VPN und AD
Optimierung der IT-Infrastruktur: Zentrale Verwaltung von Netzlaufwerken und Programmen
Hallo zusammen,
mein Kollege und ich sind als technische Mitarbeiter in einer kleineren Firma mit etwa 14 Mitarbeitern tätig. Neben unseren regulären Aufgaben kümmern wir uns freiwillig und oft auch in unserer Freizeit gerne und mit Leidenschaft um die IT-Infrastruktur. Bisher läuft alles stabil und es gibt keine gravierenden Probleme. Dennoch möchten wir unsere Arbeitsmittel an moderne Anforderungen anpassen.
Ausgangslage:
Früher konnten wir Online-Support effizient über TeamViewer leisten. Doch mittlerweile erhalten wir vermehrt verschiedene VPN-Zugänge von unseren Kunden, um uns in deren Systeme einzuwählen. Das führt dazu, dass wir aktuell rund 15 verschiedene VPN-Programme nutzen müssen – eine unübersichtliche und ineffiziente Lösung.
Nun suchen wir nach einer zentralen Möglichkeit, die VPN-Zugänge und Arbeitsumgebungen für jeden Techniker einheitlich und einfach bereitzustellen.
Anforderungen an die neue Lösung:
Netzlaufwerke sollen je nach Benutzer automatisch zugewiesen werden.
Notwendige Programme müssen je nach Benutzer zur Verfügung stehen und sich idealerweise automatisiert installieren lassen.
Erste Tests und Herausforderungen:
Wir haben in den letzten Tagen einen Windows Server 2019 mit unseren bestehenden Synology-Servern getestet und konnten zumindest die Netzlaufwerke gut per Gruppenrichtlinien (GPOs) zuweisen. Auch die Installation von Programmen über den Active Directory (AD)-Controller funktioniert lokal zufriedenstellend.
Allerdings gibt es Schwierigkeiten mit Geräten, die außerhalb unseres Firmennetzwerks (z. B. im Homeoffice) genutzt werden. Programme (.msi) werden teilweise installiert und nicht installiert
Die meisten Programme sind auch keine .msi Dateien sondern leider nur .exe. Die ganzen Tipps die im Internet stehen mit .ps1,
exe zu msi konvertieren,
msi im %Temp% abzufangen
waren nicht wirklich zufriedenstellend.
Ein weiteres Problem betrifft die VPN-Verbindungen. Da Gruppenrichtlinien ja unseres Wissens (bitte korrigiert mich gerne) je nach Abfrageintervall aktualisiert werden, erfolgt die Programminstallation oft erst nach einem Neustart oder nach einer manuellen Aktualisierung mit gpupdate /force. Das bedeutet, dass ein Gerät im Homeoffice hochfährt, sich mit dem privaten WLAN verbindet und möglicherweise erst danach die Richtlinien zieht – was die Installation verzögert oder verhindert.
Wir haben verschiedene Lösungen getestet:
WireGuard in Kombination mit einer FritzBox (aktuell beste Lösung)
WireGuard in Kombination mit Windows Server
VPN via Windows-Server - Die Windows-eigene VPN-Lösung fanden wir allerdings nicht überzeugend.
Unsere Fragen:
Wie können wir unsere Notebooks für Homeoffice und Außendienst zentral verwalten?
Ist es sinnvoll, die Geräte in eine Domäne zu integrieren, oder gibt es bessere Alternativen?
Gibt es eine kostengünstige Möglichkeit, Programme (auch .exe) zuverlässig auszurollen?
Wie können wir sicherstellen, dass die VPN-Verbindung frühzeitig hergestellt wird, sodass Gruppenrichtlinien direkt angewendet werden?
Wir freuen uns auf eure Anregungen und Erfahrungen!
Viele Grüße
Danke im Voraus!
Gray
Hallo zusammen,
mein Kollege und ich sind als technische Mitarbeiter in einer kleineren Firma mit etwa 14 Mitarbeitern tätig. Neben unseren regulären Aufgaben kümmern wir uns freiwillig und oft auch in unserer Freizeit gerne und mit Leidenschaft um die IT-Infrastruktur. Bisher läuft alles stabil und es gibt keine gravierenden Probleme. Dennoch möchten wir unsere Arbeitsmittel an moderne Anforderungen anpassen.
Ausgangslage:
Früher konnten wir Online-Support effizient über TeamViewer leisten. Doch mittlerweile erhalten wir vermehrt verschiedene VPN-Zugänge von unseren Kunden, um uns in deren Systeme einzuwählen. Das führt dazu, dass wir aktuell rund 15 verschiedene VPN-Programme nutzen müssen – eine unübersichtliche und ineffiziente Lösung.
