19
Unterwegs via LTE oder WLAN auf Terminalserver in Firma zugreifen
Hallo,
wir haben in der Firma einen Terminalserver, der für 10 Benutzer-Sitzungen vorbereitet ist. Eine Side-to-Side-VPN-Verbindung war bisher für einen Home-Office-Arbeitsplatz über Festnetz schon genutzt worden.
Bislang werden lediglich PCs am internen lokalen Netzwerk benutzt, von denen aus jeder Benutzer eine RDP-Verbindung zum Terminal-Server aufbaut und seine Programme bearbeitet.
Nun wollen sich 3 Außendienst-Mitarbeiter von unterwegs während ihrer Kundenbesuche die aufgenommenen Bestellungen und Gesprächsnotizen via RDP-Sitzung direkt erfassen.
Diesen Leuten stehen (private) Notebooks verfügbar, die mit WLAN oder LAN-Buchse ausgestattet sind, keine SIM-Karten-Slot o.ä.
Es stellen sich folgende Fragen:
1. Welche kostengünstigen, aber datenschutztechnisch sicheren Möglichkeiten gibt es, via LTE und/oder WLAN im Außendienst eine VPN-Verbindung mit dem jeweiligen Laptop aufzubauen, dann darauf aufbauend eine RDP-Sitzungen zum Terminalserver zu nutzen und danach diese wieder abzubauen.
Welchen empfehlenswerte Hardware-Router (mit integrierten VPN-Tunnel-Funktion), der mit einer SIM-Karte bestückt werden kann, gäbe es da?
2. Wie sieht es generell mit LTE-Mobilfunk aus: kann man hier eine für Privatkunden verfügbare Datenflatrate (z.B. von Vodafone 5GB-Volumen pro Monat) nutzen (die Datenmenge wird monatlich wohl reichen, weil nur Bildschirminhalte, Maus- und Tastatureingaben übertragen werden) oder braucht man hier spezielle LTE-Tarife für den VPN-Zugriff, um VPN- und RDP-typische Ports wie 500,4500 übertragen werden?
3. Wenn alleine mit Internet-Zugang in öffentlichem WLAN gearbeitet werden könnte, wäre das von Vorteil. Gibt es hierzu eine verlässliche Software zur VPN-Tunnel-Herstellung ohne "Sicherheitslecks", damit Missbrauch verhindert werden kann oder ist das nach Stand der Technik nicht sicher genug?
Wäre über Tipps und Empfehlungen sowie auch Warnungen betreffs unsicherer Produkte dankbar.
MfG
mannid
wir haben in der Firma einen Terminalserver, der für 10 Benutzer-Sitzungen vorbereitet ist. Eine Side-to-Side-VPN-Verbindung war bisher für einen Home-Office-Arbeitsplatz über Festnetz schon genutzt worden.
Bislang werden lediglich PCs am internen lokalen Netzwerk benutzt, von denen aus jeder Benutzer eine RDP-Verbindung zum Terminal-Server aufbaut und seine Programme bearbeitet.
Nun wollen sich 3 Außendienst-Mitarbeiter von unterwegs während ihrer Kundenbesuche die aufgenommenen Bestellungen und Gesprächsnotizen via RDP-Sitzung direkt erfassen.
Diesen Leuten stehen (private) Notebooks verfügbar, die mit WLAN oder LAN-Buchse ausgestattet sind, keine SIM-Karten-Slot o.ä.
Es stellen sich folgende Fragen:
1. Welche kostengünstigen, aber datenschutztechnisch sicheren Möglichkeiten gibt es, via LTE und/oder WLAN im Außendienst eine VPN-Verbindung mit dem jeweiligen Laptop aufzubauen, dann darauf aufbauend eine RDP-Sitzungen zum Terminalserver zu nutzen und danach diese wieder abzubauen.
Welchen empfehlenswerte Hardware-Router (mit integrierten VPN-Tunnel-Funktion), der mit einer SIM-Karte bestückt werden kann, gäbe es da?
