, die ich im normalen Betrieb nicht brauche / nicht haben will... Wie gehe ich da vor?
Wäre für ein bisschen Hilfe sehr dankbar!
Ich habe folgendes vor:
Das Netzwerk in unserer Praxis ist bislang ein reines LAN ohne Verbindung zur Außenwelt. Dies soll sich nun mit einem ADSL Anschluss ändern.
Ich habe mir nun ein paar Gedanken gemacht, wie ich das am besten umsetze. Außerdem möchte ich gerne von meinen PCs zu Hause auf die Praxisrechner zugreifen.
Zunächst mal die Konfiguration des Netzwerkes in der Praxis:
Windows 2003 SB Server -> Switch -> insg. 8 Windows XP Pro SP 2 Rechner
Der Server ist DC und DNS Server mit AD. Auf dem Server läuft die Datenbank für die Praxissoftware, Symantec Anti Virus Server und WSUS. Die Clients bekommen per Login Skript über Gruppenrichtlinie vom Server die Netzlaufwerke zugewiesen.
Bei mir zu Hause stehen mehrere Windows XP Pro SP 2 Rechner, die in einem "normalen" Netzwerk mit Arbeitsgruppe an einem Switch mit DSL Modem hängen.
Ich möchte nun gerne von einem meiner Rechner zu Hause in mein Praxis Netzwerk kommen. Ich brauche die Netzlaufwerke vom Server, damit ich daheim auf die Praxisdatenbank zugreifen kann.
Für die Praxis Seite habe ich mir das so gedacht:
An den Switch hänge ich einen Linksys RV042 VPN Router und daran das DSL Modem. Das ist natürlich jetzt recht einfach; alle Clients und der Server haben Zugriff aufs internet - ist auch so gewollt. Allerdings bin ich mir nicht so sicher, ob das ganze "sicher" ist...
Außerdem, ich kenne mich mit VPN nicht so aus, weiß ich noch nicht so ganz, wie ich meinen Rechner zu Hause in die Domäne der Praxis bekomme. Muss ich den dann aus meiner Arbeitsgruppe rausnehmen? Wie verhält sich mein Heim PC in der Domäne? Der zieht sich ja allerhand Richtlinien, die ich im normalen Betrieb nicht brauche / nicht haben will... Wie gehe ich da vor?
Wäre für ein bisschen Hilfe sehr dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68250
Url: https://administrator.de/contentid/68250
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
11 Kommentare
Neuester Kommentar
Grob vereinfacht:
1. RAS an im Server.
2. Eingehende Verbindungen per L2TP und IPSEC zulassen.
3. Im Router entsprechend auf den Server forwarden.
4. Darüber nachdenken, ob man das nicht besser per RPV macht, weil auch eine schnelle DSL-Verbindung für eine Datenbank normalerweise nicht richtig Freude macht.
Wer ganz sicher gehen will macht das zertifikatbasiert.
Sollte eigentlich sicher sein.
Frage: Warum gibt es in so einem Kleinnetz überhaupt DC/AD?
1. RAS an im Server.
2. Eingehende Verbindungen per L2TP und IPSEC zulassen.
3. Im Router entsprechend auf den Server forwarden.
4. Darüber nachdenken, ob man das nicht besser per RPV macht, weil auch eine schnelle DSL-Verbindung für eine Datenbank normalerweise nicht richtig Freude macht.
Wer ganz sicher gehen will macht das zertifikatbasiert.
Sollte eigentlich sicher sein.
Frage: Warum gibt es in so einem Kleinnetz überhaupt DC/AD?
Hallo,
ob das Ganze sicher oder nicht ist lasse ich mal dahingestellt. Wenn du mit deinen Privat- PC´s dich reinwählen darfst, dann ist die Sicherheitsschraube sicherlich nicht zu hoch angedreht ;)
Das die Clients alle uneingeschränkten Zugriff haben kann sicherlich auch ein Risiko sein.
Zur Frage des VPN´s stellt sich mir die Frage, ob Linksys da einen eigenen Client anbietet, oder wie wählst du dich ein? Ansonsten gehe ich davon aus, daß der Tunnel ansich sicher ist.
Nach meiner Erfahrung muß du aber weder GPOs ziehen noch deinen (Privat-) Rechner in deine Praxisdomäne bringen.
Es sollte sich recht einfach gestalten: Einwählen -> per Hand Einlogskript ausführen oder entsprechend Netzlaufwerk binden. Anscheinend hast du ja deine Software auch auf deinem Privat PC. Nach Einbinden der Netzlaufwerke sollte die Software dann ebenfalls funktionieren.