Nun suchen wir nach einer zentralen Möglichkeit, die VPN-Zugänge und Arbeitsumgebungen für jeden Techniker einheitlich und einfach bereitzustellen.
Anforderungen an die neue Lösung:
Netzlaufwerke sollen je nach Benutzer automatisch zugewiesen werden.
Notwendige Programme müssen je nach Benutzer zur Verfügung stehen und sich idealerweise automatisiert installieren lassen.
Erste Tests und Herausforderungen:
Wir haben in den letzten Tagen einen Windows Server 2019 mit unseren bestehenden Synology-Servern getestet und konnten zumindest die Netzlaufwerke gut per Gruppenrichtlinien (GPOs) zuweisen. Auch die Installation von Programmen über den Active Directory (AD)-Controller funktioniert lokal zufriedenstellend.
Allerdings gibt es Schwierigkeiten mit Geräten, die außerhalb unseres Firmennetzwerks (z. B. im Homeoffice) genutzt werden. Programme (.msi) werden teilweise installiert und nicht installiert
Die meisten Programme sind auch keine .msi Dateien sondern leider nur .exe. Die ganzen Tipps die im Internet stehen mit .ps1,
exe zu msi konvertieren,
msi im %Temp% abzufangen
waren nicht wirklich zufriedenstellend.
Ein weiteres Problem betrifft die VPN-Verbindungen. Da Gruppenrichtlinien ja unseres Wissens (bitte korrigiert mich gerne) je nach Abfrageintervall aktualisiert werden, erfolgt die Programminstallation oft erst nach einem Neustart oder nach einer manuellen Aktualisierung mit gpupdate /force. Das bedeutet, dass ein Gerät im Homeoffice hochfährt, sich mit dem privaten WLAN verbindet und möglicherweise erst danach die Richtlinien zieht – was die Installation verzögert oder verhindert.
Wir haben verschiedene Lösungen getestet:
WireGuard in Kombination mit einer FritzBox (aktuell beste Lösung)
WireGuard in Kombination mit Windows Server
VPN via Windows-Server - Die Windows-eigene VPN-Lösung fanden wir allerdings nicht überzeugend.
Unsere Fragen:
Wie können wir unsere Notebooks für Homeoffice und Außendienst zentral verwalten?
Ist es sinnvoll, die Geräte in eine Domäne zu integrieren, oder gibt es bessere Alternativen?
Gibt es eine kostengünstige Möglichkeit, Programme (auch .exe) zuverlässig auszurollen?
Wie können wir sicherstellen, dass die VPN-Verbindung frühzeitig hergestellt wird, sodass Gruppenrichtlinien direkt angewendet werden?
Wir freuen uns auf eure Anregungen und Erfahrungen!
Viele Grüße
Danke im Voraus!
Gray
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672242
Url: https://administrator.de/forum/vpn-und-ad-672242.html
Ausgedruckt am: 01.04.2025 um 15:04 Uhr
9 Kommentare
Neuester Kommentar
Guten Abend,
Ihr kümmert euch um die IT Infrastruktur in eurem Betrieb oder die bei euren Kunden?
Ist das ein Problem oder sind das zwei?
Was macht ihr für die Kunden, dass ihr VPN Verbindungen zu diesen benötigt?
Grundsätzlich sollten VPN Verbindungen nur so ausgerollt werden, wie sie wirklich benötigt werden. wenn ein Medienlaptop mit allen VPN Verbindungen verloren geht müssen sonst alle Verbindungen geprüft werden + dahinterliegende Netz.
Für mehr brauch ich mehr Infos
VG
Ihr kümmert euch um die IT Infrastruktur in eurem Betrieb oder die bei euren Kunden?
Ist das ein Problem oder sind das zwei?
Was macht ihr für die Kunden, dass ihr VPN Verbindungen zu diesen benötigt?
Grundsätzlich sollten VPN Verbindungen nur so ausgerollt werden, wie sie wirklich benötigt werden. wenn ein Medienlaptop mit allen VPN Verbindungen verloren geht müssen sonst alle Verbindungen geprüft werden + dahinterliegende Netz.
