matzefratze81
Goto Top

Standortvernetzung zu einem Strato VServer (Windows)

Moin,
ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen habe. Früher war vpn für mich völlig unwichtig und jetzt bin ich Mädchen für alles.

Eigentlich habe ich eine ziemlich einfache Aufgabe, aber ich bin zu blöd dafür face-big-smile

Also

Firmennetz (IP 192.168.1.x) - Fritzbox (mit statischer ip) - VServer Strato (öffentliche IP)

Ziel ist es, dass dieser per VPN mit dem Standort verbunden wird und eine IP (privat) in dem Subnet des Firmennetzes bekommt.

Ich bin zu blöd, dies über die MS-Bordmittel hinzubekommen.

Jemand einen Tipp?

Wäre euch sehr dankbar.

Content-ID: 366007

Url: https://administrator.de/forum/standortvernetzung-zu-einem-strato-vserver-windows-366007.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

aqui
aqui 24.02.2018 aktualisiert um 10:24:29 Uhr
Goto Top
Eigentlich habe ich eine ziemlich einfache Aufgabe, aber ich bin zu blöd dafür
Ist es in der Tat aber immer locker bleiben, wir führen dich schon zum Ziel obwohl du mit nur ein klein wenig Lesen auf dem AVM VPN Portal auch ohne Foren Thread erefolgreich gewesen wärst face-wink
Ziel ist es, dass dieser per VPN mit dem Standort verbunden wird
Eigentlich kinderleicht:
  • VPN Client auf dem Starto Server installieren
  • VPN auf der FB konfigurieren
  • Mit dem VPN Client auf dem Strato Server eine VPN Verbindung auf die FB auchmachen
  • Fertisch !
Mit MS Bordmitteln wird das nix, da du einen VPN Client von AVM brauchst oder bei ganz neuem Windows geht der auch nicht, dann musst du den allseits bekannten Shrew Client nehmen:
Guckst du hier:
https://avm.de/service/vpn/uebersicht/
Fritz Fernzugang.
Bei aktuellen Winblows Versionen Shrew verwenden:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
...oder die Beta Version von AVM:
https://avm.de/fritz-labor/betaversion-fritzfernzugang-vpn-fuer-windows- ...
Besser den bewährten Shrew Client !
matzefratze81
matzefratze81 24.02.2018 um 10:32:38 Uhr
Goto Top
Moin,
damit habe ich aber die Konstellation VServer stellt VPN-Tunnel zur Fritzbox her. Da ich den VServer sonst dicht machen möchte brauche ich ja eigentlich die Situation, dass der VServer als VPN-Server fungiert, oder?
aqui
aqui 24.02.2018 aktualisiert um 10:42:11 Uhr
Goto Top
damit habe ich aber die Konstellation VServer stellt VPN-Tunnel zur Fritzbox her.
Anders ist es ja nicht möglich, denn dann müsste der Winblows Server ja selber VPN Server sein. Dann hast du mit der FB aber ein Problem da die ja nur VPN Server sein kann.
Wenn dein Strato Server ein "richtiges" Betriebssystem hätte wäre hier Strongswan dein bester Freund aber da ist nun mal nada mit Klicki Bunti Winblows.... Dein Server ist ja nun mal der VPN Client.
Es ist ja auch kein Problem das so zu machen, oder ?
Grundlagen dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
certifiedit.net
certifiedit.net 24.02.2018 um 13:11:30 Uhr
Goto Top
Hallo Matze,

ersetz die Fritzbox und am besten auch die Windows-Server im freien Internet-häng Lösung durch etwas professionelleres. Beachte auch die Datensicherheit/DSGVO.

VG
Dani
Dani 24.02.2018 um 14:26:29 Uhr
Goto Top
@certifiedit.net
ersetz die Fritzbox und am besten auch die Windows-Server im freien Internet-häng Lösung durch etwas professionelleres.
erklär mir einmal, warum ein Windows Server nicht sicher im Internet betrieben werden kann? Wie bei anderen Betriebssystemen auch, kommt es schlussendlich auf die Konfiguration bzw. die (Web)Applikationen an. Bezüglich dem administrativen Zugriff (RDP) kann die Verbindung problemlos mit Hilfe von Boardmitteln (IPSec) gesicht werden. Falls die Internetanbindung des Unternehmens eine statische IP-Adresse hat, kann der Zugriff auf diese zusätzlich beschränkt werden. Eine allgemeine Aussage zu treffen, ohne die Details zu kennen, führt nur zur Verunsicherung.

Beachte auch die Datensicherheit/DSGVO.
In wie fern spielt dies bei der Absicherung des vServers eine Rolle oder war dies auf den vServer bezogen?!


Gruß,
Dani
StefanKittel
StefanKittel 24.02.2018 um 14:47:21 Uhr
Goto Top
Hallo,

mehr Möglichkeiten hast Du wenn Du zu einem IAAS-Anbieter gehst.
Da bekommst Du ein privates Netzwerk und kannst eine VM als Windows-Server und eine VM als (VPN-) Firewall verwenden.
Kombiniert mit einer pfsense Firewall bei Dir im Haus kannst Du dann alles realisieren.

Wenn es das Budget hergibt.

Stefan
certifiedit.net
certifiedit.net 24.02.2018 aktualisiert um 16:29:16 Uhr
Goto Top
hi @Dani
Zitat von @Dani:

@certifiedit.net
ersetz die Fritzbox und am besten auch die Windows-Server im freien Internet-häng Lösung durch etwas professionelleres.
erklär mir einmal, warum ein Windows Server nicht sicher im Internet betrieben werden kann? Wie bei anderen Betriebssystemen auch, kommt es schlussendlich auf die Konfiguration bzw. die (Web)Applikationen an. Bezüglich dem administrativen Zugriff (RDP) kann die Verbindung problemlos mit Hilfe von Boardmitteln (IPSec) gesicht werden. Falls die Internetanbindung des Unternehmens eine statische IP-Adresse hat, kann der Zugriff auf diese zusätzlich beschränkt werden. Eine allgemeine Aussage zu treffen, ohne die Details zu kennen, führt nur zur Verunsicherung.

