diddi-tb
Goto Top

VPN Verbindung bzw. Alternative

Hallo zusammen,

meine beiden Chefs möchten gerne von zu Hause aus auf unseren Server bzw. die Freigaben zugreifen. Nun stellt sich mir die Frage wie wir das am einfachsten realisieren.

Die Verbindung über eine Fernwartung scheidet komplett aus, da dann die Rechner hier in der Firma laufen müssten und das auch unkomfortabel zu handhaben ist.

Gibt es eine Alternative zu einer VPN Verbindung?

Wir haben einen Netgear ProSafe Router der VPN unterstütz. Allerdings bin ich ehrlich gesagt an der Einrichtung gescheitert. Gibt es eine Softwarelösung, also eine Art Software VPN Server den ich auf unserem Server laufen lassen kann und einen Client dazu?

So weit schon mal vielen Dank für eure Hilfe!

Content-ID: 249444

Url: https://administrator.de/contentid/249444

Ausgedruckt am: 14.11.2024 um 19:11 Uhr

108012
108012 17.09.2014 aktualisiert um 14:15:19 Uhr
Goto Top
Hallo,

meine beiden Chefs möchten gerne von zu Hause aus auf unseren Server bzw. die Freigaben
zugreifen. Nun stellt sich mir die Frage wie wir das am einfachsten realisieren.
IPSec VPN! Es gibt immer drei Wege die man gehen kann;
- Den schnellen Weg.
- Den bequemen Weg.
- Den richtigen Weg.

Die Verbindung über eine Fernwartung scheidet komplett aus, da dann die Rechner
hier in der Firma laufen müssten und das auch unkomfortabel zu handhaben ist.
??? Welche Fernwartung meinst Du denn bitte? Die von einer AVM Fritz!Box?
Welche Router stehen denn dort zu Hause?

Gibt es eine Alternative zu einer VPN Verbindung?
Eigentlich schon, aber die würde ich sobald es sich um geschäftliche Belange handelt
nicht mehr zum Zuge kommen lassen!

Wir haben einen Netgear ProSafe Router der VPN unterstütz.
Das ist so als wenn jemand behauptet er fährt VW oder BMW,
etwas genauer sollte es schon sein. z.B. FVS336Gv2

Allerdings bin ich ehrlich gesagt an der Einrichtung gescheitert.
So kann Dir hier auch keiner helfen, denn etwas mehr Infos braucht es dazu,
oder aber man hält es recht allgemein und rät Dir dazu den kostenlosen
ShrewSoft VPN Klienten auf den PCs der Chefs bei Ihnen zu Hause und
dann kann man sich damit einwählen.

Gibt es eine Softwarelösung, also eine Art Software VPN Server den ich auf unserem Server
laufen lassen kann und einen Client dazu?
Ja sicherlich das gibt es schon nur das wird dann mit den Freigaben wieder nicht so pralle!
Denn leider unterstützt die Software nicht IPSec! und das ist bis dato das einzige was wirklich
noch als sicher gilt, zumindest so wie ich das sehe.

Was für ein Server ist das denn bei Euch?
Habt Ihr einen SharePoint im Betrieb?

Gruß
Dobby


P.S. Wenn es richtig einfach sein muss könnte auch iTwin VPN eine Lösung sein.
Diddi-tb
Diddi-tb 17.09.2014 um 14:37:20 Uhr
Goto Top
Zitat von @108012:

Hallo,

vielen Dank für die schnelle Rückmeldung.


> meine beiden Chefs möchten gerne von zu Hause aus auf unseren Server bzw. die Freigaben
> zugreifen. Nun stellt sich mir die Frage wie wir das am einfachsten realisieren.
IPSec VPN! Es gibt immer drei Wege die man gehen kann;
- Den schnellen Weg.
- Den bequemen Weg.
- Den richtigen Weg.

Da würde ich dann den richtigen nehmen.


> Die Verbindung über eine Fernwartung scheidet komplett aus, da dann die Rechner
> hier in der Firma laufen müssten und das auch unkomfortabel zu handhaben ist.
??? Welche Fernwartung meinst Du denn bitte? Die von einer AVM Fritz!Box?
Welche Router stehen denn dort zu Hause?

Es wäre ja möglich die Rechner hier in der Firma laufen zu lassen und dann per Teamviewer o.ä. von z.H. aus zu arbeiten. Aber das Thema ist eigentlich erledigt.


> Wir haben einen Netgear ProSafe Router der VPN unterstütz.
Das ist so als wenn jemand behauptet er fährt VW oder BMW,
etwas genauer sollte es schon sein. z.B. FVS336Gv2

Genau der ist es!


