VPN Fernwartungsgerät

oha...
ok... was soll den supportet werden?
alter Verwalter, welch Naivität ich dort lesen kann.... du glaubst doch nicht im ernst, das ich als Kunde bzw. als Netzwerk Admin es zulasse, das du einen Router in mein Netzwerk setzt, mit verbindung ins WWW irgendwo auf ne VPN-Cloud , dessen betreiber ich nicht kenne, ich genau weiß, du hast nicht mal ansatzweise möglichkeiten zu kontrollieren, was da an Datenverkehr und zugriffe passiert.... da dreht sich jeder Datenschutzbeauftragter im Grabe rum...
oha...
ja... lasst euren Job von Jemand anderen machen...
oder ihr setzt euch mit der jeweiligen IT zusammen, und erstellt ein Konzept, und ihr bekommt von der jeweiligen IT zugriff auf benötigte Geräte...

Frank

Ein kleiner 20€ Mikrotik hAP Lite Router löst dir diese einfache Ausfgabe im Handumdrehen:
VPN zu FritzBox über Hardware?
Bzw. im Allgemeinen auch hier

Der Router ist im Falle von 802.1x als Client konfigurierbar und kann auch diese Hürde mit links nehmen.
Wenn du die Gigabit Variante willst nimmst du den hEX Router.
Kann man wie jeden anderen Router auch fertig konfiguriert auf Kundenseite anklemmen und sofort loslegen.
Das ist ein klassisches und einfaches VPN Routerkonzept wie man es auch für Home Office Nutzer verwendet. Das man sowas aus Security Sicht mit dem Kunden abstimmt sollte natürlich klar sein.

Schlimmer geht's nimmer. Ihr seid nicht der IT-Dienstleister dieses Kunden?

Und was sagt der IT-Dienstleister des Kunden dazu?
Also wenn ihr mit solchen kruden Ideen in unserem Unternehmensnetzwerk kommt, seid ihr schneller die Tür raus, als ihr eingetreten seid
NIXX da. Welche (Sicherheits-) Garantien gebt ihr? Liefert ihr den kompletten Quellcode mit. Und lässt diesen durch CCC, CIA und Mossad überprüfen?
Das hört sich sehr stark nach Schatten-IT an.

Gruss Penny.

Mhhhhhhh,

also wie die zwei @em-pie & @Vision2015 schon gesagt haben finde auch ich das per se erstmal keine so gute Idee.
Problem ist in der Tat das du aufgrund des VPN Tunnels baust du in das Netzwerk des Kunden eine Brücke ins öffentliche WWW ein die nicht wirklich überwacht oder/und kontrolliert werden kann.

Bei uns in der Firma z.B. kannst du von INNEN aus dem Firmen LAN gar kein VPN nach Außen aufbauen um eben so VPN Router Modell "Alles an der Firewall vorbei" zu verhindern/behindern. Wenn wir jemanden haben der eine VPN von Intern zum Kunden aufbauen muss dann haben wir dafür extra VDI Systeme bzw. unsere 4 Remote VPN Einwahl2External Terminalserver.
Dann kommt noch 802.1x dazu was dann auch dazu führt das der VPN Router nur Blinkt und eben Netzwerkmäßig nicht macht.

Das Problem was ich bei solchen Routern/Systemlösungen sehe ist i.d.R. folgendes:
Du kaufst bei einem "Provider" so einen Service ein und musst dich aber hier 100000% auf den Provider verlassen können das der alles RICHTIG macht. Klar solche Services gibts auch von der T-Systems aber die kosten dann natürlich auch.
Das nächste ist dann in wie weit der VPN Router Verkäufer/Betreiber und du selber versichert ist/bist denn wenn es wegen sowas zu einem Zwischenfall kommt steht der Kunde erstmal bei dir und will HILFE bzw. GELD. Du hast das Ding ja verkauft. Ich denke es ist klar was ich meine. Das kann mit solchen dingern ganz schön ins Auge gehen.

Der Lösungsansatz wäre des dein Kunde dich und den anderen Dienstleister irgendwie zusammenbekommt und Ihr dann mal gegenseitig erklärt was Ihr vorhabt bzw. warum was wie und warum benötigt wurde bzw. gemacht wurde.
Meistens findet sich hier immer irgendwie eine Lösung. Ihr habt ja einen gemeinsamen Kunden der sowohl von dir was will als auch dann logischerweise von vom anderen Dienstleister.