2. Wie sieht es generell mit LTE-Mobilfunk aus: kann man hier eine für Privatkunden verfügbare Datenflatrate (z.B. von Vodafone 5GB-Volumen pro Monat) nutzen (die Datenmenge wird monatlich wohl reichen, weil nur Bildschirminhalte, Maus- und Tastatureingaben übertragen werden) oder braucht man hier spezielle LTE-Tarife für den VPN-Zugriff, um VPN- und RDP-typische Ports wie 500,4500 übertragen werden?
3. Wenn alleine mit Internet-Zugang in öffentlichem WLAN gearbeitet werden könnte, wäre das von Vorteil. Gibt es hierzu eine verlässliche Software zur VPN-Tunnel-Herstellung ohne "Sicherheitslecks", damit Missbrauch verhindert werden kann oder ist das nach Stand der Technik nicht sicher genug?
Wäre über Tipps und Empfehlungen sowie auch Warnungen betreffs unsicherer Produkte dankbar.
MfG
mannid
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671855
Url: https://administrator.de/forum/unterwegs-via-lte-oder-wlan-auf-terminalserver-in-firma-zugreifen-671855.html
Ausgedruckt am: 15.04.2025 um 07:04 Uhr
19 Kommentare
Neuester Kommentar
1
Hallo,
welche VPN-Lösung wird denn für das bisherige Home-Office genutzt?
Welche Router-/Firewall-Lösung ist denn im Einsatz?
Wo beginnt und wo endet der bisherige VPN-Tunnel? (Router/Firewall, Terminal-Server, Home-Router, Laptop/PC)
Wir haben eine Sophos-Firewall im Einsatz. Die Monteur-Tablets verbinden sich über eine VPN-Tunnel mit der Firewall und arbeiten mit einem Mobil-Client auf dem ERP-Server. Über Mobilfunk oder WLAN.
Jürgen
welche VPN-Lösung wird denn für das bisherige Home-Office genutzt?
Welche Router-/Firewall-Lösung ist denn im Einsatz?
Wo beginnt und wo endet der bisherige VPN-Tunnel? (Router/Firewall, Terminal-Server, Home-Router, Laptop/PC)
Wir haben eine Sophos-Firewall im Einsatz. Die Monteur-Tablets verbinden sich über eine VPN-Tunnel mit der Firewall und arbeiten mit einem Mobil-Client auf dem ERP-Server. Über Mobilfunk oder WLAN.
Jürgen
Mit den in allen Laptops eingebauten onboard VPN Clients ist so ein einfaches Client VPN ja nun kein Hexenwerk und im Handumdrehen aufgesetzt. Zumal wenn man schon eine bestehende VPN Infrastruktur hat.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik
Usw. usw.
Alternativ RDP über HTTPS Webbrowser.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik
Usw. usw.
Alternativ RDP über HTTPS Webbrowser.
Hallo,
es war früher (soweit ich es Erinnerung habe) ein Draytek-VPN-Client benutzt worden im Home-Office und in der Firma dürfte ein Draytek 2865 (Basismodell ohne WLAN, ohne LTE) sogar noch stehen (derzeit nur als Firewall und für DSL-Internetzugang genutzt, dahinter die Arbeitsplatz-PCs und der Server mit einem Gigabit-Switch).
Es war vorgesehen, einen Draytek Vigor 2866Lac für das Home-Office dann einzusetzen (statt der VPN-Client-Software) für eine Site-to-Site-VPN-Verbindung. Das wurde noch nicht vollzogen. Vielleicht könnte man einem Aussendienstler den 2866Lac mitgeben. Die anderen beiden sollten aber preisgünstigere LTE-Router o.ä. bekommen oder eben ausschließlich mit WLAN-Internetzugriff arbeiten.
MfG
manni
Daytek ist ein Router, keine Firewall.
Ein VPN-Endpunkt muss sehr leistungsfähig sein (abhängig von den gleizeitigen Tunneln, Verschlüsselung braucht Rechenleistung). Da ist ein einfacher Router häufig überfordert.
Ein VPN-Client beim User und eine Firewall in der Zentrale ist doch OK. Warum beim User auch noch einen zusätzlichen Router. Was erwartet ihr davon?
Ein LTE-Router bei den Außendienstlern ist OK, wenn kein internes LTE-Modem vorhanden ist. Aber auch hier reicht ein VPN-Client.
