gk3000
Goto Top

VPN für kleines Unternehmen

Servus,

ich suche nach der besten möglichkeit ca. 5 Benutzer via VPN in ein Firmennetz zu lassen. (für RDP + Netzwerklaufwerke bei bedarf).

Internetzugang haben wir leider via Router vom Netzbetreiber das auch NAT durchführt.

Was würdet Ihr für einen VPN Zugang Empfehlen? Firewall mit VPN oder einen Server mit VPN oder ganz was anderes?

lg

Content-ID: 511739

Url: https://administrator.de/contentid/511739

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

radiogugu
radiogugu 04.11.2019 aktualisiert um 09:43:09 Uhr
Goto Top
Hallo.

Das kommt stark auf den Aufwand an, welchen Ihr betreiben wollt.

Welcher Router wird denn eingesetzt? Falls es eine Fritzbox ist, dort kann relativ bequem eine VPN Verbindung konfiguriert werden.

Voraussetzung ist natürlich eine statische IP eures Anschlusses oder alternativ eine Umleitung durch einen DynDNS Eintrag bei einem der vielen Anbieter.

Sollte euer Internet via Kabel (Unitymedia, Kabel Deutschland, etc.) bei euch eingehen könnte es Probleme geben bezüglich des DS Lite (nur IPv6). Das kann nämlich leider noch nicht jeder Mobilfunkanbieter beispielsweise. Die Telekom gibt auch IPv6 Adressen aus, aber das hilft nur, wenn jeder der Nutzer auch einen Hotspot via Telekom SIM für die Einwahl ins Unternehmen nutzt.

Sollte man versuchen von einem externen Netz das nur IPv4 kann einen Tunnel in das Firmennetz aufzubauen, wird das scheitern. Auch hier gibt es eine Lösung, nennt sich Port Mapper.

Es wäre gut, wenn Du mitteilst, wer euer Internet Provider ist bzw. welche Art IP ihr erhaltet. Sonst ist es hier ein wenig im Dunkeln fischen.

Gruß
Radiogugu
gk3000
gk3000 04.11.2019 um 10:54:13 Uhr
Goto Top
Danke für deine Anregungen.

Es gibt schon eine statische IP, also kein DynDNS notwendig.
Und ja, eine Fritz Box, wir haben aber seltsamerweise das das Problem das das nicht stabil funktioniert.
monstermania
monstermania 04.11.2019 um 11:26:22 Uhr
Goto Top
Zitat von @gk3000:
ich suche nach der besten möglichkeit ca. 5 Benutzer via VPN in ein Firmennetz zu lassen. (für RDP + Netzwerklaufwerke bei bedarf).
Kommt ganz darauf an, welche Sicherheitsanforderungen seitens des Unternehmens bestehen. Grundsätzlich sollte man sich sehr gut überlegen, ob Fremdgeräte im Firmennetz überhaupt geduldet werden.
Persönlich würde ich ein VPN per dedizierter Firewall gegenüber einer FritzBox vorziehen. Dank pfsense/OPNsense lässt sich so etwas kostengünstig umsetzten. So kann man z.B. Servicetechnikern einen spezielles VPN zuweisen, mit dem diese nur auf einen speziellen internen Servicerechner im Unternehmen schalten können (per RDP).
StefanKittel
StefanKittel 04.11.2019 um 11:43:11 Uhr
Goto Top
Moin,

das Beste ist ja relativ.

a) Die Sicherste und am einfachsten zu bedienene Lösung wäre eine "richtige" Firewall wie z.B. eine Securepoint RC200 mit UTM.
b) Die günstigeste Lösung und auch relativ sicher ist das VPN der FB.

Wenn Du/Ihr wenig Erfahrung damit habt, sollte Ihr ein IT-Systemhaus damit beauftragen.
Es ist schon komplex und man kann ganz einfach ganz große "Türen" auflassen und hat dann viele neue "Freunde".

Stefan
radiogugu
radiogugu 04.11.2019 um 13:04:43 Uhr
Goto Top
Gerade PFsense/OPNSense wären wirklich eine Überlegung wert, da diese schnell und zuverlässig und, wie schon angesprochen kostengünstig, zu realisieren sind.

Dafür eignen sich spezielle Boards wie die von NRG-Systems oder man wandelt einen ausrangierten PC um. Denn Hardware Anforderungen haben diese beiden Open Source Firewall Varianten keine hohen.

Geschätzter Aufwand bezüglich PFSense Einrichtung: drei - vier Stunden

Die Dauer variiert, wie viele Netzwerk-Segmente (VLAN) bzw. welche Logging Funktionen konfiguriert werden müssen.

VoIP ist natürlich auch nicht zu missachten oder wird das über die Fritzbox ohne dedizierte TK-Anlage erledigt?

Eine Anfrage an ein Systemhaus in dieser Angelegenheit ist definitiv ratsam, wenn keiner vor Ort ist, der dieser Aufgabe gewachsen ist.

