81083
Goto Top

VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?

Hallo,

es ist ein Bisschen frustrierend.

Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die über LAN oder WLAN auf das Netzwerk (Festplatten am Server) zugreifen.
Das funktioniert alles wunderbar! (mehr als die einmalige Eingabe von Username&Passwort bedarf es intern nicht)

Ich habe hier einen Laptop für unseren Außendienst.
Dem möchte ich Zugriff auf unsere Festplatten ermöglichen per VPN.

Dachte ich, FritzFernzugang-Einrichten wäre prima. Einwählen des Laptops über Fritz!Fernzugang funktioniert und die VPN-Verbindung ist stabil. (wähle mich über einen Smartphone-Hotspot zu Testzwecken bei unserer Fritzbox ein, weil im gleichen (Firmen)Netzwerkwerk geht es nicht)

Allerdings habe ich so keinen Zugriff auf den Server oder daran hängenden Festplatten.

Ich suche eine einfache und sichere Möglichkeit dem AD von Außen Zugriff auf unsere Festplatten zu gewähren.
(Wir sind keine Hochsicherheitsfirma, Standard reicht. Wir benutzen noch TeamViewer (funktioniert einwandfrei)
aber wollen jetzt nach und nach auf VPN umstellen.

Gibt es SoftwareTools, die die Konfigurationsarbeit großteils übernehmen? Sodass der Außendienst bei sich auf einen grünen Hörer klickt und dann Zugriff auf unser Netzwerk hat?

Content-Key: 514191

Url: https://administrator.de/contentid/514191

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019, aktualisiert am 13.11.2019 um 13:14:43 Uhr
Goto Top
Hallo,

wenn du eine sichere und solide Lösung willst, schmeiss die Fritzbox raus und setze auf eine Sophos. Damit lässt sich das solide und entsprechend einfach umsetzen, gerne unterstützen wir dich auch dabei.

Eine Fritzbox gehört, egal auf welchem Sicherheitslevel, definitiv nicht in ein Unternehmensnetzwerk.

Viele Grüße,

Christian
certifiedit.net
Mitglied: vossi31
vossi31 12.11.2019 um 16:47:03 Uhr
Goto Top
Moin,

wenn die VPN-Verbindung bereits steht liegt es vermutlich nur noch an der Firewall auf dem Windows-Server, die standardmäßig den Zugriff aus fremden Netzen sperrt.

Henning
Mitglied: 81083
81083 12.11.2019 um 17:03:47 Uhr
Goto Top
Wäre AnyConnect von Cisco nicht eine Lösung? Klingt für mich sicher.
Gibt es günstige Alternativen?
Mitglied: tikayevent
tikayevent 12.11.2019 um 17:10:23 Uhr
Goto Top
Ja, mit dem AnyConnect würde es gehen, wenn du die entsprechende Gegenseite hast. Also einen halbwegs Cisco-Router oder eine Cisco-ASA-Firewall. Mit älteren Geräten würde es rein theoretisch auch gehen, stellt aber ein Sicherheitsrisiko (nicht nur für dich, sondern auch für alle anderen im Internet) dar.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 17:10:39 Uhr
Goto Top
Zitat von @81083:

Wäre AnyConnect von Cisco nicht eine Lösung? Klingt für mich sicher.
Gibt es günstige Alternativen?

Nein, ist ähnlich bzw identisch vom Sicherheitslevel (solange man es richtig einrichtet.)

Schreib mir gerne mal eine Mail oder ruf durch.
Mitglied: 81083
81083 12.11.2019 um 17:17:21 Uhr
Goto Top
Ich dachte an ein Programm, dass ich auf dem 2012Server installiere und ein anderes, dass auf die Laptops kommt, so dass sich die Außendienstler verbinden könnten. Extra Hardware von Cisco wollen wir uns nicht anschaffen, wenn es nicht unbedingt sein muss. Für Privatleute gibt es sowas auch, meine ich, damit sie Zugriff auf die Festplatte ihres HeimComputers haben.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 aktualisiert um 17:20:15 Uhr
Goto Top
Das ist dann aber weder sicher, noch solide, daher muss es vielleicht nicht sein, sollte aber sein - auch für deinen ruhigen Schlaf.