Jürgen
Ein VPN-Endpunkt muss sehr leistungsfähig sein (abhängig von den gleizeitigen Tunneln, Verschlüsselung braucht Rechenleistung). Da ist ein einfacher Router häufig überfordert.
Ein VPN-Client beim User und eine Firewall in der Zentrale ist doch OK. Warum beim User auch noch einen zusätzlichen Router. Was erwartet ihr davon?
Ein LTE-Router bei den Außendienstlern ist OK, wenn kein internes LTE-Modem vorhanden ist. Aber auch hier reicht ein VPN-Client.
Jürgen
Zitat von @chiefteddy:
Daytek ist ein Router, keine Firewall.
Ein VPN-Endpunkt muss sehr leistungsfähig sein (abhängig von den gleizeitigen Tunneln, Verschlüsselung braucht Rechenleistung). Da ist ein einfacher Router häufig überfordert.
Daytek ist ein Router, keine Firewall.
Ein VPN-Endpunkt muss sehr leistungsfähig sein (abhängig von den gleizeitigen Tunneln, Verschlüsselung braucht Rechenleistung). Da ist ein einfacher Router häufig überfordert.
Der Draytek hat Firewall-Funktionen an Bord und ist laut Hersteller für 32 gleichzeitige VPN-Verbindungen vorgesehen.
Ein VPN-Client beim User und eine Firewall in der Zentrale ist doch OK. Warum beim User auch noch einen zusätzlichen Router. Was erwartet ihr davon?
Die Einfachheit in der Anwendung (VPN-Verbindung wird automatisch hergestellt, Software + manueller Anwahlvorgang nicht nötig) spricht für einen zusätzlichen Router beim externen Benutzer. Ausserdem kann so keine "Client-Software virenverseucht" werden etc.
Ein LTE-Router bei den Außendienstlern ist OK, wenn kein internes LTE-Modem vorhanden ist. Aber auch hier reicht ein VPN-Client.
Und der LTE-Router (welcher Typ zum Beispiel) verschlüsselt auch selbständig die Verbindung über LTE-Datenzugriff?
Haben die Außendienstler denn keine Firmenhandys? Dann einfach Hotspot aufspannen, statt ei weiteres Gerät (Router) mitzuschleppen.
Und dann irgendeines der gängigen VPN Protokolle nutzen, fertig. Nur die Gegenstelle im Unternehmen muss natürlich potent genug sein für den Internet Verkehr vor Ort und die eingehenden VPN Verbindungen.
Und dann irgendeines der gängigen VPN Protokolle nutzen, fertig. Nur die Gegenstelle im Unternehmen muss natürlich potent genug sein für den Internet Verkehr vor Ort und die eingehenden VPN Verbindungen.
Ein VPN-Client beim User und eine Firewall in der Zentrale ist doch OK. Warum beim User auch noch einen zusätzlichen Router. Was erwartet ihr davon?
Die Einfachheit in der Anwendung (VPN-Verbindung wird automatisch hergestellt, Software + manueller Anwahlvorgang nicht nötig) spricht für einen zusätzlichen Router beim externen Benutzer. Ausserdem kann so keine "Client-Software virenverseucht" werden etc.
Ein LTE-Router bei den Außendienstlern ist OK, wenn kein internes LTE-Modem vorhanden ist. Aber auch hier reicht ein VPN-Client.
Und der LTE-Router (welcher Typ zum Beispiel) verschlüsselt auch selbständig die Verbindung über LTE-Datenzugriff?? Nein, natürlich nicht, dafür ist VPN zuständig.
Zitat von @DivideByZero:
Haben die Außendienstler denn keine Firmenhandys? Dann einfach Hotspot aufspannen, statt ei weiteres Gerät (Router) mitzuschleppen.
Haben die Außendienstler denn keine Firmenhandys? Dann einfach Hotspot aufspannen, statt ei weiteres Gerät (Router) mitzuschleppen.
Doch schon. U.a. deswegen war auch die Frage nach einem geeigneten Mobildatentarif, der definitiv die für VPN alle notwendigen Ports überträgt.
Oke....
Mit Firmenhandy einen Hotspot aufbauen (Tethering) und damit mit dem Notebook online gehen.
Mit dem dann einfach eine VPN-Verbindung zu eurem Standort aufbauen.