Gruß
ob das Ganze sicher oder nicht ist lasse ich mal dahingestellt. Wenn du mit deinen Privat- PC´s dich reinwählen darfst, dann ist die Sicherheitsschraube sicherlich nicht zu hoch angedreht ;)
Das die Clients alle uneingeschränkten Zugriff haben kann sicherlich auch ein Risiko sein.
Zur Frage des VPN´s stellt sich mir die Frage, ob Linksys da einen eigenen Client anbietet, oder wie wählst du dich ein? Ansonsten gehe ich davon aus, daß der Tunnel ansich sicher ist.
Nach meiner Erfahrung muß du aber weder GPOs ziehen noch deinen (Privat-) Rechner in deine Praxisdomäne bringen.
Es sollte sich recht einfach gestalten: Einwählen -> per Hand Einlogskript ausführen oder entsprechend Netzlaufwerk binden. Anscheinend hast du ja deine Software auch auf deinem Privat PC. Nach Einbinden der Netzlaufwerke sollte die Software dann ebenfalls funktionieren.
Gruß
Hi,
was genau ist das für eine "Praxis"? Sollte es sich z.B. um eine Arztpraxis handeln, wäre ich sehr
vorsichtig irgendwelche Zugänge von aussen zu ermöglichen, die sollten dann zu 100%
abgesichert sein.
Wenn nur Du von aussen Zugriff haben musst, würde ich das ganze über eine Rückruf-Verbidung
zusätzlich zu IPSec realisieren, hol' Dir dafür für zu Hause eine DynDNS Adresse und lass Dich
vom Server in der Praxis auf dieser Adresse zurückrufen, um den Tunnel aufzubauen.
Des weiteren würde ich eine zentral administriebare Antivirenlösung für das Netzwerk empfehlen.
Patientendaten sind ein sehr sensibles Thema, deswegen auch genau definieren, was man
remote darf und was nicht.
Gruß
cykes
was genau ist das für eine "Praxis"? Sollte es sich z.B. um eine Arztpraxis handeln, wäre ich sehr
vorsichtig irgendwelche Zugänge von aussen zu ermöglichen, die sollten dann zu 100%
abgesichert sein.
Wenn nur Du von aussen Zugriff haben musst, würde ich das ganze über eine Rückruf-Verbidung
zusätzlich zu IPSec realisieren, hol' Dir dafür für zu Hause eine DynDNS Adresse und lass Dich
vom Server in der Praxis auf dieser Adresse zurückrufen, um den Tunnel aufzubauen.
Des weiteren würde ich eine zentral administriebare Antivirenlösung für das Netzwerk empfehlen.
Patientendaten sind ein sehr sensibles Thema, deswegen auch genau definieren, was man
remote darf und was nicht.
Gruß
cykes
Der Weg die VPN Verbindung ueber den Router abzubilden ist aber auf alle Faelle der richtige.
VPN Router wie die z.B. von Draytek (www.draytek.de) und auch der Linksys bieten dir Zugriffsupport fuer alle derzeit gaengigen VPN Protokolle, was dich unabhaengig von einem Server macht und seinem Protokoll.
Dadurch bist du in der Lage die klassischen VPN Clients wie Windows, Linux und MacOS-X sie an Bord haben zu bedienen und auch gleichzeitig mit einem dedizierten oder freien IPsec Client zu arbeiten. Somit macht dich das unabhaengig und schafft dir eine grosse Flexibilitaet in Bezug auf Endgeraete.
Als weiteren Pluspunkt vermeidest du mit dem Einsatz der o.a. VPN Router ein Aufbohren der Firewall oder ein Port Forwarding bei Nicht VPN Routern auf interne Geraete, was nich eine gute Loesung ist. Das ist immer ein potentielles Sicherheitsloch und schafft dir zudem noch weitere technische Probleme bei Mehrfachzugriff.
Ob du dir zwischen VPN Router und deinem lokalen LAN noch eine Firewall stellst haengt von deinem Sicherheits Bauchgefuehl ab oder wie sensibel deine Daten sind. Schaden kann es wie oben geraten..nicht.
VPN Router wie die z.B. von Draytek (www.draytek.de) und auch der Linksys bieten dir Zugriffsupport fuer alle derzeit gaengigen VPN Protokolle, was dich unabhaengig von einem Server macht und seinem Protokoll.
Dadurch bist du in der Lage die klassischen VPN Clients wie Windows, Linux und MacOS-X sie an Bord haben zu bedienen und auch gleichzeitig mit einem dedizierten oder freien IPsec Client zu arbeiten. Somit macht dich das unabhaengig und schafft dir eine grosse Flexibilitaet in Bezug auf Endgeraete.
Als weiteren Pluspunkt vermeidest du mit dem Einsatz der o.a. VPN Router ein Aufbohren der Firewall oder ein Port Forwarding bei Nicht VPN Routern auf interne Geraete, was nich eine gute Loesung ist. Das ist immer ein potentielles Sicherheitsloch und schafft dir zudem noch weitere technische Probleme bei Mehrfachzugriff.