Richtig, allerdings musst du mir wohl zustimmen, dass ein Einbruch in ein pures Windowssystem einfacher geht, als ein durch eine Firewall geschütztes System (die auch Ausbrücke blockt.). Problemlose Absicherung würde ich daher gerne zur Diskussion stellen, da es vermutlich nicht nur um RDP, sondern auch um Applikationen auf dem Server geht.

Keine allgemeine Anmerkung führt im Gegenteil zum in Sicherheit wiegen, was wohl auch fehl am Platz ist und mehr als ein pauschales Setting haben wir hier (übliches Forendilemma) nicht.


Beachte auch die Datensicherheit/DSGVO.
In wie fern spielt dies bei der Absicherung des vServers eine Rolle oder war dies auf den vServer bezogen?!

Dies war auf den vServer bezogen, allerdings auch darauf, dass man diese Verordnung beim Umgang mit Absicherungsaufwänden im Hinterkopf behalten sollte.


Gruß,
Dani

Gruß,

Christian
matzefratze81
matzefratze81 24.02.2018 um 22:21:56 Uhr
Goto Top
Moin,
also aktuell werkelt noch ein HP ML 350p gen8 vor sich hin. Allerdings versuche ich diesen sterben zu lassen und dies mit der Energiekosten-Diskussion.

Dieser hat folgende Aufgaben:
- Active Directory
- Fileserver (ca. 5 TB)
- SQL-Server
- (war mal Exchange-Server)

Des weiteren laufen dort noch 2-3 andere Tools drauf.

Es gibt die Bestrebungen, das System zu ersetzen.

Ich würde die Bestrebungen gerne durch Wirtschaftlichkeit unterstützen. Ich vermute, dass der HP um die 500w verbraucht, insbesondere, da er mit kleinen HDDs vollgestopft ist. Rechnet man noch die Kühlung ein, sind wir (hoffentlich) bei ca. 700w. Dies macht ca. 100 EUR an Energiekosten, dazu kommen noch Lizenzgebühren und Abschreibung des Systems. Ein aktuelles System wird ja auch bei ca. 3000 EUR aufwärts liegen. Dies muss ich auf 5 Jahre abschreiben, macht also noch einmal 50 EUR / Monat. Lizenz noch dazu etc.

Daher ist mein Ansatz momentan, auf ein NAS als Storage-Lösung zu setzen. Für 6 TB brauche ich ja eins mit 4 HDD's, max. 6. Der Energieverbrauch ist deutlich geringer. Diese würden On-Site bleiben. Hier könnte man bei einem Server irgendwo in einem Rack auch über Backup to remote disk nachdenken.

Es wäre genial, wenn man also die Windows Server basierenden Dienste auf einem VServer in irgendeinem Rechenzentrum auslagern könnte. Da die Dienste wie ADS und SQL nicht so ganz unwichtig sind, wäre es natürlich sinnvoll, wenn die Lösung sehr stabil ist.

Die Anbindung an das Rechenzentrum sollte per VPN erfolgen. Wir haben zwei Internetzugänge, einer über DSL und einer FritzBox, die wir frei konfigurieren können. Dann ist noch ein Cisco Router verbaut, der leider nur von Versatel konfiguriert werden kann.

Ich brauche also eine Lösung mit einem gehosteten Server, gerne virtuell, der nicht sehr viel Performance braucht, und bei max. 120 EUR / Monat liegt.

Ich merke immer mehr, wie extrem der Unterschied zwischen Enterprise-Umgebung und KUM ist. Nicht nur, das es mir früher völlig egal war, wieso ich gerade auf die 100 Standorte bei relativ guter Performance weltweit zugreifen kann, auch, was die Kosten angeht. Nicht nur, dass die Low-End-Server für simple Aufgaben bei ca. 5000 EUR anfingen etc. Es wurde alles, bei dem der Wartungsvertrag auslief, ersetzt. Und man konnte all dieses mit Verfügbarkeit rechtfertigen.
certifiedit.net
certifiedit.net 25.02.2018 um 00:52:12 Uhr
Goto Top
Hallo Milchmädchen - und wenn die Internetleitung nicht verfügbar ist arbeiten - wieviele? 5, 10? Leute für n Stunden eben gar nicht mehr (wo man früher zumindest aufräumen und mails vorbereiten konnte) - das heisst bei einem Stundensatz von ca 15€ + Nebenkosten + Verdienstausfall sind das in einer Stunde gleich mal 100€ oder man holt sich einen redundanten Businessanschluss, der aber auch gleich bei 120€ ++ liegt und was ist mit der Wartung? und wenn man schnell alle Daten haben möchte?

Und ums ordentlich abzusichern ist es auch mit einem einfachen vServer nicht getan, DSGVO ganz aussen vor.

Aber das sind eben Abenteuer, mal schauen, wie viele Firmen das am Ende überleben.
matzefratze81
matzefratze81 25.02.2018 um 08:52:08 Uhr
Goto Top
Moin,
es gibt einen Business-Anschluss über Versatel. Dieser ist redundant ausgelegt, zum einen über DSL und zum anderen über Glasfaser. Aber der Kommentar hat mich gerade sehr weitergebracht, da Versatel und 1und1 zusammen gehören und mit Profitbricks kooperiert und das wäre offensichtlich die Lösung.

Vielen Dank!