Und auch für Privatleute ist das nicht der Weisheit letzter Schluss.
Mitglied: 81083
81083 12.11.2019 um 17:23:50 Uhr
Goto Top
Ich vermute, eine Zwei-Faktor-Authentisierung oder eine ZertifikatDatei auf dem Laptop sollte als Sicherheitskriterium reichen, so dass nicht jeder da rein kann.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 17:25:09 Uhr
Goto Top
Zitat von @81083:

Ich vermute, eine Zwei-Faktor-Authentisierung oder eine ZertifikatDatei auf dem Laptop sollte als Sicherheitskriterium reichen, so dass nicht jeder da rein kann.

Das ist das übliche Problem mit "mal ne c't gekauft und nun IT-Sicherheit implementieren". Nein, wenn du eine VPN auf den Server direkt tunnelst hast du bereits ein Riesensicherheitsloch (wenn man die Fritzbox als solche im Business nicht bereits als das Bezeichnen mag).
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 17:25:52 Uhr
Goto Top
Mitglied: 81083
81083 12.11.2019 um 17:31:05 Uhr
Goto Top
In den letzten Jahren hatten wir keine Probleme mit unserer Fritzbox. Bei Unternehmen wie Beyer, Merck, R+V, ja, ganz bestimmt, versuchen da statistisch sehr viel mehr "böse Menschen" rein zu kommen. Was diese Statistik angeht, sind wir unbedeutend und unterscheiden uns nach außen hin nicht von einem Privathaushalt.
Mitglied: 81083
81083 12.11.2019 um 17:32:29 Uhr
Goto Top
TeamViewer funktioniert ganz wunder! face-smile Wir sind damit alle sehr zufrieden. Die Lizenz läuft noch über ein halbes Jahr. So lange habe ich Zeit, nach Alternativen Ausschau zu halten.
Mitglied: 81083
81083 12.11.2019 aktualisiert um 17:46:59 Uhr
Goto Top
PS: (ein Bild, das ich im Studium sehr zu schätzen gelernt habe. Es zeigt auch die Problematik hier. Ich meine, da oft die Achterbahn oder den Sessel zu erkennen, obwohl ich nur die Schaukel gebraucht hätte.)
df (2)
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 aktualisiert um 18:04:19 Uhr
Goto Top
Dann nutzt das weiter, wundert aber euch nicht, wenn es mal einen Einbruch gibt. (Sicher, die großen sind Interessanter, aber die kleinen sind leichter.)

https://www.faz.net/aktuell/wirtschaft/diginomics/cyberkriminalitaet-hac ...

Und Mittelstand ist in Deutschland irgendwie alles ab 2,3 Mann.

Das Bild, dass du zeigst, ist eben völlig korrekt . Wenn du sagst, es geht um ein Business Netzwerk und es soll sicher sein und es soll einfach einzurichten sein, dann beschreibst und erwartest du eben die Schaukel und erklärst die Strickleiter - wiederum. Aber interessant, dass du dem Gedanken so nah bist und es doch völlig falsch einsortierst. (ist nicht böse gemeint, aber wenn du uns fragst, dann antworten wir dir auch ehrlich - wir setzen aus deinen Gründen intern ebenfalls die Sophos ein.)

PS: du kannst auch alle Beiträge in einem Zusammenfassen ;)
Mitglied: 81083
81083 12.11.2019 aktualisiert um 18:11:23 Uhr
Goto Top
Verzeihe, dass ich zunächst lieber auf Menschen höre, die nicht in so vielen Beiträgen versuchen, anderen etwas zu verkaufen, sondern UNEIGENNÜTZIG jemanden bei Seite stehen. Wenn ich zunächst eine kostenpflichtige Dienstleistung möchte, rufe ich unseren EDV-Service&Support an und frage nicht in einem Forum.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 aktualisiert um 18:13:52 Uhr
Goto Top
Das ist interessant, warum fragst du nicht euren EDV-Service, wenn es darum geht eure IT sicher und stabil zu gestalten? Das spricht irgendwie schon wieder für das Bild oben.

