VPN / PcAnywhere zur Fernwartung einsetzen - aber wie anfangen?
Hallo zusammen !
Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.
Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?
Frage über Fragen…
Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.
Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.
Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?
Frage über Fragen…
Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41607
Url: https://administrator.de/contentid/41607
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.
Der zugriff erfolgt dann auf den server oder client wieder via RDP.
Gruß
RKO
wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.
Der zugriff erfolgt dann auf den server oder client wieder via RDP.
Gruß
RKO
Hi Chistian,
hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.
Viel Erfolg,
Markus
hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.
Viel Erfolg,
Markus
Jo, wenn VPN beim Kunden schon vorhanden ist müsstet ihr als Fernwarter nur einen entsprechenden VPN User Account beim Kunden bekommen und den passenden VPN Client einsetzen.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Ob man nun nen VPN Tunnel einsetzt und durch den Tunnel RDP jagt oder nur RDP macht und beim Kunden den IP Range der per RDP zugreifen darf eingrenzt - da kommt so ziemlich das gleiche heraus, aus sicherheitstechnischer Sicht. RDP hat zwar gewisse theoretische Design-Schwächen - diese auszunutzen (Man in the Middle Attacke) beim Zugriff von extern ist jedoch schwieriger, als auf deinem Rechner einen Keylogger unterzubringen, der dein eingetipptes Passwort eh mitloggt.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.
VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.
VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Ja, das VPN Passthrough durch Router kann tatsächlich Probleme machen - je nach VPN Protokoll (meist IPSEC) und je nach Router.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
Huhu nochmal,
also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt , dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.
Gruß,
Markus
also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt , dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.
Gruß,
Markus
Um von einem PC über das Internet und einen Firmen-Router (zb. bei deienm Kunden) auf einen Windows-Rechner zuzugreifen, der sich im LAn des Kunden befindet, muss beim Kundenrouter bzw. seiner Firewall nur Port 3389 geöffnet werden. Oder - falls bespielsweise die Firewall sowiso auf Port 22 (SSH) offen sein sollte (um auf Linux Server zuzugreifen, was üblich ist), dann kann man der RDP Port auch auf Port 22 beispielsweise ummáppen, ist ein Registry Eintrag den man auf dem Kundenrechner ändern muss von 3389 auf 22 in dem Beispiel). Dann kann man per RDP auf den Kundenrechner auf Port 22 zugreifen.
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.
DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.
DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
> RDP hat halt den grossen Vorteil, dass
man
> nur EINEN Port braucht.
Sorry dass ich nicht alles sofort blicke,
aber was meinst du hier mit EINEN? In der
Verbindung von ich sag mal grob Deutschland
nach nem Kunden in ich sach mal ausm Bauch
heraus Belgien wird es schätzungsweise
mehr als einen Router geben ...
Wieviele Internet Router dazwischen sind ist völlig wurst. Die schleifen doch eh alles durch was nach TCP/IP riecht. Wichtig ist nur, was der Router im Netz deines Kunden durchlässt.
EINEN Port bedeutet nur, dass RDP nur einen Port braucht, nämlich 3389. So wie auch beispielsweise ein Webserver nur einen Port braucht - nämlich 80.
Hallo,
ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.
Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.
Weiß nicht, ob das was hilft.
Mit freundlichen Grüßen
Abdel
ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.
Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.
Weiß nicht, ob das was hilft.
Mit freundlichen Grüßen
Abdel