> Allerdings bin ich ehrlich gesagt an der Einrichtung gescheitert.
So kann Dir hier auch keiner helfen, denn etwas mehr Infos braucht es dazu,
oder aber man hält es recht allgemein und rät Dir dazu den kostenlosen
ShrewSoft VPN Klienten auf den PCs der Chefs bei Ihnen zu Hause und
dann kann man sich damit einwählen.

Welchen Identifier Type sollte ich wählen. FQDN ist voreingestellt. Was kommt bei Identifier rein? Die externe IP Adresse des Routers?


Was für ein Server ist das denn bei Euch?
Habt Ihr einen SharePoint im Betrieb?

Einen SharePoint haben wir nicht. Es ist ein Fujitsu Primergy TX150 S7 mit Xeon X3430 Prozessor

Gruß Stefan
Diddi-tb
Diddi-tb 17.09.2014 um 14:55:30 Uhr
Goto Top
Habe nochmal versucht eine Verbindung mit einem Win7 Rechner herzustellen, folgender Fehler erscheint

Fehler 800: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn für dei Verbindung ein L2TP/IPsec-Tunnel verwendet wird, werden die für die IPsec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht nicht ordnungsgemäß konfiguriert.
108012
108012 17.09.2014 um 20:01:17 Uhr
Goto Top
Genau der ist es!
Na der kann aber auch schon SSL VPN wenn die letzte Firmware drauf ist!
Und der ShrewSoft VPN Klient ist kostenlos! der sollte damit auch keine
Probleme haben!

Das mit dem iTwin VPN ist so eine Sache man muss dann die PCs in der Firma auch
angeschaltet lassen und das sollte dann auch laufen!

Gruß
Dobby
skahle85
skahle85 18.09.2014 um 10:41:35 Uhr
Goto Top
Also Chef hin oder her... Private PCs egal welcher Natur haben einfach im Firmennetz nichts zu suchen. Die Sache mit dem SSL VPN ist echt super und läuft auch richtig stabil aber als Admin hast du über die Privaten Rechner keinerlei Gewalt und weißt auch nie wer sich diese zu nutzen macht (allein unser Chef hat 2 Kinder die gerne viel Unfug treiben und wir regelmäßig deren PC bei uns zum neu aufsetzen haben). Denn wenn etwas durch diese PCs in dein Netzwerk gelangt wirst du wohl schwer mit dem Finger auf deinen Chef zeigen können.
Kauft dem Chef lieber nen anständiges Notebook und übernehmt die "Herrschaft" von diesem Gerät ;).

Btw. verwenden wir MS Direct Access (IPsec mit certs), haben so volle Kontrolle über die verbundenen Clients und ich meine VOLLE Kontrolle ;).

So Senf von mir bzgl. Sicherheit

Besten Gruß
Basti
aqui
aqui 18.09.2014 um 11:00:25 Uhr
Goto Top
Wenn solltest du es IMMER über die Router lösen sofern du schon solche hast !
Diese Forums Tutorials helfen dir über die Klippen der Konfig:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da die NetGear Gurken leider nur IPsec als Protokoll supporten und auch nicht die optimale HW sind aber für nur 2 Chefs ist das im Handumdrehen installiert. Das schafft auch Netgear !
Alternativ:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
oder
VPNs einrichten mit PPTP
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Wobei letztere aber mit etwas Vorsicht zu geniessen sind denn PPTP gilt nicht mehr als hinreichend sicher !
Allemal sicherer als ein simples Port Forwarding ist es aber schon !
Am einfachsten ist das mit dem netGear und dem Shrew Client:
https://www.shrew.net/support/Howto_Netgear
Das sind deine Optionen....
goscho
goscho 18.09.2014 aktualisiert um 11:54:51 Uhr
Goto Top
Mahlzeit
Zitat von @aqui:

Wenn solltest du es IMMER über die Router lösen sofern du schon solche hast !
Jawoll!
Hätte er das gelesen, wäre die Frage eine andere, ganz sicher.
Da die NetGear Gurken leider nur IPsec als Protokoll supporten
falsch!
Der FVS336Gv2 und einige andere supporten seit einem Firmwareupdate vor 1-2 Jahren auch L2TP/PPTP und schon länger SSL VPN.
Trotzdem bleibe ich dabei, dass die IMHO beste Variante ein IPSEC-VPN mit hoher Verschlüsselung ist.
Das ist bei diesem Gerät im Handumdrehen eingerichtet, kannste Dobby fragen.
und auch nicht die optimale HW sind aber für nur 2 Chefs ist
wird das locker reichen, ganz locker,
außer die Firma hat sehr schnelle WAN-Anschlüsse und die Anforderungen an den Datendurchsatz beim VPN sind sehr hoch.
das im Handumdrehen installiert. Das schafft auch Netgear !
Sag ich doch face-wink