Ob du dir zwischen VPN Router und deinem lokalen LAN noch eine Firewall stellst haengt von deinem Sicherheits Bauchgefuehl ab oder wie sensibel deine Daten sind. Schaden kann es wie oben geraten..nicht.
Wenn es sich tatsächlich um eine Arztpraxis handelt finde ich nicht, daß ein normaler Router für die Sicherheit reicht. Normalerweise sollte da mE doch noch eine weitere Firewall stehen, die den Verkehr zwischen Router und _Netzwerk filtert. Aber egal...
Du brauchst deinen Rechner nicht der Domäne hinzufügen.
Sobald du einmal auf eine Netzresource zugreifen möchtest wird User, PW, Domain abgefragt. Wenn das alles eingetragen wurde hast du "normalen" Zugriff im Netz, da du dich ja authentifiziert hast. Evtl. noch die Einlog.bat ausführen, damit du die Laufwerke bindest...
Grüße
Du brauchst deinen Rechner nicht der Domäne hinzufügen.
Sobald du einmal auf eine Netzresource zugreifen möchtest wird User, PW, Domain abgefragt. Wenn das alles eingetragen wurde hast du "normalen" Zugriff im Netz, da du dich ja authentifiziert hast. Evtl. noch die Einlog.bat ausführen, damit du die Laufwerke bindest...
Grüße
Danke für die Tipps soweit!
Gern geschehen.
Mir persönlich gefällt die
Lösung eines eigenen VPN Routers aus den
selben Gründen, die aqui bereits genannt
hat, besser. Die Vorstellung mit Port
Forwarding direkt auf den Server zu kommen
und so quasi ein "Loch"
aufzumachen, mag ich nicht.
Zum Verständnis: Wenn man von 'draussen' auf den Server kommen soll, funktioniert das nur, wenn man irgendwo ein 'Loch' aufmacht, egal welche Lösung. Wenn dann der Tunnel L2TP mit IPSEC ist, ist es auch verschlüsselt etc, dann muss man nichts mehr 'filtern' etc.
Was die Sicherheit angeht, bin ich der
Meinung, dass die im Linksys integrierte
Firewall durchaus reichen sollte. Hinter die
Firewall des Routers nochmal eine Firewall zu
hängen, scheint mir dann doch etwas zu
übertrieben. Ob der Linksys jetzt ein
0815 Gerät ist weiß ich nicht. Es
ist, da Cisco ja mit drin hängt,
wahrscheinlich nicht schlecht...
Cisco muss nicht immer gut sein, siehe
http://www.tuaw.com/2007/07/22/wireless-problem-was-cisco-bug-not-iphon ...
und ein guter Hacker, wenn er genügend Zeit hat und unbedingt in Deinen PC will, der wird es immer schaffen, sogar beim Pentagon....Wie gesagt, es ist vom Aufwand und der kriminellen Energie abhängig.
(Die einfachere Methode ist sicher die, eine(n) MitarbeiterIn anzubaggern und nach erfolgter Anbahnung von der/dem Zugang zu bekommen. Das ist seit DDR-Zeiten in der Industrie die gängigste Methode...)
Wir betreuen derzeit 9 Arzt-/Zahnarzt/KfO-Praxen, in denen wir einen Fernzugang über DSL implementiert haben. Es kommt täglich zu Portscans von draussen, aber bis jetzt fanden wir noch nie Zeichen für einen erfolgreichen 'Einbruch'. Router sind meist Speedport von TCom.
Wenn es ganz sicher sein soll haben wir eine ISDN-Lösung mit Rückruf implementiert.
Zum Verständnis: Wenn man von
'draussen' auf den Server kommen
soll, funktioniert das nur, wenn man irgendwo
ein 'Loch' aufmacht, egal welche
Lösung. Wenn dann der Tunnel L2TP mit
IPSEC ist, ist es auch verschlüsselt
etc, dann muss man nichts mehr
'filtern' etc.
Die Filterung ist generell nicht umbedingt notwendig. Es kommt auf die Vertrauenswürdigkeit des Clients an und wie wahrscheinlich es ist, daß er evtl. komprommitiert ist.'draussen' auf den Server kommen
soll, funktioniert das nur, wenn man irgendwo
ein 'Loch' aufmacht, egal welche
Lösung. Wenn dann der Tunnel L2TP mit
IPSEC ist, ist es auch verschlüsselt
etc, dann muss man nichts mehr
'filtern' etc.
Viele professionelle Router bringen teilweise auch schon sowas mit. Vielleicht auch der Linksys kA. Eine Filterung durch eine 2. Instanz ist jedenfalls sinnig, wenn der Client evtl. komprommitiert wurde.
