3
Sichere Anbindung von Außenstandorten
Guten Abend Zusammen,
ich benötige einmal ein paar Ideen und Lösungsansätze für das Anbinden von weiteren Standorten. Ich habe zwar gesehen das dieses Thema immer mal wieder "diskutiert" wurde, allerdings habe ich noch keinen direkten Lösungsansatz für meine Situation gefunden, daher die Frage.
Herausforderung:
Wir haben deutschlandweit ca. 25 Standorde welche so über ~1 - 4 Mitarbeiter verfügen. Standorter im Außland teils schon da und weiter folgen noch. Prio liegt allerdings auf DE.
Da die Telekom ja schon seit einiger Zeit auf All-IP Umstellt, müssen wir dringend ein "Paket" erstellen, was wir in die Außenstandorte für die neue Anbindung rausgeben können.
Verprobt haben wir bis dato die Kombination aus einer DIGI-Box von der Telekom für die Einwahl in das Internet und dahinter eine Sophos RED Box, welche eine VPN Verbindung zu unserer zentralen Firewall (Sophos UTM) aufbaut. Abgesehen davon, dass das Konstrukt relativ "komplex" ist und man viel "schrauben" muss, damit alles läuft (vorhandene Telefone flashen für neue Firmware damit SIP funktioniert, DIGI-Box konfigurieren usw.) funtkioniert das Konstrukt recht gut. So 100%ig zufrieden sind wir allerdings auch nicht.
Was ist die Anforderung für die neue Anbindung?
1) Die Clients sollen sicher in das Netz eingebunden werden.
Heißt: In Zukunft soll eine zertifikatsbasierte Authentifizierung möglich sein, damit nur Firmengeräte in das Netz gelangen.
2) Die Clients sollen dem zentralen Webproxy unterliegen.
Damit der Traffic jedoch nicht extra über die Zentrale geroutet werden muss, wäre ein replizieren des Regelwerks in die einzelnen
Standorte oder sogar direkt auf die Clients (was sogar noch besser wäre) vom Vorteil.
3) Eine VPN Verbindung muss zur Zentrale aufgebaut werden können.
4) Den Mitarbeitern soll eine komfortable Variante der Telefonie geboten werden. Am besten zentral über unseren bestehenden Telefonserver (Telekom NetPhone Anlage) verwaltet.
Wir haben auch schon den Softphone Client für iOS von SwyxIT gestet, sind damit allerdings auch noch nciht so richtig zufrieden, da er relativ lange benötigt um sich mit dem Server zu verbindung. Bei eingehenden Anrufen muss die App auch ersteinmal entsperrt werden, was Zeit kostet und auch nicht gerade komfortabel ist.
So, viele Fragen und Probleme aber dennoch die Frage in die Runde...
... hat jemand eventuell einen guten Lösungsansatz der die oben genannten Herausforderungen abdeckt?
ich benötige einmal ein paar Ideen und Lösungsansätze für das Anbinden von weiteren Standorten. Ich habe zwar gesehen das dieses Thema immer mal wieder "diskutiert" wurde, allerdings habe ich noch keinen direkten Lösungsansatz für meine Situation gefunden, daher die Frage.
Herausforderung:
Wir haben deutschlandweit ca. 25 Standorde welche so über ~1 - 4 Mitarbeiter verfügen. Standorter im Außland teils schon da und weiter folgen noch. Prio liegt allerdings auf DE.
Da die Telekom ja schon seit einiger Zeit auf All-IP Umstellt, müssen wir dringend ein "Paket" erstellen, was wir in die Außenstandorte für die neue Anbindung rausgeben können.
Verprobt haben wir bis dato die Kombination aus einer DIGI-Box von der Telekom für die Einwahl in das Internet und dahinter eine Sophos RED Box, welche eine VPN Verbindung zu unserer zentralen Firewall (Sophos UTM) aufbaut. Abgesehen davon, dass das Konstrukt relativ "komplex" ist und man viel "schrauben" muss, damit alles läuft (vorhandene Telefone flashen für neue Firmware damit SIP funktioniert, DIGI-Box konfigurieren usw.) funtkioniert das Konstrukt recht gut. So 100%ig zufrieden sind wir allerdings auch nicht.
Was ist die Anforderung für die neue Anbindung?
1) Die Clients sollen sicher in das Netz eingebunden werden.