Am einfachsten ist das mit dem netGear und dem Shrew Client:
https://www.shrew.net/support/Howto_Netgear
Du hast wieder mal Recht. face-smile
goscho
goscho 18.09.2014 um 11:57:38 Uhr
Goto Top
Zitat von @skahle85:

Also Chef hin oder her... Private PCs egal welcher Natur haben einfach im Firmennetz nichts zu suchen. Die Sache mit dem SSL VPN
ist echt super und läuft auch richtig stabil aber als Admin hast du über die Privaten Rechner keinerlei Gewalt und
weißt auch nie wer sich diese zu nutzen macht (allein unser Chef hat 2 Kinder die gerne viel Unfug treiben und wir
regelmäßig deren PC bei uns zum neu aufsetzen haben). Denn wenn etwas durch diese PCs in dein Netzwerk gelangt wirst du
wohl schwer mit dem Finger auf deinen Chef zeigen können.
Kauft dem Chef lieber nen anständiges Notebook und übernehmt die "Herrschaft" von diesem Gerät ;).
Wozu denn das?
Man installiert dem Chef einen IPSEC-VPN-Clienten, welcher manuell gestartet wird (mit Authentifizierung) und dann kann dieser auf seine Freigaben in seiner Firma zugreifen.
skahle85
skahle85 18.09.2014 um 12:19:06 Uhr
Goto Top
Na ja jeder wie er es für vertretbar hält würde ich mal sagen. Ich vertrete halt den "keine privaten PCs" im Unternehmen. Ihr nutzt dann halt VPN clients. Auch eine Lösung. Sicherheitstechnisch jedoch trotzdem bedenklich weil es halt immer ein privater PC zu dem Familie und Freunde Zugang haben bleibt (Tunnel "vergessen zu trennen z.B."). Ich wollte da jetzt auch keine Grundsatz Diskussion entfachen und lediglich aufzeigen was wir nutzen und warum wir dies so tun. Wir haben auch Jahre lang über einen IPSEC-VPN Zugang auf privaten PCs gearbeitet bis halt unsachgemäße Handhabung ein reagieren gefordert haben.

Also denn weitermachen.

Beste Grüße
goscho
goscho 18.09.2014 um 14:34:33 Uhr
Goto Top
Bei den meisten Firmen, die ich betreue und bei denen ich das für die Chefs eingerichtet habe, sind diese Inhaber bzw. Teilhaber.
Wenn man die bzgl. der Risiken aufgeklärt hat, bekommen die das zumeist schon geregelt, die Sicherheitsbelange der eigenen Firma zu berücksichtigen.
Diddi-tb
Diddi-tb 19.09.2014 um 10:15:01 Uhr
Goto Top
Hallo nochmal,

wir haben jetzt intern nochmals über das Thema gesprochen. In der Tat ist es so das die Heim PC's auch oft von anderen Familienmitglieder (auch Kinder) genutzt werden. Allerdings wäre es für einen meiner Chefs doch eine Arbeitserleichterung wenn er auf einen bestimmten Teil unserer Daten zugreifen könnte.

Im Prinzip geht es um folgenden Arbeitsablauf: Chef macht in der Firma von unseren Produkten Bilder. Diese werden auf unserem Server in dem Ordner "unbearbeitet" gespeichert. Danach nimmt er sich die Bilder in diesem Ordner vor und bearbeitet sie. Nach dem bearbeiten werden die Bilder dann in entsprechende Ordner auf dem Server verteilt damit Sie dann von den Mädels in der Produktdatenpflege den Artikeln in der WaWi zugeordnet werden.

Jetzt wäre es ganz gut wenn er von zu Hause aus auf den Ordner "unbearbeitet" und die anderen Ordner für die fertigen Bilder zugreifen könnte um die Bilder zu bearbeiten und zu verteilen.

Evtl. gibt es eine andere Lösung. Er braucht also nicht den Zugriff auf das Firmennetzwerk sonder nur auf diese Ordner. Wäre da evtl. eine FTP Verbindung denkbar? Aber auch in diesem Fall wäre es ja möglich das auf welchem Weg auch immer dann Schadsoftware mit hochgeladen wird.

Wie seht ihr das?

