15
VPN Alternative für Home-Office-Mitarbeiter
Moin, ich habe im Zuge meiner Ausbildung folgende Frage gestellt bekomme:
"Gibt es eine alternative Möglichkeit, wie sich ein Mitarbeiter, der nur über eine LAN / W-LAN Verbindung verfügt, sich mit unserem Büronetzwerk zu verbinden, ohne ein VPN zu benutzen?"
Meine Idee wäre es gewesen dies per Port-Weiterleitung von Router des Mitarbeiters zu machen. Dies könnte aber wiederum umständlich werden, jedem Mitarbeiter dies einzurichten bzw. zu zeigen.
Wenn also einer eine einfachere Lösung für mich hätte, wäre ich sehr dankbar dafür.
Danke schonmal im Voraus!
"Gibt es eine alternative Möglichkeit, wie sich ein Mitarbeiter, der nur über eine LAN / W-LAN Verbindung verfügt, sich mit unserem Büronetzwerk zu verbinden, ohne ein VPN zu benutzen?"
Meine Idee wäre es gewesen dies per Port-Weiterleitung von Router des Mitarbeiters zu machen. Dies könnte aber wiederum umständlich werden, jedem Mitarbeiter dies einzurichten bzw. zu zeigen.
Wenn also einer eine einfachere Lösung für mich hätte, wäre ich sehr dankbar dafür.
Danke schonmal im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 653890
Url: https://administrator.de/contentid/653890
Printed on: May 18, 2024 at 17:05 o'clock
15 Comments
Latest comment
Hallo.
Einen IP-Sec Tunnel bei der Kollegin / dem Kollegen zuhause einrichten oder VPN verwenden.
Setze den Thread auf gelöst, sonst wirst du (zu recht) verbal gesteinigt. Unverschlüsselter, externer Zugriff auf ein Firmen-Netzwerk sollte niemals konfiguriert werden. Wem das zu kompliziert ist, der soll ins Büro fahren 🤦♂️
Ansonsten das Internet ist bestimmt voll Anleitungen, wie das zu bewerkstelligen ist, nur hier wirst du dafür keine Hilfe bekommen (hoffe ich)
Gruß
Marc
Einen IP-Sec Tunnel bei der Kollegin / dem Kollegen zuhause einrichten oder VPN verwenden.
Setze den Thread auf gelöst, sonst wirst du (zu recht) verbal gesteinigt. Unverschlüsselter, externer Zugriff auf ein Firmen-Netzwerk sollte niemals konfiguriert werden. Wem das zu kompliziert ist, der soll ins Büro fahren 🤦♂️
Ansonsten das Internet ist bestimmt voll Anleitungen, wie das zu bewerkstelligen ist, nur hier wirst du dafür keine Hilfe bekommen (hoffe ich)
Gruß
Marc
Moin,
warum so negativ....es gibt doch Teamviewer....Anydesk...etc.
Damit kannst Du Dich ohne VPN von extern mit Deinem Firmen-PC verbinden.
Ob das klug ist, sollte die IT entscheiden....
Gruß
Looser
warum so negativ....es gibt doch Teamviewer....Anydesk...etc.
Damit kannst Du Dich ohne VPN von extern mit Deinem Firmen-PC verbinden.
Ob das klug ist, sollte die IT entscheiden....
Gruß
Looser
Zitat von @radiogugu:
Hallo.
Einen IP-Sec Tunnel bei der Kollegin / dem Kollegen zuhause einrichten oder VPN verwenden.
Hallo.
Einen IP-Sec Tunnel bei der Kollegin / dem Kollegen zuhause einrichten oder VPN verwenden.
Jetzt mußte Du nur noch erklären, was der Unterschied zwischen einem VPN und einem IPSEC-Tunnel sein soll.
lks
hint Das eine ist der Oberbegriff vom anderen.
1
Willkommen im Freitag...
Was hältst du denn davon, dich vorab einfach mal ein bisschen selbst zu informieren?
Was hältst du denn davon, dich vorab einfach mal ein bisschen selbst zu informieren?
Es gibt da div. Optionen... Port-Weiterleitung würde THEORETISCH auch gehen (das macht man dann aber am Router in der Firma, nich beim Mitarbeiter... du willst ja in der Firma den Server erreichen), allerdings wäre das ganze erst mal nicht wirklich sicher....
VPN wäre das normale ....