Ungeachtet dessen muss eine bezahlte Dienstleistung sich nicht vom "verstehen und einsetzen" dessen unterscheiden, was der Benutzer wirklich im Endeffekt braucht. Aber vielleicht hab ich deinen Benutzernamen auch falsch verstanden, du nimmst einfach so viel von dem Zeug, dass dir ein Sicherheitsrisiko egal ist. face-smile Dann ist das natürlich ein Missverständnis meinerseits, die meisten Kunden wollen ruhig schlafen können aufgrund der eingesetzen Lösungen und IT-(Sicherheits)strategien.

PS: Stichwort, UNEIGENNÜTZIG, ist euer Betrieb uneigennützig? Ist der Hersteller von Baldrianforte uneigennützig?
Mitglied: 81083
81083 12.11.2019 um 18:14:33 Uhr
Goto Top
Wir können ruhig schlafen, auch ohne dir dafür etwas zu bezahlen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 18:22:48 Uhr
Goto Top
Musst mir nichts zahlen, aber irgendwem bei dem Wissensstand. Könnte sich sonst negativ bemerkbar machen - werden wir dann natürlich hier eher nicht hören. ;)

Schönen Abend
Mitglied: 81083
81083 12.11.2019 um 18:39:16 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
[..] warum fragst du nicht euren EDV-Service, wenn es darum geht eure IT sicher und stabil zu gestalten?

Weil man von Leuten, die ein Forum dazu missbrauchen, Einkünfte zu generieren, in der Regel für eine Achterbahn bezahlt, wo eine Schaukel genügt.

(Hätte ich auf jemanden vom EDV-Service gehört, hätten wir eine jährliche Rechnung von über 10.000 Euro für virtuelle PCs in der Cloud. Wie ich bereits kenntlich machte, ich weiß GENAU, wonach ich hier frage. Die Frage lautet nicht, "Wer verkauft mir Cisco-Hardware", sondern "Welche Programme gibt es, VPN zu realisieren?". Ich gehe in den REWE, will Milch kaufen, nicht um mir stattdessen Sekt andrehen zu lassen. Das ist eine echte Seuche hier in diesem Forum.)
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 18:50:26 Uhr
Goto Top
Das ist lustig, ich rate keinem zu einer Cloud-Lösung (obwohl man da, ohne was zu tun dauerhaft verdient), also sortierst du mich vielleicht falsch ein? face-wink

Nein, du weisst eben nicht genau, wonach du hier fragst. Aber andererseits, klar kostet Service irgendwo Geld, oder ist dein Problem, dass Ihr einfach in eurem Business nach Schema "was nichts wert ist, kost auch nichts" verfahrt und demnach kein Geld habt?

Wie gesagt, das, was du willst geht eben nur sehr bedingt mit einer Fritzbox (und unter starken Sicherheitsbedenken), und ebenfalls nur sehr eingeschränkt auf die Weise, wie du es willst.

Also entweder du nimmst die Schaukel (Sophos, mE optimal dafür geeignet, Cisco und Konsorten ähnlich, aber nicht so optimal), oder du begnügst dich eben mit einem Holzstumpf, aber mecker nicht, wenn man dich hier auf deine Denkfehler aufmerksam macht. (und klar, ich arbeite im Bereich, warum sollte ich dies nicht darauf verweisen lassen - deine Sicherheitslücken sind die Angriffe auf meine Kunden und meine Netze von morgen.)

Um mal deutlich zu werden.
Mitglied: chiefteddy
chiefteddy 12.11.2019 um 19:18:20 Uhr
Goto Top
Hallo,

mal wieder zurück zum Thema.

Wenn der VPN-Tunnel vom Laptop zur Fritzbox steht und du auf die IP des Servers (oder eines anderen Gerätes im Firmen-Netzwerk) pingst, erhälts du dann eine Antwort?