Gruß
Radiogugu
aqui
aqui 04.11.2019 um 15:50:49 Uhr
Goto Top
Kleine Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Oder einen preiswerten Mikrotik Router.
Mit einem RB2011 machst du da garantiert nichts falsch:
https://www.varia-store.com/de/produkt/33174-rb2011uias-rm-level-5-600-m ...
Beide Lösungen supporten alle bekannten VPN Protokolle so das du dir aussuchen kannst welche Clients du verwenden willst.
Das Forum hat zu allen VPN Optionen auch die entsprechenden Tutorials für dich zum einfachen Einrichten.
141771
141771 05.11.2019 um 07:57:00 Uhr
Goto Top
Ich könnte dir auch, wenn du einen alten Computer hast, folgendes empfehlen:
In den Computer eine 2te netzwerkkarte einbauen und dort Ipfire + openvpn Server installieren. Beides kostenlos und Hardware schonend.
Für openvpn gibt es clients für Android und Windows, Mac wahrscheinlich auch, habe ich aber jetzt nicht nachgesehen. Leicht zu konfigurieren und zu administrieren, du darfst nur in der fritz Box Port forwarding auf den openvpn Server nicht vergessen =)
KarstenDerKelte
KarstenDerKelte 05.11.2019 aktualisiert um 11:39:46 Uhr
Goto Top
Schau Dir mal SoftEther VPN an. Das läuft auf Deinem Server mit 2 Portweiterleitungen in der Fritzbox.
Auf den clients kommt entsprechend die Client Software. Die kann man auch so konfigurieren, dass die Verbindung im Hintergrund automatisch aufgebaut wird.

Ipv4 und ipv6 funktionieren beide.

Kelte

Da war das Soft bei SoftEther verloren gegangen...
aqui
aqui 05.11.2019 aktualisiert um 09:57:39 Uhr
Goto Top
Na ja dann kann er auch gleich direkt natives OpenVPN auf dem Server laufen lassen.
All das hat aber einen gravierenden Nachteil, denn so muss man per Port Forwarding ein Loch in die Router Firewall bohren um so ungeschützten Internet Traffic ins lokale LAN zu schleusen.
Solch laienhafte VPN Designs ist was für private Heimnetze und machen Netzwerker in der Regel niemals in einem Firmennetz.
Schon gar nicht solchen Traffic dann auf einem Fileserver, also einem zentralen Element im Netz mit erhöhten Sicherheitsanforderungen zu terminieren. Aus naheliegenden Gründen, die man sicher nicht weiter erläutern muss, ein NoGo in Firmennetzen.
Von sowas kann man nur dringenst abraten. VPN Server gehören in die Peripherie oder eine DMZ.
Mit dem Mikrotik ist sowas für kleines Geld sauber zu realisieren.
Dann eher noch einen alten PC recyceln aber dann nicht mit sowas veraltetem wie IPFire. Hier wäre dann pfSense oder OpnSense erheblich sinnvoller zumal sie wie oben schon angesprochen die Verwendung externer, zusätzlicher VPN Clients und damit einhergehenden weiteren Managementaufwand völlig überflüssig macht wenn man das richtige VPN Protokoll wählt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sinnvoll ist das aber auch nicht, denn olle PC Hardware hat bewegliche Teile was immer kontraproduktiv ist für ein Gerät im Dauerbetrieb.
Sinnvoller ist es dann immer ein ein kleines APU Mainboard zu investieren die es als fertige Kits gibt:
https://www.varia-store.com/de/produkt/36845-pc-engines-apu2e4-bundle-bo ...
Oder komplett fertige Geräte:
https://www.varia-store.com/de/produkt/38143-opnsense-ready-system-apu2e ...
So einen Kit zusammenzuschrauben erfordert lediglich die Fertigkeit mit einem Schraubendreher umzugehen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder eben der MT 2011 Router....
Mit beiden macht man in dem o.a. Umfeld nichts falsch.

Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
ChristophBZ
ChristophBZ 07.12.2019 aktualisiert um 20:02:12 Uhr
Goto Top
Ich würde nichts der oben genannten Dinge tun, wenn man sehr wenig Erfahrung damit hat... wie schnell kann man da etwas falsch machen oder etwas übersehen und auch nach der Einrichtung sollte man alles im Auge haben. Das ist jedoch selten der Fall, gerade wenn man in der Firma nicht einen extra Administrator hat oder irgendeinen professionellen Dienstleister, den man darauf verpflichten kann.
Es gibt auch noch einen weiteren Punkt zu beachten, wenn man die Netzlaufwerke über VPN verfügbar macht -> Die Daten verlassen die Firma und genau so kann da auch etwas unbeliebtes herein kommen. Auch wenn es nur die eigenen Mitarbeiter sind ... Wer hat den deren Geräte im Auge?

Für den Remotezugriff auf die Rechner oder VMs in der Firma würde ich in einem solchen Fall zum Beispiel nach einer Lösung, wie Remote2Office von PCVisit suchen. Das hat einen hohen Sicherheitsstandard, man kann einstellen welcher Mitarbeiter auf welchen Rechner zugreifen darf und man kann das Recht auch wieder leicht entziehen, ohne sich durch eine in der Regel unübersichtliche Verwaltung zu klicken und jedes mal auf dem Client-Gerät irgendetwas zu installieren.

Außerdem man kann es auch von einem beliebigen Gerät einfach über den Browser nutzen.

Den Router würde ich von außen komplett dicht machen.
aqui
aqui 08.12.2019 um 16:18:01 Uhr
Goto Top
Na ja, VPNs sind schon ein Standard Verfahren um sowas zu realisieren. So gut wie überall wo remote Standorte sind ist das ein Standard. Da sollte man schon mal die Kirche im Dorf lassen.
Aber du hast natürlich Recht das man sowas aus Security Sicht natürlich schon wasserdicht aufsetzen sollte und entsprechend wissen was man tut.
Das ist zweifelsohne richtig !