Es gibt aber auch noch die Möglichkeit des SSH-Forwardings. Dabei hast du einen Linux-Server (idR.) im öffentlich erreichbaren Netz. Darauf hast du die User angelegt die das sollen - und die melden sich z.B. mittels
ssh -L 3389:<ziel-rdp-ip>:3389 user@ssh-server
an. Danach können die von ihrem lokalem Rechner einfach via RDP auf 127.0.0.1 gehen und werden auf den Zielserver weitergeleitet. Natürlich muss man dann darauf achten das der SSH-Zugang zumindest gesichert ist (entweder per Key-Auth only oder vernünftige Passwörter nutzen).
VPN wäre das normale ....
Es gibt aber auch noch die Möglichkeit des SSH-Forwardings. Dabei hast du einen Linux-Server (idR.) im öffentlich erreichbaren Netz. Darauf hast du die User angelegt die das sollen - und die melden sich z.B. mittels
ssh -L 3389:<ziel-rdp-ip>:3389 user@ssh-server
an. Danach können die von ihrem lokalem Rechner einfach via RDP auf 127.0.0.1 gehen und werden auf den Zielserver weitergeleitet. Natürlich muss man dann darauf achten das der SSH-Zugang zumindest gesichert ist (entweder per Key-Auth only oder vernünftige Passwörter nutzen).
Und vergifteten Wasser gibt es auch.
Anydesk, Teamviewer und Co. kann man zwar im Notfall einsetzen für einzelne Sitzungen, aber ich würde dringend vom regulären Einsatz abraten, da die Daten I.d.R. durch fremde Server gehen undd diese im Zweifelsfall "alles" sehen und ggf sich auch einklinken können.
Notfalls schickt man dem User einen virkonfigurierten VPN-Router, den der einfach in sein Netzwerk hängt.
Zitat von @Lochkartenstanzer:
Jetzt mußte Du nur noch erklären, was der Unterschied zwischen einem VPN und einem IPSEC-Tunnel sein soll.
Jetzt mußte Du nur noch erklären, was der Unterschied zwischen einem VPN und einem IPSEC-Tunnel sein soll.
Wollte damit laienhaft sagen, dass man einen ständigen Tunnel konfiguriert oder eben eine manuell anzustoßende VPN-Verbindung, wie sie wahrscheinlich schon existiert 😜
hint Das eine ist der Oberbegriff vom anderen.
Ist so und wird sich auch nicht ändern
Gruß
Marc
Nun seid doch nicht so streng mit der Ausgangsfrage. Das ist eine Ausbildungsfrage nach einer theoretischen Möglichkeit. So verstehe ich die Frage jedenfalls. Und die ist ja beantwortet.
Die Strenge, was die Faulheit angeht, sich nicht selbst zu informieren, teile ich allerdings. Darf auch mal ein Buch sein Ansonsten gibt's ja Google.
Die Strenge, was die Faulheit angeht, sich nicht selbst zu informieren, teile ich allerdings. Darf auch mal ein Buch sein
Ansonsten gibt's ja Google.
Hm, TV, Anydesk, Parsec und Konsorten liegt zwar zunächst auf der Hand ... ABER:
“... sich mit unserem Büronetzwerk zu verbinden ...”
wäre dann doch eher etwas umfangreicher als nur direkt auf nen einzelnen Rechner oder?
“... sich mit unserem Büronetzwerk zu verbinden ...”
wäre dann doch eher etwas umfangreicher als nur direkt auf nen einzelnen Rechner oder?
Zitat von @Visucius:
Hm, TV, Anydesk, Parsec und Konsorten liegt zwar zunächst auf der Hand ... ABER:
“... sich mit unserem Büronetzwerk zu verbinden ...”
wäre dann doch eher etwas umfangreicher als nur direkt auf nen einzelnen Rechner oder?
Hm, TV, Anydesk, Parsec und Konsorten liegt zwar zunächst auf der Hand ... ABER:
“... sich mit unserem Büronetzwerk zu verbinden ...”
wäre dann doch eher etwas umfangreicher als nur direkt auf nen einzelnen Rechner oder?
oder nur laienhaft ausgedrückt für: Ich möchte per RDP auf meinen Bürorechner zugreifen.
lks
Zitat von @Lochkartenstanzer:
Und vergifteten Wasser gibt es auch.
Anydesk, Teamviewer und Co. kann man zwar im Notfall einsetzen für einzelne Sitzungen, aber ich würde dringend vom regulären Einsatz abraten, da die Daten I.d.R. durch fremde Server gehen undd diese im Zweifelsfall "alles" sehen und ggf sich auch einklinken können.
Notfalls schickt man dem User einen virkonfigurierten VPN-Router, den der einfach in sein Netzwerk hängt.
Und vergifteten Wasser gibt es auch.