Welchen Tarif ihr benötigt seht ihr ja selber am Datenverbrauch. Im Zweifel halt zum Mobilfunkmenschen gehen und dort fragen.
Weil das private Notebooks sind, würde ich die nicht in mein System lassen. Außendienstler erhalten ein Firmenlaptop und sind dort nur User mit eingeschränkten Rechten. Da ist dann kein Landwirtschaftssimulator oder sonstige Spielereien drauf. Nur das, was die zum Arbeiten benötigen.
Nachtrag. So als kleine Anmerkung, was die Prozesse betrifft.
Ich war selber mal als Vertriebler im Außendienst tätig. Selbst wenn es kein Offline-System gab, hab ich im Grunde nie auf das Online-System zugegriffen. Die Erfahrung zeigte, da, wo ich kein Wlan beim Kunden hatte, hatte ich in der Regel auch kein Mobilfunknetz. Der schlaue Außendienstler hat für solche Fälle alle notwendigen Daten offline dabei. Ganz früher tatsächlich eine Schachtel mit auf Endlospapier gedruckten Daten, später dann Excel-Tabellen oder PDFs auf dem Notebook.
Für Beratungen nimmt man sowieso was für den Kunden mit, um es ihm zu zeigen. Und wer als Vertriebler keinen Abschluss machen kann, weil er offline ist, hat im Vertrieb nix zu suchen. Und konnte ich tatsächlich nix brauchbares aus dem Online-System offline nutzbar machen, dann war es die falsche Firma und ich habe gewechselt.
Mit Firmenhandy einen Hotspot aufbauen (Tethering) und damit mit dem Notebook online gehen.
Mit dem dann einfach eine VPN-Verbindung zu eurem Standort aufbauen.
Welchen Tarif ihr benötigt seht ihr ja selber am Datenverbrauch. Im Zweifel halt zum Mobilfunkmenschen gehen und dort fragen.
Weil das private Notebooks sind, würde ich die nicht in mein System lassen. Außendienstler erhalten ein Firmenlaptop und sind dort nur User mit eingeschränkten Rechten. Da ist dann kein Landwirtschaftssimulator oder sonstige Spielereien drauf. Nur das, was die zum Arbeiten benötigen.
Nachtrag. So als kleine Anmerkung, was die Prozesse betrifft.
Ich war selber mal als Vertriebler im Außendienst tätig. Selbst wenn es kein Offline-System gab, hab ich im Grunde nie auf das Online-System zugegriffen. Die Erfahrung zeigte, da, wo ich kein Wlan beim Kunden hatte, hatte ich in der Regel auch kein Mobilfunknetz. Der schlaue Außendienstler hat für solche Fälle alle notwendigen Daten offline dabei. Ganz früher tatsächlich eine Schachtel mit auf Endlospapier gedruckten Daten, später dann Excel-Tabellen oder PDFs auf dem Notebook.
Für Beratungen nimmt man sowieso was für den Kunden mit, um es ihm zu zeigen. Und wer als Vertriebler keinen Abschluss machen kann, weil er offline ist, hat im Vertrieb nix zu suchen. Und konnte ich tatsächlich nix brauchbares aus dem Online-System offline nutzbar machen, dann war es die falsche Firma und ich habe gewechselt.
1
Welchen empfehlenswerte Hardware-Router (mit integrierten VPN-Tunnel-Funktion), der mit einer SIM-Karte bestückt werden kann, gäbe es da?
Teltonika hat welche.
Aber ich würde auch eher auf ein Firmenhandy gehen. Eine SIM Karte musst du so oder so rein stecken, ob in den Teltonika oder in das Handy. Und der Router möchte dann auch noch eine Steckdose beim Kunden.
Wenn du ein Client2Site VPN aufbaust, wird es vermutlich jedem Provider funktionieren. Mir wäre keiner bekannt, der da was blockiert. Bei Site2Site sieht es wegen Provider-NAT etwas anders aus. Aber ein C2S reicht hier ja aus oder sehe ich das falsch?