Wenn das der Fall ist, dann verbinde dich mal mit \\server-ip\freigabe. Welche Fehlermeldung erhälst du gegebenenfalls?

Ist der Laptop Domänen-Mitglied?


Die Bedienung von FritzFernzugang ist doch, wenn der Tunnel einmal konfiguriert ist, simpel. Ein Doppel-Klick auf das Tunnel-Icon und die Verbindung wird aufgebaut. Was ist denn daran für einen User kompliziert??

Und für die Konfiguration gibt es ein Tool, mit dem man eine Konfigurationsdatei erstellt, die nur noch auf dem lokalen Laptop importieren werden muß.

Leichter geht es doch nicht.


Und zur Diskussion über die Fritzbox:

Grundsätzlich ist eine Fritzbox als alleinige Schnittstelle zum Internet (ohne weitere Firewall) für ein Unternehmen (auch wenn es "nur" 10 PC-Arbeitsplätze hat) suboptimal. Bei einem Einbruch in euer Netzwerk und dem Abgreifen der Kundendaten (und die werdet ihr ja in irgendeiner Form im Netzwerk haben), wird der Datenschutzbeauftragte bei der Aussage "wir haben doch eine Fritzbox und dort die Firewall aktiviert", in schallendes Gelächter ausbrechen. Oder anders ausgedrückt: Dummheit schützt nicht vor Strafe!

Wieviele Außendienstler sollen den am Ende über VPN-Tunnel auf euer Firmen-Netzwerk zugreifen? Die Fritzbox ist für ihre grottenschlechte VPN-Performanze bekannt. Die Hardware ist dafür einfach nicht ausgelegt, es ist eben ein Konsumer-Gerät.

Jürgen
Mitglied: 81083
81083 12.11.2019 aktualisiert um 19:26:41 Uhr
Goto Top
meine optimale Lösung sieht so aus:

VPN-Software (immernoch Welche?)
Authentifizierung: Zertifikat, Name, Passwort, evtl. nur regionale IP-Adressen
damit Zugriff auf die Speichermedien. Wo es brenzlig wird, gibt es nur lesenden Zugriff. In den anderen Bereichen dürfen sich sogar Hacker austoben. Internet wird nicht getunnelt.

PS: für dich, certifiedit

"Unmündigkeit ist das Unvermögen, sich seines Verstandes ohne Leitung eines anderen zu bedienen. Selbstverschuldet ist diese Unmündigkeit, wenn die Ursache derselben nicht am Mangel des Verstandes, sondern der Entschließung und des Mutes liegt, sich seiner ohne Leitung eines anderen zu bedienen. Sapere aude! Habe Mut, dich deines eigenen Verstandes zu bedienen! ist also der Wahlspruch der Aufklärung.

Faulheit und Feigheit sind die Ursachen, warum ein so großer Teil der Menschen, nachdem sie die Natur längst von fremder Leitung freigesprochen, dennoch gerne zeitlebens unmündig bleiben; und warum es anderen so leicht wird, sich zu deren Vormündern aufzuwerfen. Es ist so bequem, unmündig zu sein."
(Kant, 1784, Aufsatz, was Aufklärung ist. (da wir "so schön" am Philosophieren sind))

Ich nehme den unbequemen Weg.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 aktualisiert um 19:38:33 Uhr
Goto Top
Unmündigkeit ist das Unvermögen, sich seines Verstandes ohne Leitung eines anderen zu bedienen.
Wünschst du hier doch, gebt mir eine Lösung - sie darf nur nichts kosten - sehr bequem, nicht nur philosophisch gesprochen?
Selbstverschuldet ist diese Unmündigkeit, wenn die Ursache derselben nicht am Mangel des Verstandes,

na daran kann man mittlerweile zweifeln
sondern der Entschließung und des Mutes liegt, sich seiner ohne Leitung eines anderen zu bedienen. 
Die Frage diente doch der Leitung? Wozu denn sonst? Anscheinend kennst du dich in der deutschen Sprache, so wenig, wie in der schlüssigen Durchdenkung von philosophischen Texten, als auch der IT und insbesondere deren Sicherheit aus. Wenn das kein Hattrick ist.
Sapere aude! Habe Mut, dich deines eigenen Verstandes zu bedienen! ist also der Wahlspruch der Aufklärung.