Für mehr brauch ich mehr Infos
VG
Moin,
bitte doch noch etwas mehr Input 😉
Für mich ist das auch ein Mix. Du fragst einerseits nach Homeoffice-Anbindungen und Verwaltung der eigenen IT (oder?), dann aber der Kunden-IT mit deren VPN-Tunneln. Probiert habt Ihr mit Wireguard + bordeigen, aber dann gibt andererseits der Kunde die Technologie vor? Da blicke ich nicht durch.
Gruß
DivideByZero
bitte doch noch etwas mehr Input 😉
Für mich ist das auch ein Mix. Du fragst einerseits nach Homeoffice-Anbindungen und Verwaltung der eigenen IT (oder?), dann aber der Kunden-IT mit deren VPN-Tunneln. Probiert habt Ihr mit Wireguard + bordeigen, aber dann gibt andererseits der Kunde die Technologie vor? Da blicke ich nicht durch.
Gruß
DivideByZero
Also....wenn ich das richtig verstandern habe, geht es um zwei bzw. drei unterschiedliche Probleme
1. Es gibt mehrere Kunden, die alle einen eigenen VPN-Zugang liefern. Die sollen nun am besten über eine Software und mehreren Profilen/Mandanten verwaltbar sein. Sprich: Software-Portal öffnen, einen Kunden auswählen und per Klick den VPN-Tunnel aufbauen.
2. Die Laptops der Mitarbeiter der IT-Firma sollen auch irgendwie ans "heimische" AD angeklöppelt werden, auch wenn die unterwegs oder im Homeoffice sind.
3. (kann man auch bei Punkt 2 einfügen) Die Laptops der Mitarbeiter im Außendienst/Homeoffice brauchen eine Verbindung zur "heimischen" Infrastruktur mit Netzlaufwrken und Zeugs.
zu 1.: Ich kenn da nix. Aber man könnte da evtl. eine HTML basteln, über die man per Link die jeweilige VPN aufruft.
zu 2.: VPN auf den Laptops zu eurem Gateway/Firewall
zu3.: VPN-fähige Router bei den Mitarbeitern zuhause. Oder der Umweg über RDSH. Mitarbeiter startet VPN, macht ein mtsc auf einen RDSH und hat dort dann seine Arbeitsumgebung.
1. Es gibt mehrere Kunden, die alle einen eigenen VPN-Zugang liefern. Die sollen nun am besten über eine Software und mehreren Profilen/Mandanten verwaltbar sein. Sprich: Software-Portal öffnen, einen Kunden auswählen und per Klick den VPN-Tunnel aufbauen.
2. Die Laptops der Mitarbeiter der IT-Firma sollen auch irgendwie ans "heimische" AD angeklöppelt werden, auch wenn die unterwegs oder im Homeoffice sind.
3. (kann man auch bei Punkt 2 einfügen) Die Laptops der Mitarbeiter im Außendienst/Homeoffice brauchen eine Verbindung zur "heimischen" Infrastruktur mit Netzlaufwrken und Zeugs.
zu 1.: Ich kenn da nix. Aber man könnte da evtl. eine HTML basteln, über die man per Link die jeweilige VPN aufruft.
zu 2.: VPN auf den Laptops zu eurem Gateway/Firewall
zu3.: VPN-fähige Router bei den Mitarbeitern zuhause. Oder der Umweg über RDSH. Mitarbeiter startet VPN, macht ein mtsc auf einen RDSH und hat dort dann seine Arbeitsumgebung.
Morschen.
Wenn ihr das zentralisiert abwickeln wollt, dann solltet ihr eigene Router zu den Kunden ins Netzwerk stellen.
Dies natürlich nur nach Absprache mit deren Geschäftsleitung und IT.
Die Router bauen dann eine eigene VPN Verbindung zu eurer Infrastruktur auf. Somit wäre es wurscht, was der Kunde euch anbietet.
Was für Geräte sind denn von euch beim Kunden? Windows PC oder / und Maschinen mit Netzwerkanbindung?
Diese Geräte sollten beim Kunden idealerweise in einem eigenen Subnetz sein. Am besten in einem durch euch vorkonfigurierten Netzwerk-Bereich (möglichst nicht 192.168.0.0/24
).
Dann könnt ihr bei euch ein paar Maschinen (virtuell oder physisch) bei euch in der Firma hinstellen und auf diesen dann entsprechend die Kunden "bedienen".
So würde ich das regeln.
Gruß
Marc
Wenn ihr das zentralisiert abwickeln wollt, dann solltet ihr eigene Router zu den Kunden ins Netzwerk stellen.
Dies natürlich nur nach Absprache mit deren Geschäftsleitung und IT.