Anydesk, Teamviewer und Co. kann man zwar im Notfall einsetzen für einzelne Sitzungen, aber ich würde dringend vom regulären Einsatz abraten, da die Daten I.d.R. durch fremde Server gehen undd diese im Zweifelsfall "alles" sehen und ggf sich auch einklinken können.
Notfalls schickt man dem User einen virkonfigurierten VPN-Router, den der einfach in sein Netzwerk hängt.
Es ist doch aber Freitag......
Moin,
es gibt alternativen zum klassischen VPN, kostet aber Zeit und Erfahrungen:
Als erstes wird mal ein öffentliches Zertifikat benötigt.
Dazu noch eine 2FA-Lösung anschaffen.
Dann eine Firewall, die einen Reverseproxy mitbringt.
Auf der Firewall wird nach extern das öffentliche Zertifikat bereitgestellt und mit dem ReverseProxy "verheiratet"
Als nächstes baut man sich einen DNS-Eintrag, der auf die feste IP des WANs der Firma zeigt, z.B. portal.contoso.tld
Nun stellt man die Rolle WebAccess für Remotdesktop bereit und koppelt die an o.g. Reversproxy.
Die übrigen RDS-Rollen sowie CALs setze ich mal als gegeben voraus
Am Ende das ganze Konstrukt härten
Was hat man nun?
Ein Portal, an dem sich die User per 2FA an Terminalservern anmelden können.
Alles gesichert und geschützt.
In Summe für die User ein hoher Komfort nebst guter Sicherheit und fürs Unternehmen ein kostspieliges, aber in meinen Augen sinnvolles Invest.
Neben der MS-Lösung gibt es das auch von Citrix.
Stichwort: Netscaler + Storefront + Citrix Virtual Apps + 2FA
Hier weiss ich, dass dann zwischen WorkspaceApp und Terminalserver ein MicroVPN aufgebaut wird, welcher für den Anwender transparent ist.
Gruß
em-pie
es gibt alternativen zum klassischen VPN, kostet aber Zeit und Erfahrungen:
Als erstes wird mal ein öffentliches Zertifikat benötigt.
Dazu noch eine 2FA-Lösung anschaffen.
Dann eine Firewall, die einen Reverseproxy mitbringt.
Auf der Firewall wird nach extern das öffentliche Zertifikat bereitgestellt und mit dem ReverseProxy "verheiratet"
Als nächstes baut man sich einen DNS-Eintrag, der auf die feste IP des WANs der Firma zeigt, z.B. portal.contoso.tld
Nun stellt man die Rolle WebAccess für Remotdesktop bereit und koppelt die an o.g. Reversproxy.
Die übrigen RDS-Rollen sowie CALs setze ich mal als gegeben voraus
Am Ende das ganze Konstrukt härten
Was hat man nun?
Ein Portal, an dem sich die User per 2FA an Terminalservern anmelden können.
Alles gesichert und geschützt.
In Summe für die User ein hoher Komfort nebst guter Sicherheit und fürs Unternehmen ein kostspieliges, aber in meinen Augen sinnvolles Invest.
Neben der MS-Lösung gibt es das auch von Citrix.
Stichwort: Netscaler + Storefront + Citrix Virtual Apps + 2FA
Hier weiss ich, dass dann zwischen WorkspaceApp und Terminalserver ein MicroVPN aufgebaut wird, welcher für den Anwender transparent ist.
Gruß
em-pie
Da der TO sich aber nicht weiter geäußert hat, gehe ich davon aus, dass die Kiste sich erledigt hat
Gruß
Marc
Gruß
Marc
@Lochkartenstanzer
Gruß,
Dani
Anydesk, Teamviewer und Co. kann man zwar im Notfall einsetzen für einzelne Sitzungen, aber ich würde dringend vom regulären Einsatz abraten, da die Daten I.d.R. durch fremde Server gehen undd diese im Zweifelsfall "alles" sehen und ggf sich auch einklinken können.
Bei Anydesk Enterprise ist dem nicht so. Da ist alles in deiner Hand.Gruß,
Dani
Moin,
Gruß,
Dani
"Gibt es eine alternative Möglichkeit, wie sich ein Mitarbeiter, der nur über eine LAN / W-LAN Verbindung verfügt, sich mit unserem Büronetzwerk zu verbinden, ohne ein VPN zu benutzen?"
Ja. Es gibt einige Produkte (z.B. Citrix Netscaler, VMware Horizon, Apachae Guacamole) welche keine klassische VPN Verbindung via IPSec/L2TP voraussetzen. Sondern ein moderner Browser ohne weitere Zusatzsoftware. Einzig die Ports 80/443 des Servers, der die Anwendung bereitstellt sind nach außen zu öffnen.Gruß,
Dani