Nun denn, man verhalte sich aufgeklärt und erarbeite sich selbst: www.google.com/search?q=vpn+software

Ich attestiere dir also Faulheit und Feigheit. Unbequem ist er ja nicht, du gibst uns ja die Schuld, dass wir dir keine Lösung liefern, sonst würdest du selbst suchen. Aber ich wünsche dir wirklich nicht den unbequemen Weg, der wäre nämlich ein Security-Breach, unter dem ggf. eure Kunden leiden.

Alleine die Aussage: Nur lesenden Zugriff, im Rest darf sich ausgetobt werden, ich sag das nicht oft, aber oh weia...
Mitglied: 81083
81083 12.11.2019 aktualisiert um 19:47:47 Uhr
Goto Top
Hallo, danke, der Ping geht ins Leere.

Die Kundendaten sind nicht für Eindringlinge sichtbar. Die können nur mit speziellen Zugriffsrechten zu unserem Verwaltungsprogramm eingesehen werden.

Für das Verwaltungsprogramm möchte ich die VPN zur Datenbank (und um ein paar chinesische Daten auf einer Partition abzulegen/abrufen zu können)

Internetzugriff über uns, oder der Zugriff auf sensible Bereiche wird vom Außendienst nicht benötigt und von meiner Seite gesperrt. Der Rest läuft lokal auf den Laptops.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 19:47:38 Uhr
Goto Top
Lustig, ich hab gerade geschaut, wir hatten ja schonmal fast das Vergnügen. Siehe im April

ja, gerne. wenn du mir deine Telefonnummer per PN schickst, rufe ich dich morgen an.

Dazu kam es aber nie, weil du dir irgendwo einen Server in der Cloud gemietet hast? Würde mich interessieren, was wurde denn daraus? face-smile
Mitglied: 81083
81083 12.11.2019 aktualisiert um 19:55:51 Uhr
Goto Top
hast du oben schon gefragt und ich habe oben geantwortet.

Auch meine heutige PN, "Lieber certifiedit.net, ich bitte dich so höflich wie es mir möglich ist, mir zukünftig nicht mehr auf eine Frage zu antworten. Das hilft mir, den Überblick zu behalten und auf das Wesentliche zu konzentrieren. mfG, baldrianforte" lässt du unberücksichtigt.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 19:56:48 Uhr
Goto Top
hast du oben schon gefragt und ich habe oben geantwortet.

Ich spreche die PN nicht aus, Sören, aber ist OK, demnach steht der Server gar nicht bei euch, sondern irgendwo im Netz?
Mitglied: 81083
81083 12.11.2019 um 20:01:40 Uhr
Goto Top
Würde man mit "CloudPCs" noch TeamViewer oder eine VPN bei diesem Anwendungsfall benötigen? Nein.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 20:07:33 Uhr
Goto Top
Zitat von @81083:

Würde man mit "CloudPCs" noch TeamViewer oder eine VPN bei diesem Anwendungsfall benötigen? Nein.

Sicher würde man bei Cloud-PCs noch eine Verbindungsvermittlung brauchen, besser VPN als Teamviewer - und auch da besser mit was ordentlichem.