Die Router bauen dann eine eigene VPN Verbindung zu eurer Infrastruktur auf. Somit wäre es wurscht, was der Kunde euch anbietet.
Was für Geräte sind denn von euch beim Kunden? Windows PC oder / und Maschinen mit Netzwerkanbindung?
Diese Geräte sollten beim Kunden idealerweise in einem eigenen Subnetz sein. Am besten in einem durch euch vorkonfigurierten Netzwerk-Bereich (möglichst nicht 192.168.0.0/24
Dann könnt ihr bei euch ein paar Maschinen (virtuell oder physisch) bei euch in der Firma hinstellen und auf diesen dann entsprechend die Kunden "bedienen".
So würde ich das regeln.
Gruß
Marc
VPN via Windows-Server -
Jeder gute Admin sollte eigentlich wissen das ein VPN aus guten Gründen niemals auf einen Server ins interne Netz gehört sondern immer auf die Peripherie, sprich Router oder Firewall. Allein schon die Security verbietet das. Von der NAT Frickelei einmal gar nicht erst zu reden.Sinnvoll ist es dann auch immer solche VPN Protokolle zu verwenden, die in allen Betriebssystemen und Endgeräten schon selber verankert sind und somit die beste Integration ins OS bieten.
Allein damit ist auch schon die unnötige Frickelei mit den oben zitierten "15 Programmen" per se obsolet. Nebenbei gibt es soviele VPN Protokolle gar nicht. Zudem kann man sie auch gleich mit dem Gerätestart aktivieren. Thema always on VPN.
L2TP oder IKEv2 auf einem Router oder Firewall wäre dann immer die idealste Lösung. Auf der Peripherie wohlgemerkt.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Routern
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
Auch das Homeoffice und Kunden VPN Thema liesse sich so sehr einfach und effizient lösen indem man den Maschinen z.B. einen 20€ Mikrotik Router oder GL.inet Router usw. mitgibt der per se einen VPN Tunnel für den Service vom Kunden eröffnet. Ob der Kunde den permanent online lässt oder bei Bedarf ist keine technische Frage.
Kollege @radiogugu hat dieses effiziente VPN Konzept oben deshalb zu Recht angesprochen und ein hiesiges Tutorial beschreibt die einfache Umsetzung mit üblichen Consumer Plaste Routern im Detail obwohl diese in einem professionellen Firmenumfeld bekanntlich nichts zu suchen haben. Das ist aber ein ganz anderes Thema:
VPN zu FritzBox über Hardware?
Auch damit erspart man sich die unnötige Frickelei mit extra Software auf Endgeräten und nutzt das Netzwerk genau so als ob man lokal arbeitet. Sprich die Fummelei mit VPN Clients auf Endgeräten entfällt völlig. Eben der tiefere Sinn von VPNs...
Ein weiteres Problem betrifft die VPN-Verbindungen. Da Gruppenrichtlinien ja unseres Wissens (bitte korrigiert mich gerne) je nach Abfrageintervall aktualisiert werden, erfolgt die Programminstallation oft erst nach einem Neustart oder nach einer manuellen Aktualisierung mit gpupdate /force. Das bedeutet, dass ein Gerät im Homeoffice hochfährt, sich mit dem privaten WLAN verbindet und möglicherweise erst danach die Richtlinien zieht – was die Installation verzögert oder verhindert.
Korrigiert mich gerne, aber das setzt doch als aller erstes voraus, dass die jeweiligen Geräte sich mit dem VPN verbinden müssen. Da hilft auch kein Neustart, sondern die GPO's kriegt der Rechner ist mit, wenn eine Verbindung zum DC besteht bzw. erst eine VPN Verbindung aufgebaut wird, eine Verbindung zum DC besteht und dann die aktuellen GPO's zieht.
Je nach Hersteller gibt es die Option "start before login". Das löst zwar nicht das Problem, jedoch fällt ein Schritt weg.
Man könnte auf den Rechnern die bei den Kunden stehen, den Client einer Remote Management Lösung für unbeaufsichtigten Fernzugriff (z.B. Matxix42 Fast Viewer) installieren. Wahlweise könnten die Kunden den Client auch im Supportfall manuell starten. Eine Installation ist nicht zwingend Erforderlich. Für Eure „Supporter“ gibt es dann Clients über verschiedene Plattformen oder auch browserbasierter Zugriff ist möglich. Man sollte auch gleich über Benutzerkonten und zwei Faktor Authentifizierung eurerseits nachdenken, um Sicherheit für eure Kunden zu verbessern.
