Portablen VPN-Client
Hallo zusammen,
ich bin auf der Suche, falls es so etwas geben sollte, nach einem portablen VPN-Client.
Ich bin auch offen für andere Vorschläge für mein folgendes Szenario.
Wir haben eine Firewall der Fa. ZyXEL bei uns im Einsatz:
ZyWALL USG 50.
Auf den Dienst-Notebooks wird eine IPSec VPN-Verbindung mittels Shrew VPN-Client hergestellt.
Jetzt kommt es aber auch mal vor, dass man sein Notebook nicht dabei hat und vor Ort beim Kunden auf Kunden Dokumentationen zurückgreifen muss.
Ideal wäre also, ein VPN-Client welcher z.B. über einen USB-Stick gestartet werden kann, umso eine VPN-Verbindung ins Büro aufzubauen, sodass man sich per RDP auf dem Terminalserver einwählen kann.
Ich möchte nicht auf den PCs vor Ort etwas installieren / einrichten müssen und dieses später wieder entfernen.
Quasi, USB-Stick mit der Software sowie Verbindung fertig eingerichtet in den Rechner stecken und mittels XAUTH verbinden.
Grüße
ich bin auf der Suche, falls es so etwas geben sollte, nach einem portablen VPN-Client.
Ich bin auch offen für andere Vorschläge für mein folgendes Szenario.
Wir haben eine Firewall der Fa. ZyXEL bei uns im Einsatz:
ZyWALL USG 50.
Auf den Dienst-Notebooks wird eine IPSec VPN-Verbindung mittels Shrew VPN-Client hergestellt.
Jetzt kommt es aber auch mal vor, dass man sein Notebook nicht dabei hat und vor Ort beim Kunden auf Kunden Dokumentationen zurückgreifen muss.
Ideal wäre also, ein VPN-Client welcher z.B. über einen USB-Stick gestartet werden kann, umso eine VPN-Verbindung ins Büro aufzubauen, sodass man sich per RDP auf dem Terminalserver einwählen kann.
Ich möchte nicht auf den PCs vor Ort etwas installieren / einrichten müssen und dieses später wieder entfernen.
Quasi, USB-Stick mit der Software sowie Verbindung fertig eingerichtet in den Rechner stecken und mittels XAUTH verbinden.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220430
Url: https://administrator.de/contentid/220430
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
bei IPSEC-VPN wirst du nicht umhin können, einen Dienst zu installieren. Der hängt sich nämlich als Netzwerkdienst in das System.
Das was du vorhast, empfinde ich als wenig sinnvoll.
Mein Vorschlag (so mache ich das auch):
Nimm immer ein eigenes Gerät (Notebook/Tablet) mit zum Kunden und verbinde dich von diesem per VPN mit deinem Netz. Ob du das via UMTS/LTE machst oder das WLAN/LAN des Kunden dafür nutzen kannst/darfst, ist egal.
Es gibt aber noch weitere Möglichkeiten:
1. SSL-VPN (kenne aber deine Zywall nicht), damit kannst du dich mittels Browser und SSL in dein Netz einwählen
2. Eigener Exchange/Sharepoint, der via HTTPS zu erreichen ist
bei IPSEC-VPN wirst du nicht umhin können, einen Dienst zu installieren. Der hängt sich nämlich als Netzwerkdienst in das System.
Das was du vorhast, empfinde ich als wenig sinnvoll.
Mein Vorschlag (so mache ich das auch):
Nimm immer ein eigenes Gerät (Notebook/Tablet) mit zum Kunden und verbinde dich von diesem per VPN mit deinem Netz. Ob du das via UMTS/LTE machst oder das WLAN/LAN des Kunden dafür nutzen kannst/darfst, ist egal.
Es gibt aber noch weitere Möglichkeiten:
1. SSL-VPN (kenne aber deine Zywall nicht), damit kannst du dich mittels Browser und SSL in dein Netz einwählen
2. Eigener Exchange/Sharepoint, der via HTTPS zu erreichen ist
Moin,
Grüße,
Dani
Damit ich SSL-VPN nutzen kann, muss ja meine ZyWAL aus dem Internet erreichbar sein.
Wenn du den VPN Client nutzt, trifft das ebenfalls zu.Ich kann jetzt natürlich den Port ändern, sodass es nicht mehr Standard 443 ist sondern 4433, allerdings empfinde ich dies nicht als ausreichend sicher.
Das hilft evtl. gegen Portscanner, mehr auch nicht. Wenn's sicher sein soll, schau dir OTP-Lösungen an.Grüße,
Dani
Moin,
ich verstehe dein Problem nicht...
Wir haben hier regelmäßig gewisse Versuche im Protokoll stehen, was uns nicht weiter stört. Nach drei fehlhaften Versuchen wird die Quell-IP-Adresse 10 Minuten geblockt. Nach wiederholten drei Versuchen 60 Minuten und falls jemand immer noch nicht genug hat und es nochmal 3x versucht wird die IP-Adresse 24 Stunden geblockt. Dazu kommt ein Geo-IP-Filter, der beim Aufruf der Seite schon filtert und diverse Länder haben wir grundsätzlich geblockt.
Um so größer ein Unternehmen um so interessanter werden solche Zugänge.
Grüße,
Dani
ich verstehe dein Problem nicht...
Was mich daran stört, ist dass mein Firewall Webinterface einfach so immer Internet ist.
Ist dein VPN-Port auch... wie gesagt, es gibt genug Varianten um den Zugang sicherer zu machen. Bei uns können die Firewalladmins nur von bestimmten internen Rechnern sich anmelden. Vom Internet aus schon gar nicht. Alle Außendienstler, Homeworker, etc... melden sich mit Benutzernamen + One Time Passwort + PIN an.Wir haben hier regelmäßig gewisse Versuche im Protokoll stehen, was uns nicht weiter stört. Nach drei fehlhaften Versuchen wird die Quell-IP-Adresse 10 Minuten geblockt. Nach wiederholten drei Versuchen 60 Minuten und falls jemand immer noch nicht genug hat und es nochmal 3x versucht wird die IP-Adresse 24 Stunden geblockt. Dazu kommt ein Geo-IP-Filter, der beim Aufruf der Seite schon filtert und diverse Länder haben wir grundsätzlich geblockt.
Um so größer ein Unternehmen um so interessanter werden solche Zugänge.
Grüße,
Dani
Bei dem Webinterface mache ich mir halt sorgen zwecks Brute-Force. Der Port ist zwar geändert, aber dieser kann ja trotzdem herausgefunden werden.
Wie gesagt, OTP + PIN nutzen und es passiert zu 99,9% nichts.Hast du ggf. sogar Erfahrungen mit ZyWALLs wo ich diese Einstellung finden könnte?
Nein, entspricht nicht unseren Anforderungen. Grüße,
Dani