Aber du hast von einem Server gesprochen.
Mitglied: aqui
aqui 12.11.2019 aktualisiert um 20:23:23 Uhr
Goto Top
Allerdings habe ich so keinen Zugriff auf den Server oder daran hängenden Festplatten.
Ist ja auch klar, denn die lokale Winblows Server Firewall verhindert den Zugang.
Wenn eine simple VPN Einrichtung schon an solchen Banalitäten bei dir scheitert dann nimm dir besser jemanden an die Hand der weiss was er da tut.
Sowas dann mit Teamviewer zu umgehen ist in den meisten Firmen ein sicherer Kündigungsgrund, denn jeder Dummie weiss das Teamviewer einen Vermittlungsserver dazwischen hat und den Traffic monitort. Zudem ist die Firma in Besitz eines US Finanzinvestors. Ein Schelm also wer Böses dabei denkt....!
In normalen Firmen aus gutem Grund also ein absolutes NoGo. Gut bei einer Würstchenbude vielleicht nicht....
Fazit:
Pass die Server Firewall an, dann klappt das auch mit der FritzBüx und dem VPN. Ist in jedem Fall der bessere, da sicherere Weg.
FritzBüx Plasterouter in einem Firmennetzwerk muss man sicher nicht auch noch kommentieren. Passt ja auch auf den Tenor des o.a. Thread zu dem ja eh schon alles gesagt ist !!
Mitglied: 81083
81083 12.11.2019 aktualisiert um 20:41:23 Uhr
Goto Top
hatten wir alles schon. TeamViewer ist vom Geschätsleiter ausdrücklich erwünscht und für unsere Zwecke ausreichend.

"Wieviele Außendienstler sollen den am Ende über VPN-Tunnel auf euer Firmen-Netzwerk zugreifen?"

Es betrifft nicht das ganze Netzwerk. Das kann ich intern steuern.

Momentan sieht es so aus:
Internet - Fritzbox - Server - Switch - Arbeitsplatzrechner

Zukünftig sollen Laptops von außen mit minimal notwendigen Rechten ausgestattet per VPN Zugriff haben.
Die Datenbank an sich ist vor Unbefugten geschützt und revisionssicher. Die Rollenverteilung klar. Ohne Protokoll kann da nichts geändert werden.

Das ist wie in der Buchhaltung, wo sich jede Buchung/Stornierung zeitlich/namentlich nachverfolgen und nicht wieder rückgängig machen lässt. Selbst wenn jemand die Datenbank klaut, verschlüsselt oder löscht, oder wenn das Haus abbrennt, sind wir sicher. Denn gibt es andernorts ein Backup.

ich möchte wirklich nur ein paar Empfehlungen zu VPN-Programmen und keinen narzisstischen Müll (ich meine nicht dich, Jürgen).

Dann kann ich mich darüber informieren, was die können und was nicht. Dann erst, denke ich evtl. über eine Cisco..ect...-Hardware-Lösung nach. Wobei mir nicht klar werden will, was ein Cisco-Router kann, was ich mit einem PC intern nicht an Sicherheit realisieren kann. Ich sage durch den Server, was der AD mit seinem Laptop darf und was nicht.

Aussagen wie, "Fritzbox ist nicht sicher", genügt mir ohne klare Fakten nicht, schon gar nicht von selbsternannten (Hilfs?)Cherrifs, die dann aber doch nur durch dieses Forum Geld verdienen wollen.

Damit ist das Thema für mich auch beendet.
Mitglied: ChriBo
ChriBo 12.11.2019 um 20:50:42 Uhr
Goto Top
Gibt es SoftwareTools, die die Konfigurationsarbeit großteils übernehmen? Sodass der Außendienst bei sich auf einen grünen Hörer klickt und dann Zugriff auf unser Netzwerk hat?
Ja.
1. Nimm den Fritz Fernzugang, passe die Firewall auf deiem Server an, ist nicht prickelnd, funktioiert aber
2. Installiere einen openvpn server auf deinem Windows Server, passe die Firewall Regeln an, erstelle ein port forward auf der Fritte auf den Server (ist das Grauen für jede verantwortungsvollen Admin) und nehme z.B de Securepoit VPN Client.
3. Mach es richtig: Ersetze die Fritte durch einen (VPN) Router / Firewall mit verünftigen VPN Fähigkeiten.

CH
Mitglied: transocean
transocean 12.11.2019 um 20:52:40 Uhr
Goto Top
Und wieder einen vergrault. face-wink
Mitglied: falscher-sperrstatus
falscher-sperrstatus 12.11.2019 um 20:53:54 Uhr
Goto Top
So wie der rumhampelte kommt er sicher wieder.