Heißt: In Zukunft soll eine zertifikatsbasierte Authentifizierung möglich sein, damit nur Firmengeräte in das Netz gelangen.
2) Die Clients sollen dem zentralen Webproxy unterliegen.
Damit der Traffic jedoch nicht extra über die Zentrale geroutet werden muss, wäre ein replizieren des Regelwerks in die einzelnen
Standorte oder sogar direkt auf die Clients (was sogar noch besser wäre) vom Vorteil.
3) Eine VPN Verbindung muss zur Zentrale aufgebaut werden können.
4) Den Mitarbeitern soll eine komfortable Variante der Telefonie geboten werden. Am besten zentral über unseren bestehenden Telefonserver (Telekom NetPhone Anlage) verwaltet.
Wir haben auch schon den Softphone Client für iOS von SwyxIT gestet, sind damit allerdings auch noch nciht so richtig zufrieden, da er relativ lange benötigt um sich mit dem Server zu verbindung. Bei eingehenden Anrufen muss die App auch ersteinmal entsperrt werden, was Zeit kostet und auch nicht gerade komfortabel ist.
So, viele Fragen und Probleme aber dennoch die Frage in die Runde...
... hat jemand eventuell einen guten Lösungsansatz der die oben genannten Herausforderungen abdeckt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342951
Url: https://administrator.de/contentid/342951
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Hi Jannis,
da gibts einige Möglichkeiten, kommt aber immer drauf an, wie es genau aussieht. Wenn du die Details genauer durcharbeiten willst, schreib gerne eine PN.
Schönen Abend,
Christian
da gibts einige Möglichkeiten, kommt aber immer drauf an, wie es genau aussieht. Wenn du die Details genauer durcharbeiten willst, schreib gerne eine PN.
Schönen Abend,
Christian
Ich würde die RED Devices behalten, ich kenne nichts einfacheres! Welche Probleme habt ihr denn im Detail damit ? Liste mal auf..
Das Telefon würde ich generell vom Router der am Standort ist abkoppeln und reine IP-Devices nehmen die sich an einer PBX anmelden die in der zentrale steht. Voraussetzung sind aber ~50ms Ping.
Das Telefon würde ich generell vom Router der am Standort ist abkoppeln und reine IP-Devices nehmen die sich an einer PBX anmelden die in der zentrale steht. Voraussetzung sind aber ~50ms Ping.
Moin dgrebner,
bei der RED-Konfiguration stimme ich dir vollkommen zu. Das ist echt top.
Den "Schmerz" haben wir dabei, dass die Standorte teilweise unterirdisch (~2 MBit) angebunden sind und der gesamte Traffic dann über die Zentrale geschickt wird (Proxy).
Genial wäre es, wenn man das Regelwerk auf die Box synchronisieren könnte, sodass die Kollegen lokal rausgehen, allerdings das Regelwerk der Zentrale greift. Wenn ich richtig informiert bin, geht das allerdings nicht mit der RED-Box.
Bezüglich der Telefonie ist die Anforderung so, dass die Kollegen in den Außenstandorten die lokale Rufnummer verwenden möchten. Hier haben wir aktuell denke ich eine gute Lösung in Kombination mit einer FritzBox gefunden. Einziges Problem aktuell ist noch das einrichten einer Rufweiterleitung, ohne dass der Anwender auf die Box muss zum konfigurieren.
bei der RED-Konfiguration stimme ich dir vollkommen zu. Das ist echt top.
Den "Schmerz" haben wir dabei, dass die Standorte teilweise unterirdisch (~2 MBit) angebunden sind und der gesamte Traffic dann über die Zentrale geschickt wird (Proxy).
Genial wäre es, wenn man das Regelwerk auf die Box synchronisieren könnte, sodass die Kollegen lokal rausgehen, allerdings das Regelwerk der Zentrale greift. Wenn ich richtig informiert bin, geht das allerdings nicht mit der RED-Box.
Bezüglich der Telefonie ist die Anforderung so, dass die Kollegen in den Außenstandorten die lokale Rufnummer verwenden möchten. Hier haben wir aktuell denke ich eine gute Lösung in Kombination mit einer FritzBox gefunden. Einziges Problem aktuell ist noch das einrichten einer Rufweiterleitung, ohne dass der Anwender auf die Box muss zum konfigurieren.