Es gibt hier ja auch verschiedene Sicherheitsthemen zu beachten. Wenn ihr euch per VPN ein Loch in das Kundennetzwerk bohrt, habt ihr ja diverse Möglichkeiten im Kunden Netzwerk. Wir haben bei uns im Netzwerk auch verschiedene PCs oder Industrie Rechner, auf die die Hersteller zu Supportzwecken zugreifen möchten. Die sind alle per VLAN isoliert und dürfen nur mit den eigenen Maschinen sprechen.
Es gibt hier ja auch verschiedene Sicherheitsthemen zu beachten. Wenn ihr euch per VPN ein Loch in das Kundennetzwerk bohrt, habt ihr ja diverse Möglichkeiten im Kunden Netzwerk. Wir haben bei uns im Netzwerk auch verschiedene PCs oder Industrie Rechner, auf die die Hersteller zu Supportzwecken zugreifen möchten. Die sind alle per VLAN isoliert und dürfen nur mit den eigenen Maschinen sprechen.
Das sollte man wirklich in Einzelthemen zerlegen, so wie @kpunkt das bereits geschrieben hat. Außerdem muss man sich definitiv mehr Gedanken zur Sicherheit machen, das kommt im Ist-Zustand viel zu kurz.
Die Mitarbeiter sollten sich definitiv nicht mit 50 Kundenlogins von ihrem Client aus beim Kunden aufschalten. Das bedeutet, das ein Mitarbeiter, der eventuell kündigt oder gekündigt wird, theoretisch diese Logins nach Außen tragen kann, ohne das ihr das auch nur merkt. Selbst, wenn man seinen Mitarbeitern grundsätzlich traut und die eine Verschwiegenheitserklärung abgeschlossen haben sollte man hier den Zugang unterbinden. Und das könnt ihr gar nicht: Ihr müsstet in einigen Fällen womöglich eure Kunden dafür anschreiben um die Passwörter zu ändern! Auch läuft vermutlich alles über einen Benutzer pro Kunde, ihr habt gar keinen Überblick wer da was wo tut. Das ist alles nicht sehr schön und sollte im Vordergrund stehen.
Aus technischer Sicht ist der Ist-Zustand auch problematisch. Theoretisch können mehrere Kunden die gleichen IP-Netze haben oder das gleiche Netz wie ihr haben. Die VPN Software verschiedener Kunden auf eurem Client kann sich gegenseitig stören, hatte ich schon. Besser wäre zumindest ein Gateway in eurem Netz, was die Einwahl übernimmt und eure Mitarbeiter berechtigt, auf die Kunden zuzugreifen. (Leider ist das auf meiner Sophos SG auch nicht möglich aber ich habe nur drei Sonderfälle wo ich das brauche, nicht 30.)
1. Es gibt mehrere Kunden, die alle einen eigenen VPN-Zugang liefern. Die sollen nun am besten über eine Software und mehreren Profilen/Mandanten verwaltbar sein. Sprich: Software-Portal öffnen, einen Kunden auswählen und per Klick den VPN-Tunnel aufbauen.
Die Mitarbeiter sollten sich definitiv nicht mit 50 Kundenlogins von ihrem Client aus beim Kunden aufschalten. Das bedeutet, das ein Mitarbeiter, der eventuell kündigt oder gekündigt wird, theoretisch diese Logins nach Außen tragen kann, ohne das ihr das auch nur merkt. Selbst, wenn man seinen Mitarbeitern grundsätzlich traut und die eine Verschwiegenheitserklärung abgeschlossen haben sollte man hier den Zugang unterbinden. Und das könnt ihr gar nicht: Ihr müsstet in einigen Fällen womöglich eure Kunden dafür anschreiben um die Passwörter zu ändern! Auch läuft vermutlich alles über einen Benutzer pro Kunde, ihr habt gar keinen Überblick wer da was wo tut. Das ist alles nicht sehr schön und sollte im Vordergrund stehen.
Aus technischer Sicht ist der Ist-Zustand auch problematisch. Theoretisch können mehrere Kunden die gleichen IP-Netze haben oder das gleiche Netz wie ihr haben. Die VPN Software verschiedener Kunden auf eurem Client kann sich gegenseitig stören, hatte ich schon. Besser wäre zumindest ein Gateway in eurem Netz, was die Einwahl übernimmt und eure Mitarbeiter berechtigt, auf die Kunden zuzugreifen. (Leider ist das auf meiner Sophos SG auch nicht möglich aber ich habe nur drei Sonderfälle wo ich das brauche, nicht 30.)