Hotspot via Smartphone und VPN-Client (oder der von Windows) auf dem PC ist die einfachste Lösung. Die bessere ein Firmenlaptop mit eingebautem Simslot
Einen Router/VPN-Gateway würde ich als Vertriebler nicht mitschleppen wollen und ist auch nicht gerade "State of the Art"
Statt das Geld für einen Vigor auszugeben, würde ich es in einen Laptop mit eingebautem Modem investieren
Hotspot via Smartphone und VPN-Client (oder der von Windows) auf dem PC ist die einfachste Lösung. Die bessere ein Firmenlaptop mit eingebautem Simslot
Einen Router/VPN-Gateway würde ich als Vertriebler nicht mitschleppen wollen und ist auch nicht gerade "State of the Art"
Statt das Geld für einen Vigor auszugeben, würde ich es in einen Laptop mit eingebautem Modem investieren
Ich würde auch auf Smartphone (Hotspot // USB Tethering) & Firmennotebook setzen. Ich kenne glaube ich keinen Außendienstler, der nicht mit einem Smartphone unterwegs wäre.
Firmennotebook dann wiederum mit VPN-Client und Gruppenrichtlinien knechten.
BYOD bei Notebooks - ich würde davon abraten (ausdrücklich). Nicht nur, was da alles drauf sein könnte, auch bzgl. der Performance.
Warum? BYOD Notebook geht auf Zahnfleisch, Updates stehen aus, Festplattenfehler, usw. ... (was kommt bei der Geschäftsführung an vom Außendienstler? "Ich kann auch nicht richtig arbeiten - die Technik läuft ja nicht vernünftig!")
Firmennotebook dann wiederum mit VPN-Client und Gruppenrichtlinien knechten.
BYOD bei Notebooks - ich würde davon abraten (ausdrücklich). Nicht nur, was da alles drauf sein könnte, auch bzgl. der Performance.
Warum? BYOD Notebook geht auf Zahnfleisch, Updates stehen aus, Festplattenfehler, usw. ... (was kommt bei der Geschäftsführung an vom Außendienstler? "Ich kann auch nicht richtig arbeiten - die Technik läuft ja nicht vernünftig!")
Vorweg: es gibt heute 2 Arten von VPN:
1. split VPN - nur bestimmte Daten gehen durch den VPN-Tunnel
2. full VPN - alle Daten gehen durch den VPN-Tunnel. egal welche
3. ich bin nicht bezahlt von tailscale. ich bin nur mega überzeugt von der Software. kannst du kommerziell nutzen oder selber betreiben. es passt hier nur perfekt.
zu deinem ersten Punkt: nimm einen ordentlichen VPN-Anbieter aus dem SDN-Bereich. gibt mehrere gute. ich habe tailscale und mache damit ein overlay-Netzwerk auf der vorhandenen Netzwerkstruktur.
bedeutet was genau? auf dem Server wird der client installiert und auf den Notebooks der Mitarbeiter wird der client installiert. jeder Client bekommt eine IP aus dem CG-NAT Bereich (100.xxx.yyy.zzz). dein Terminalserver bekommt also eine weitere (virtuelle) Netzwerkkarte aus dem Bereich. deine BYOD-Tragrechner der mobilen workforce auch.
deine Mitarbeiter verbinden sich jetzt nicht mehr auf die alte Netzwerkadresse deines Terminalservers (sagen wir mal 192.168.103.215) sondern auf die neue Adresse des overlay Netzwerkes. deine Firewall wurde nie geöffnet. dein Terminalserver hängt nicht direkt am Netz. sie sehen auch über die neue Netzwerkschnittstelle nichts anderes als den Terminalserver.
wenn auf dem Terminalserver kein Routing/forwarding erlaubt wird, ist am Server auch Ende.
gibt da die großen Player wie zerotier oder tailscale. hab mit letzterem auch sehr gute Erfahrungen und sie im Einsatz.
das genannte ist ein split-VPN. das ist hier super wichtig für dich, da du keine Hoheit auf den Kisten der Mitarbeiter hast (BYOD) und somit Datenintegrität und Sicherheit nicht sicherstellen kannst. die App der Mitarbeiter (mstsc.exe?) hat lediglich Zugriff via overlay netzwerk auf den Terminalserver. fertig. sicherheitshalber in der Firewall des Terminalservers noch alle anderen Protokolle verbieten.