Ich denke ebenfalls das dir der reine VPN Router unter umständen nichts nützt wenn du dich dann nirgends auf den PC´s / Systemen anmelden kannst......

Hallo,
wir verwenden so etwas für Industrieanlagen in diversen Ländern.
Jede Maschine von uns hat sein eigenes Netz in dem die ganzen Steuerungen, IPC's usw. hängen.

https://www.wachendorff-prozesstechnik.de/produktgruppen/fernwartung-und ...

Theoretisch kann man die auch mit nem Schlüsselschalter verbinden. Somit muss der Kunde erst ein mechanisches Schloss "aufsperren" erst dann kann man die VPN Verbindung aufbauen und wir kommen nur auf die Maschine selbst.

Das Zeug gibt's aber von diversen Herstellern.

So etwas ist ja, sauber integriert und durchdacht, nichts anderes als ein normaler VPN Endpunkt, eben so gelöst, dass man sich nicht überall umsehen und Schindluder treiben kann. Der TO aber will ja ein Gerät, dass das gesamte LAN verfügbar macht, und das über einen unbekannten, nicht kontrollierbaren Drittdienst ("VPN-Cloud "). Das ist de facto wie ein Trojaner.

Moin,

so ein Vorgehen ist im Industrial Bereich leider an der Tagesordnung. Siehe z.B. die eWon Devices von HMS - die machen genau das: einen VPN Tunnel von "innen nach außen" und das ganze dann zugreifbar über einen zentralen Webservice des Herstellers.

Sehr gruselig

lg,
Slainte

HAllo
ICh hatte diesen fall bei uns in der Firma um zB an Maschinen die Software zu warten
wir haben das mit einer Lösung von Siemens gemacht sieh https://www.mein-elektro24.com/dp/Siemens-SCALANCE-M876-4-EU-4G-Router-E ...

Kostet und ist sicher


LG Tom

Bei Rückfragen kannst du mich kontaktieren

Fuer solche Anwendungen gibt es von Insys kleine Boxen. Die Box hat immer eine Verbindung ins Rechenenzentrum. Am Rechenzentrum meldet man sich mit OpenVPN an und kann direkt an die Rechner hinter der "blauen Box" sich verbinden. Wird bei Kitris auch verwendet und ist vom Prinzip her sehr sicher.

Moin,
eine Lösung wäre ein einfacher Jump-Server.
Sei es ein Windows-PC mit Teamviewer oder Co oder ein Linux-Box (Rasperry Pi) mit ausgehenden VPN zu einem VPN-Server (Root-Server) in einem RZ.
Stefan

Wie er z.B. HIER beschrieben ist.
Das ist eine berechtigte Frage die man aber leider nicht zielführend beantworten kann, weil du oben u.a. nicht mitgeteilt hast ob der VPN Router auf der Kundenseite als VPN Initiator oder als Responder arbeiten soll.

An den obigen Security orientierten Kommentaren hast du ja sicher schon herausgelesen das ein Initiator Modus (Client) hier best Practice und damit die richtige Wahl ist. Also das der Router sich aktiv als VPN Initiator auf einen Ziel VPN Server einwählt.
Dadurch baut er AUS dem Netz des Kunden automatisch die VPN Tunnelverbindung auf was keinerlei Eingriff auf Komponenten auf Kundenseite erfordert und auch problemlos funktioniert wenn der Kunde an einem Provider DS-Lite Anschluss hängt usw.
Beim Responder Mode wäre das ungleich schwerer, da du dafür sorgen müsstest das eingehender VPN Traffic diesen kaskadierten Router erreichen kann was ohne einen Eingriff in Firewall oder Router auf Kundenseite nicht möglich ist. Es sei denn du nutzt andere vom Kundennetz unabhängige Zugangswege wie Mobilfunk etc.

Beim sinnvollen VPN Initiator Mode taucht natürlich dann sofort die Frage auf: Wohin soll der Tunnel eröffnet werden, denn der Initiator braucht logischerweise einen Responder. (VPN Server)
Das kann entweder der bei euch vorhandene Router (Fritzbox etc.) oder Firewall sein sofern der/die idealerweise VPNs supportet.
Sollte das nicht der Fall sein kaskadierst du dahinter ebenfalls einen Mikrotik oder ein anderes VPN Server Device (vorhandener Server, Raspberry etc.) im lokalen LAN oder du nutzt einen oben bereits genannten Jumphost.
Du hast die freie Wahl... Alle Lösungen führen zum Erfolg.