Wir betreuen derzeit 9
Arzt-/Zahnarzt/KfO-Praxen, in denen wir einen
Fernzugang über DSL implementiert
haben. Es kommt täglich zu Portscans von
draussen, aber bis jetzt fanden wir noch nie
Zeichen für einen erfolgreichen
'Einbruch'. Router sind meist
Speedport von TCom.
Wenn es ganz sicher sein soll haben wir
eine ISDN-Lösung mit Rückruf
implementiert.
Ja, die ISDN Lösung ist ansich die sicherste Lösung :D , allerdings nicht mehr state-of-the-art.
Die Speedport sind ja eher home- Produkte, die weder IDS noch (integriertes) VPN noch sonstwas können. Bei niedrigeren Sicherheitsansprüchen sicherlich ausreichend. Aber Ärzte kneifen ja meist auch schneller den Geldbeutel zu... ;)
Ich will das Ganze nicht madig machen. VPN ist ansich schon sicher, aber wenn etwas passiert, dann bereut man, daß man nicht doch eine "größere" Lösung gewählt hat...
Und da der TO nicht geschrieben hat, wie und ob vertrauenswürdig die einzuwählenden Clients sind läßt sich das nur schwer abschätzen, was ausreichend ist und was nicht...
Das Problem wird sicher deine Client Seite sein und weniger der Linksys.
Der DSL Router hinter dem dein Client sitzt muss VPN Passthrough supporten, sonst hast du keine Chance !
Leider schreibst du nicht welches VPN Protokoll der Linksys Client benutzt so das man nun mühsam raten muss
Vermutlich wird das aber IPsec im ESP Modus sein. Du musst dann an diesem Router hinter dem der Client ist folgende Ports in die Port Forwarding Tabell eintragen auf die lokale IP Adresse deines Client PCs:
ESP muss nicht immer eingragen werden, wenn der Router VPN Passthrough supportet aber die andere Protokolle in jedem Falle, sonst ist einen IPsec(ESP) Verbindung mit einem NAT Router nicht zu übertragen.
Der Client muss auf den ESP Modus eingestellt sein ! Es gibt auch noch den AH Modus der gar nicht über NAT zu übertragen ist !!!
Den Quercheck ob es funktioniert kannst du immer ganz einfach machen sofern sich dein Linksys VPN Client auf einem Laptop mit eingebautem Analogmodem (haben Laptops ausnahmslos immer mit an Bord..) befindet. (Oder du hast noch so ein Modem in oder am PC...)
Damit wählst du dich mal über deinen vorhandenen Telefonanschluss bei einem Internet by Call Provider wie z.B. Arcor direkt ins Internet ein mit folgenden Zugangsdaten:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Damit bist du dann direkt ohne NAT im Internet und kannst mal testweise den VPN Zugang ausprobieren ohne das du einen NAT Router dazwischen hast. Wenn es klappt ist es de facto das fehlen der PFW Liste im NAT Router vorm Client !
Der DSL Router hinter dem dein Client sitzt muss VPN Passthrough supporten, sonst hast du keine Chance !
Leider schreibst du nicht welches VPN Protokoll der Linksys Client benutzt so das man nun mühsam raten muss
Vermutlich wird das aber IPsec im ESP Modus sein. Du musst dann an diesem Router hinter dem der Client ist folgende Ports in die Port Forwarding Tabell eintragen auf die lokale IP Adresse deines Client PCs:
- ESP Protokoll mit der Protokoll Nummer 50 (Nicht TCP 50 !)
- IKE mit UDP 500
- NAT Traversal mit UDP 4500
ESP muss nicht immer eingragen werden, wenn der Router VPN Passthrough supportet aber die andere Protokolle in jedem Falle, sonst ist einen IPsec(ESP) Verbindung mit einem NAT Router nicht zu übertragen.
Der Client muss auf den ESP Modus eingestellt sein ! Es gibt auch noch den AH Modus der gar nicht über NAT zu übertragen ist !!!
Den Quercheck ob es funktioniert kannst du immer ganz einfach machen sofern sich dein Linksys VPN Client auf einem Laptop mit eingebautem Analogmodem (haben Laptops ausnahmslos immer mit an Bord..) befindet. (Oder du hast noch so ein Modem in oder am PC...)
Damit wählst du dich mal über deinen vorhandenen Telefonanschluss bei einem Internet by Call Provider wie z.B. Arcor direkt ins Internet ein mit folgenden Zugangsdaten:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Damit bist du dann direkt ohne NAT im Internet und kannst mal testweise den VPN Zugang ausprobieren ohne das du einen NAT Router dazwischen hast. Wenn es klappt ist es de facto das fehlen der PFW Liste im NAT Router vorm Client !