tailscale arbeitet mit wireguard. Performance-technisch machst du da keine großen Einbußen mehr. vergiss IKEv2 oder OpenVPN. das macht keinen Spaß heutzutage. sobald da aus Versehen ein 4K-Stream drüber gehen soll, am Ende noch mit 2 Bildschirmen, kommen diese alten Protokolle leistungstechnisch an ihre Grenzen. hatten wir alles. war kacke.
wenn du das kommerzielle Angebot aus Gründen nicht annehmen magst (Geld, Sicherheit, amerikanisches Unternehmen, $GRUND...) kannst du tailscale auch komplett selber betreiben. nennt sich dann headscale und ist im docker Container bei Hetzner und Co. in weniger als 10 Minuten lauffähig bereitgestellt.
soviel zum ersten Punkt. du willst ein split-VPN. idealerweise auf dem wireguard-Protokoll aufbauend...
zu 2: es reichen bei meiner genannten Lösung ganz normale (private?) Verträge. Volumen wird halt entschieden über die Nutzungszeit und die übertragenen Bildinhalte. schenk den Mitarbeitern ne E-Mail mit ein paar GB. fertig. man kann ihnen sicher auch mobile 4G/5G Modems besorgen für ein paar Euro (TP-Link. 50€).
zu 3. : auch hier kannst du zum Beispiel tailscale super für nehmen. du kannst sogenannte exit-nodes betreiben, über die deine clients ihren gesamten Traffic laufen lassen können. damit verhält es sich dann wie klassisches full-VPN. die Maschinen stehen auf einmal in deinem Netzwerk. das ist gut, weil sie auf einmal im öffentlichen kostenlosen WLAN bei Starbucks wieder sicher sind. ist aber blöd, weil du BYOD-Kisten hast, die du nicht administrierst. bedeutet du Holst dir am Ende den Teufel direkt ins Haus.
hier wäre meine Lösung: DMZ. stell dir eine Linux VM in die dmz, erlaube ausschließlich die Verbindung zu deinem RDP-Host. dann können deine Mitarbeiter den Linux-Host als Exit nutzen (sind also im fiesen, miesen, Starbucks WLAN wieder sicher) und sind nicht in deinem Netz (zwischen DMZ und Intranet steht ja noch eine Firewall, oder?) und haben Zugriff auf den RDP-Server (der weiterhin angebunden ist mit tailscale).
Fragen gerne stellen. ich habe Zeit 😊
1. split VPN - nur bestimmte Daten gehen durch den VPN-Tunnel
2. full VPN - alle Daten gehen durch den VPN-Tunnel. egal welche
3. ich bin nicht bezahlt von tailscale. ich bin nur mega überzeugt von der Software. kannst du kommerziell nutzen oder selber betreiben. es passt hier nur perfekt.
zu deinem ersten Punkt: nimm einen ordentlichen VPN-Anbieter aus dem SDN-Bereich. gibt mehrere gute. ich habe tailscale und mache damit ein overlay-Netzwerk auf der vorhandenen Netzwerkstruktur.
bedeutet was genau? auf dem Server wird der client installiert und auf den Notebooks der Mitarbeiter wird der client installiert. jeder Client bekommt eine IP aus dem CG-NAT Bereich (100.xxx.yyy.zzz). dein Terminalserver bekommt also eine weitere (virtuelle) Netzwerkkarte aus dem Bereich. deine BYOD-Tragrechner der mobilen workforce auch.
deine Mitarbeiter verbinden sich jetzt nicht mehr auf die alte Netzwerkadresse deines Terminalservers (sagen wir mal 192.168.103.215) sondern auf die neue Adresse des overlay Netzwerkes. deine Firewall wurde nie geöffnet. dein Terminalserver hängt nicht direkt am Netz. sie sehen auch über die neue Netzwerkschnittstelle nichts anderes als den Terminalserver.
wenn auf dem Terminalserver kein Routing/forwarding erlaubt wird, ist am Server auch Ende.
gibt da die großen Player wie zerotier oder tailscale. hab mit letzterem auch sehr gute Erfahrungen und sie im Einsatz.