Vielen Dank!
aqui
aqui 19.09.2014 um 10:50:41 Uhr
Goto Top
Na ja das ist ja alltäglicher Kinderkram... Du hast 2 Optionen:
1.) Chef startet einen VPN Client auf seinem Rechner und wählt sich per VPN ins Firmennetz ein, Verbindet auf die "unbearbeitet" Freigabe und legt los. Durch den VPN Client ist es so also ob er lokal im Firmennetz ist.
Wenn er fertig ist beendet er das VPN wieder und gut is.
Mach täglich Abermillionenn von externen Mitarbeitern auf der Welt so....

2.) Der Cheffe hat einen VPN Router der eine LAN zu LAN Kopplung mit dem Firmennetz macht. Dadurch hat er eine "Rund um die Uhr" Verbindung mit dem Firmennetz und wenn er zuhause sitzt sitz er quasi auch gleich immer im Firmenetz und kann ohne Klimmzüge auf alle resourcen zugreifen wie beim obigen Client Zugriff auch.
Dieses Szenario ist zwar sehr bequem, da er mit allen Endgeräten im Netz auch im Firmennetz arbeiten kann, birgt aber die Gefahr das das natürlich auch alle anderen können im Heimnetz.
Will man das also sicher machen ist hier eine Firewall Pflicht, die den Zugriff nur auf die Geräte und Resourcen beschränkt die das auch dürfen.

Alles beides wie bereits gesagt millionenfache Allerweltsszenarien.... Such die für dich schönste Option aus. Das Forum hat diverse Tutorials die die Umsetzung im Detail beschreiben.
Das kannst du ja dann nochmal final "intern" diskutieren.
108012
108012 19.09.2014 um 10:54:28 Uhr
Goto Top
Hallo nochmal,

In der Tat ist es so das die Heim PC's auch oft von anderen Familienmitglieder (auch Kinder)
genutzt werden. Allerdings wäre es für einen meiner Chefs doch eine Arbeitserleichterung wenn
er auf einen bestimmten Teil unserer Daten zugreifen könnte.
Das kann ich gut verstehen nur es ist schon ein Unterschied ob man Pappis PC mal mitbenutzt
oder das auch ein PC ist der auf ein Firmennetzwerk hat! Also da würde ich noch einmal drüber nachdenken!

Wäre da evtl. eine FTP Verbindung denkbar?
Nein, denn FTP überträgt alles im Klartext und ist nicht so sicher!
Dann lieber eine VPN Verbindung in die Firma und gut ist es.

Aber auch in diesem Fall wäre es ja möglich das auf welchem Weg auch immer
dann Schadsoftware mit hochgeladen wird.
Das kann immer passieren, aber wenn man am Samstag einen Vollscann mit einem
aktuellen AV Scanner macht sollte das auch schon in Ordnung sein in der Regel geht
man da eh einkaufen, Autowaschen oder die Wohnung sauber machen.

Gruß
Dobby
clSchak
clSchak 20.09.2014 um 00:56:37 Uhr
Goto Top
Hi

wenn du ein VPN mit Firmennotebooks willst das wenig stresst macht und wirklich jeder Benutzer hinbekommt: MS Direct Access mit Server 2012/r2 - nachteil hierbei: du benötigst Enterprise Versionen von Windows 7 / 8.

Das hat einige Vorteile: VPN über SSL also Port 443 das nahezu immer frei verfügbar ist, der Kollege muss garnichts machen - nur Internet haben - der Computer verbindet sich automatisch mit der Firma. Die Einrichtung ist mit Server 2012/r2 super einfach geworden und funktioniert mittlerweile auch hinter einer Firewall (wenn man keine frei externe Adresse hat).

Kann ich persönlich nur empfehlen, der Nachteil ist halt: Enterprise Versionen der Betriebssysteme...
aqui
aqui 20.09.2014 um 09:15:26 Uhr
Goto Top
...und man ist mit dem VPN vollständig abhängig von einem laufenden Server. Von der MS Abhängigkeit mal gar nicht zu reden. Nicht wirklich gut... face-sad
Dani
Dani 20.09.2014 aktualisiert um 10:38:31 Uhr
Goto Top
@aqui
Naja, das bist einem Router auch. Wenn der nicht sauber läuft.... face-wink
Wir setzen inzwischen für Firmennotebooks auch auf DirectAccess und funktioniert sogar mit OTP sehr gut. Für private Geräte würde ich es nicht nutzen. Da bin ich Old-School: RDS-Host - fertig.

Es ist doch oft eine Frage des Geldes und Infrastruktur. Wir haben überall virtualisiert und setzen Windows Server Datacenter - Lizenzen ein. D.h. es kostet mich keinen Cent mehr. Die OTP-Tokens muss ich sowieso kaufen, egal welche Lösung ich nehme. Das spart je nach Unternemensgröße einige Euros.


Gruß,
Dani