christian-77
Goto Top

VPN / PcAnywhere zur Fernwartung einsetzen - aber wie anfangen?

Hallo zusammen !

Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.

Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?

Frage über Fragen…


Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.

Content-ID: 41607

Url: https://administrator.de/contentid/41607

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

RKO
RKO 06.10.2006 um 15:37:22 Uhr
Goto Top
Hi,

wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.

Der zugriff erfolgt dann auf den server oder client wieder via RDP.

Gruß
RKO
markus0873
markus0873 06.10.2006 um 15:38:20 Uhr
Goto Top
Hi Chistian,

hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google face-wink ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.

Viel Erfolg,

Markus
27119
27119 06.10.2006 um 15:49:48 Uhr
Goto Top
Jo, wenn VPN beim Kunden schon vorhanden ist müsstet ihr als Fernwarter nur einen entsprechenden VPN User Account beim Kunden bekommen und den passenden VPN Client einsetzen.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Christian-77
Christian-77 06.10.2006 um 15:51:54 Uhr
Goto Top
Vielen Dank RKO und Markus0873

für die ersten Hilfen. Ich werde mich da übers WE mal genauer in OpenVPN und VPN allgemein einlesen und am Montag werde ich dann mal unseren Admin hier nerven.

Es wäre sehr nett, wenn ihr und auch andere, die mir helfen können, weiterhin ein bisschen auf diesen Beitrag schielen würden. Ich denke ich melde mich noch häufiger wieder face-sad)

Schon mal ein schönes WE an alle !
27119
27119 06.10.2006 um 16:32:59 Uhr
Goto Top
Ob man nun nen VPN Tunnel einsetzt und durch den Tunnel RDP jagt oder nur RDP macht und beim Kunden den IP Range der per RDP zugreifen darf eingrenzt - da kommt so ziemlich das gleiche heraus, aus sicherheitstechnischer Sicht. RDP hat zwar gewisse theoretische Design-Schwächen - diese auszunutzen (Man in the Middle Attacke) beim Zugriff von extern ist jedoch schwieriger, als auf deinem Rechner einen Keylogger unterzubringen, der dein eingetipptes Passwort eh mitloggt.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.

VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Christian-77
Christian-77 09.10.2006 um 17:27:10 Uhr
Goto Top
Puuh! RDP, RC4, Citrix, .... Mann Mann Mann, hier werd ich aber so richtig nett mit Abkürzungen, Protokollen und Fremdwörtern vollgepumpt.
Ich glaube, vorausgesetzt ihr habt lust dazu, müssen wir nen Gang rausnehmen und das Ganze noch ein wenig langsamer angehen.

Mittlerweile habe ich mich viel gelesen, ein Dokument fertig gebastelt und dies meinem Chef gezeigt / referiert. Darinerkläre ich halt kurz, dass man entweder PortForwarding in Verbindung mit PcAnywhere oder ein VPN mit Zeugs wie OpenVPN (Server bei Kunde, Client bei uns) machen kann.

Daraufhin kam die Sache auf, dass Windows XP eine VPN Gelegenheit mitbringt und warum wir nicht die benutzen können. Da hätten wir auch weniger Probleme, dass der Kunde Software wie OpenVPN oder PcAnywhere installieren muss. Leidergottes hatte ich da nicht wirklich ne Antwort drauf. Also die Theorie habe ich fürs erste. Wie ich es jetzt anfangen muss, dass es für "laien", per "netzwerkverbindung verbinden" geht noch nicht.

Ich hoffe ich kriege noch ne Runde Hilfe.

Ist es denn wichtig, was der ISP zu VPN sagt?
Was hat das mit den Routern auf sich? Ist das wirklich ein Problem die VPN-Tunnel da durch zu leiten? Fragen über Fragen .....


P.S.: Hab ich in der Hierarchie des Threads richtig geantwortet? Keinen Blassen wo ich meine "Antwort" schreiben soll. Naja, bis bald hoffentlich.
27119
27119 09.10.2006 um 17:47:21 Uhr
Goto Top
Ja, das VPN Passthrough durch Router kann tatsächlich Probleme machen - je nach VPN Protokoll (meist IPSEC) und je nach Router.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
markus0873
markus0873 09.10.2006 um 18:50:40 Uhr
Goto Top
Huhu nochmal,

also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt face-wink, dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.

Gruß,

Markus
Christian-77
Christian-77 09.10.2006 um 19:09:05 Uhr
Goto Top
RDP hat halt den grossen Vorteil, dass man
nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke, aber was meinst du hier mit EINEN? In der Verbindung von ich sag mal grob Deutschland nach nem Kunden in ich sach mal ausm Bauch heraus Belgien wird es schätzungsweise mehr als einen Router geben ...
27119
27119 09.10.2006 um 20:18:44 Uhr
Goto Top
Um von einem PC über das Internet und einen Firmen-Router (zb. bei deienm Kunden) auf einen Windows-Rechner zuzugreifen, der sich im LAn des Kunden befindet, muss beim Kundenrouter bzw. seiner Firewall nur Port 3389 geöffnet werden. Oder - falls bespielsweise die Firewall sowiso auf Port 22 (SSH) offen sein sollte (um auf Linux Server zuzugreifen, was üblich ist), dann kann man der RDP Port auch auf Port 22 beispielsweise ummáppen, ist ein Registry Eintrag den man auf dem Kundenrechner ändern muss von 3389 auf 22 in dem Beispiel). Dann kann man per RDP auf den Kundenrechner auf Port 22 zugreifen.
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.

DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
27119
27119 09.10.2006 um 20:25:08 Uhr
Goto Top

> RDP hat halt den grossen Vorteil, dass
man
> nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke,
aber was meinst du hier mit EINEN? In der
Verbindung von ich sag mal grob Deutschland
nach nem Kunden in ich sach mal ausm Bauch
heraus Belgien wird es schätzungsweise
mehr als einen Router geben ...


Wieviele Internet Router dazwischen sind ist völlig wurst. Die schleifen doch eh alles durch was nach TCP/IP riecht. Wichtig ist nur, was der Router im Netz deines Kunden durchlässt.
EINEN Port bedeutet nur, dass RDP nur einen Port braucht, nämlich 3389. So wie auch beispielsweise ein Webserver nur einen Port braucht - nämlich 80.
Abdelhalim
Abdelhalim 10.10.2006 um 15:32:20 Uhr
Goto Top
Hallo,

ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.

Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.

Weiß nicht, ob das was hilft.

Mit freundlichen Grüßen

Abdel