das genannte ist ein split-VPN. das ist hier super wichtig für dich, da du keine Hoheit auf den Kisten der Mitarbeiter hast (BYOD) und somit Datenintegrität und Sicherheit nicht sicherstellen kannst. die App der Mitarbeiter (mstsc.exe?) hat lediglich Zugriff via overlay netzwerk auf den Terminalserver. fertig. sicherheitshalber in der Firewall des Terminalservers noch alle anderen Protokolle verbieten.
tailscale arbeitet mit wireguard. Performance-technisch machst du da keine großen Einbußen mehr. vergiss IKEv2 oder OpenVPN. das macht keinen Spaß heutzutage. sobald da aus Versehen ein 4K-Stream drüber gehen soll, am Ende noch mit 2 Bildschirmen, kommen diese alten Protokolle leistungstechnisch an ihre Grenzen. hatten wir alles. war kacke.
wenn du das kommerzielle Angebot aus Gründen nicht annehmen magst (Geld, Sicherheit, amerikanisches Unternehmen, $GRUND...) kannst du tailscale auch komplett selber betreiben. nennt sich dann headscale und ist im docker Container bei Hetzner und Co. in weniger als 10 Minuten lauffähig bereitgestellt.
soviel zum ersten Punkt. du willst ein split-VPN. idealerweise auf dem wireguard-Protokoll aufbauend...
zu 2: es reichen bei meiner genannten Lösung ganz normale (private?) Verträge. Volumen wird halt entschieden über die Nutzungszeit und die übertragenen Bildinhalte. schenk den Mitarbeitern ne E-Mail mit ein paar GB. fertig. man kann ihnen sicher auch mobile 4G/5G Modems besorgen für ein paar Euro (TP-Link. 50€).
zu 3. : auch hier kannst du zum Beispiel tailscale super für nehmen. du kannst sogenannte exit-nodes betreiben, über die deine clients ihren gesamten Traffic laufen lassen können. damit verhält es sich dann wie klassisches full-VPN. die Maschinen stehen auf einmal in deinem Netzwerk. das ist gut, weil sie auf einmal im öffentlichen kostenlosen WLAN bei Starbucks wieder sicher sind. ist aber blöd, weil du BYOD-Kisten hast, die du nicht administrierst. bedeutet du Holst dir am Ende den Teufel direkt ins Haus.
hier wäre meine Lösung: DMZ. stell dir eine Linux VM in die dmz, erlaube ausschließlich die Verbindung zu deinem RDP-Host. dann können deine Mitarbeiter den Linux-Host als Exit nutzen (sind also im fiesen, miesen, Starbucks WLAN wieder sicher) und sind nicht in deinem Netz (zwischen DMZ und Intranet steht ja noch eine Firewall, oder?) und haben Zugriff auf den RDP-Server (der weiterhin angebunden ist mit tailscale).
Fragen gerne stellen. ich habe Zeit 😊
Firmennotebook dann wiederum mit VPN-Client und Gruppenrichtlinien knechten.
BYOD bei Notebooks - ich würde davon abraten (ausdrücklich). Nicht nur, was da alles drauf sein könnte, auch bzgl. der Performance.
BYOD bei Notebooks - ich würde davon abraten (ausdrücklich). Nicht nur, was da alles drauf sein könnte, auch bzgl. der Performance.
BYOD ist mit der richtigen Strategie kein Problem mehr heute. es darf halt nicht das ganze Notebook ins Netz, sondern nur die passendem Daten aus "meinem" Netz an den Mitarbeiter gegeben werden. dem Notebook des Mitarbeiters misstrauen wir einfach generell.
split-VPN und den privaten Kram halt aus dem Netz rauslassen. nur spezifische Zugriffe erlauben und regelmäßig prüfen lassen (zero trust).
Warum? BYOD Notebook geht auf Zahnfleisch, Updates stehen aus, Festplattenfehler, usw. ... (was kommt bei der Geschäftsführung an vom Außendienstler? "Ich kann auch nicht richtig arbeiten - die Technik läuft ja nicht vernünftig!")
ist ja nicht mein problem, wenn sich der Mitarbeiter eine scheiss Kiste anlacht ;) wenn er flüssig arbeiten will, soll er sich ordentliche Hardware kaufen. ¯\_(ツ)_/¯ wo Problem?
dann gibt's ja noch die Linuxer, die eh immer ihr eigenes Süppchen kochen wollen und unbedingt sudo/root auf der Kiste brauchen. und die Apfeljünger, die ihr neues MacBook Pro für die Arbeit brauchen...
lass sie doch... ist doch nicht mehr dein Bier. jeder kann bei mir mitbringen, was er/sie/es gerne will.
ich gebe nur noch spezifisch Zugriff auf spezielle Dienste. mir doch egal, von welchem Gerät die Zugriffe kommen.. präsentiere mir die richtige Smartcard oder das richtige FIDO-Token und es gibt eine Verbindung.
oder was spricht für die absolute Hoheit im Netz und auf den Geräten.?
mir doch egal, von welchem Gerät die Zugriffe kommen.
Naja, das Gerät könnte verseucht sein, dann sind deine Daten auch infiziert und die gesamte Belegschaft hat es sich dann auch gleich eingefangen. Du darfst dich dann beim vorgesetzten Verantworten, nicht der Mitarbeiter, der weiss dann von nichts 
Zitat von @NordicMike:
mir doch egal, von welchem Gerät die Zugriffe kommen.
Naja, das Gerät könnte verseucht sein, dann sind deine Daten auch infiziert und die gesamte Belegschaft hat es sich dann auch gleich eingefangen. Du darfst dich dann beim vorgesetzten Verantworten, nicht der Mitarbeiter, der weiss dann von nichts Gerät verseucht, okay. Aber das Gerät hängt ja nicht im Netzwerk. Es ist lediglich RDP über das split-VPN erlaubt. keine Powershell, kein winRM, kein CMD, kein anderes $PROTOKOLL.
die versiffte Kiste vom Mitarbeiter interessiert mich nicht. mir ist bisher kein Exploit mit RCE via RDP bekannt... gibt es so spezielle payloads, die sich in eine RDP-Session einschieben und im Netzwerk traversieren? habe ich im Feld noch nicht gesehen. theoretisch bestimmt möglich, wenn ich via RDP irgendwie einen Speicherüberlauf provoziert bekomme und in einen privilegierten Speicherteil des Servers meinen Code reinschmuggeln kann... aber wenn du solche Menschen im Netz hast, hast du 1. eh schon verloren und 2. ganz andere Probleme...
du gehst also davon aus, dass dein Netzwerk komplett sauber ist und du noch nicht gehackt wurdest? Ist das Teil deines Sicherheitskonzeptes?
Hm...netter Ansatz. Aber dienstlich gelieferte Geräte sind deutlich einfacher zu handhaben. Da spart man sich eine Menge Bastelei. Und auch argumentativ gegenüber den Angestellten ists einfacher.
Auch im Supportfall wirds deutlich weniger aufwendig, wie mit einem Privatgerät. DSGVO gehört da nämlich auch mit rein. Schließlich hat man da auch Zugriff auf private Daten. Im dümmsten Fall kommt da jemand auf den Trichter, dass da kleine Werkelarbeiten nur in Beisein des Betriebsrats gemacht werden dürfen.
Danke, aber danke nein.
Auch im Supportfall wirds deutlich weniger aufwendig, wie mit einem Privatgerät. DSGVO gehört da nämlich auch mit rein. Schließlich hat man da auch Zugriff auf private Daten. Im dümmsten Fall kommt da jemand auf den Trichter, dass da kleine Werkelarbeiten nur in Beisein des Betriebsrats gemacht werden dürfen.
Danke, aber danke nein.
2Es ist lediglich RDP über das split-VPN erlaubt. keine Powershell, kein winRM, kein CMD, kein anderes $PROTOKOLL
Hast du wenigstens die Zwischenablage und den Dateitransfer über das RDP Protokoll deaktiviert? Es reicht ja schon eine .xlsm Datei, sie dann auf dem Fileserver abgelegt wird, auf dem jeder Excel Client den Bereich als vertrauenswürdig eingestellt bekommen hat.
Ja, es ist "ein Teil", des Sicherheitskonzeptes. Sowie auch fremde Geräte ohne Bitlocker und Virenscannern und ohne aktuellen Updates "kein Teil" meines Sicherheitskonzepts sind.
1
