andi-75
Goto Top

Wie neuer Mitarbeiter per VPN auf RDP Zugang

Hallo Zusammen,

wir bekommen unseren ersten Vertriebler, der aus dem Home-Office arbeiten soll.
Auf unserem Server (Win2022) ist lokal ein Warenwirtschaftssystem installiert. Darauf greife ich selbst per VPN(Fritz zu Fritz) und RDP zu und arbeite auf der Software.

Wie richte ich nun sinnvoll den Zugriff des Mitarbeiters ein?
Wenn ich ihn als neuen Benutzer auf dem Server anlege, kann er dann parallel auch die Software öffnen und darin arbeiten?

Richte ich für Ihn dann am besten einen seperaten VPN -Zugang über die Software auf dem Server ein?
Oder soll ich lieber einen kleinen Hardware VPN-Router mit Firewall vor meinen Server setzen?

Nabenbei geht es auch darum, ihn Zugriff auf seinen NAS-Ordner zu ermöglichen.

CALs sind genügend da.

Wäre nett, wenn Ihr mir da eine Richtung vorgeben könntet?

Vielen Dank
Andi

Content-ID: 6400680285

Url: https://administrator.de/forum/wie-neuer-mitarbeiter-per-vpn-auf-rdp-zugang-6400680285.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

2423392070
2423392070 17.03.2023 um 09:28:18 Uhr
Goto Top
Hilfe einkaufen ist nicht drin?

MS RDP kann im Browser gemacht werden, mit Authentifizierung am Edge. Ist das was für euch?

Sonst klassisches VPN.
dertowa
dertowa 17.03.2023 um 09:29:49 Uhr
Goto Top
Zitat von @Andi-75:
Auf unserem Server (Win2022) ist lokal ein Warenwirtschaftssystem installiert. Darauf greife ich selbst per VPN(Fritz zu Fritz) und RDP zu und arbeite auf der Software.
Ist das ein Terminalserver?
Oder arbeitest du als Administrator per RDP?

CALs sind genügend da.
Sind RDS-CALs vorhanden, oder nur normale CALs?

Wäre nett, wenn Ihr mir da eine Richtung vorgeben könntet?
Klingt für mich nach den bisherigen Informationen eher wie eine Anforderung, welche an den Systembetreuer gerichtet werden sollte. face-smile

Grüße
ToWa
E.T.imVOIPtelefonieren
Lösung E.T.imVOIPtelefonieren 17.03.2023 aktualisiert um 09:38:55 Uhr
Goto Top
Hallo Zusammen,

Tag

wir bekommen unseren ersten Vertriebler, der aus dem Home-Office arbeiten soll.
Auf unserem Server (Win2022) ist lokal ein Warenwirtschaftssystem installiert. Darauf greife ich selbst per VPN (Fritz > zu Fritz) und RDP zu und arbeite auf der Software.

Warum per Fritz zu Fritz und nicht mit einer vernünftigen Hardwarefirewall inkl. VPN Funktion?

Wie richte ich nun sinnvoll den Zugriff des Mitarbeiters ein?
Wenn ich ihn als neuen Benutzer auf dem Server anlege, kann er dann parallel auch die Software öffnen und darin > arbeiten?

Ob deine Software das kann, kann ich nicht sagen

Nabenbei geht es auch darum, ihn Zugriff auf seinen NAS-Ordner zu ermöglichen.

Wenn er per VPN mit eurem Netzwerk verbunden ist, ist das ja kein Problem

CALs sind genügend da.
Bei mehreren Mitarbeitern wäre ein Terminalserver sinnvoll. Da du uns aber diese Info gegeben hast, gehe ich davon aus, dass keiner vorhanden ist

Wäre nett, wenn Ihr mir da eine Richtung vorgeben könntet?

VPN Verbindung auf seinem Gerät einrichten, RDP Verknüpfung auf (seinem hoffentlich geschäftlichen) Desktop und fertig. Bei dir hat es doch auch geklappt?

LG ET
kpunkt
Lösung kpunkt 17.03.2023 aktualisiert um 09:41:39 Uhr
Goto Top
Also entweder du stellst ihm zuhause einen Router hin, auf dem du die VPN-Verbindung zu eurem Router aufbaust oder aber du gibst ihm Shrewsoft oder einen sonstigen Software VPN-Client auf den Rechner. Eben so wie bei dir auch.
Jeweils dann ein separater VPN-Tunnel.
Dann halt einen User mit entsprechenden Rechten auf dem Server anlegen. NAS-Freigabe über die NAS selber.

Je nachdem wäre es eine Überlegung wert mit AD zu beginnen. Kann man ja auch mit einem NAS machen. Kann aber auch ein eigener DC sinnvoller sein.

k.
Andi-75
Andi-75 17.03.2023 um 09:59:35 Uhr
Goto Top
Ich arbeite als User mit Adminrechten auf dem RDP.
RDS-Cals sind genügend gekauft / vorhanden zusätzlich zu den normalen CALS.
RDS-Server mit Device-CALS und Lizenzserver ist eingerichtet und läuft.

Da wir nur eine sehr kleine Firma sind, möchte ich es gerne selbst machen.

Also keine Domäne, keine VMs.

RDP im Brower möchte ich vrermeiden, denn das geht glaube ich nur mit Domäne.
aqui
aqui 17.03.2023 aktualisiert um 10:01:29 Uhr
Goto Top
VPNs gehören bekanntlich aus Sicherheitsgründen immer in die Peripherie, also niemals auf einen internen Server.
Idealerweise fackelst du das also mit deiner Firewall oder Router ab die ja in der Regel VPN Server Funktionen supporten.
Am sinnvollsten ist es natürlich VPN Protokolle zu nutzen die ALLE Clients von sich aus schon mit dem Betriebssystem an Bord haben. Das erspart dir die Frickelei mit überflüssigen externen VPN Clients wie den oben genannten und du kannst das VPN Client Verhalten ggf. mit GPO administrieren! Das sind in der Regel L2TP oder IKEv2.
Einfache Beispiele wie sowas gemacht wird siehst du hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN mit Mikrotik
IKEv2:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 hat den Vorteil das es das VPN für Clients und Firma sicher macht weil es den VPN Server mit einem Zertifikat authentisiert.
Alles in allem kein Hexenwerk.
kpunkt
kpunkt 17.03.2023 um 10:08:53 Uhr
Goto Top
Nachfrage:
Das Warenwirtschaftssystem ist nicht per Client erreichbar? Terminalemulation oder Browser?
Wär halt schöner, als direkt die User auf den Server zu lassen.

k.
Andi-75
Andi-75 17.03.2023 um 10:35:22 Uhr
Goto Top
Danke für Eure Tips.

Zu Deiner Frage kpunkt:
Ja, es gibt eine Client dafür, aber den kann man nicht per VPN verwenden, nur im lokalen Netz.
Habe es schon mehrmals getestet und damit kann man nicht arbeiten, da es nur stottert und Aussetzer hat.
Gibt auch der Hersteller des Wawis so an.
Andi-75
Andi-75 17.03.2023 um 10:37:44 Uhr
Goto Top
Ich hätte hier noch einen Win10-Client-PC für Dauerbetrieb.
Dann richte ich den für den Benutzer ein und aktivere den Win-Eigenen VPN-Server.

Ist halt nur schade, dass ich dafür dann nen PC als Hardware verbraten muss, aber wenns so sicherer ist.
Muss ich nur noch den Zugriff hinbekommen, da ich keine fest IP nach aussen habe.
kpunkt
kpunkt 17.03.2023 um 11:06:55 Uhr
Goto Top
DynDNS-Dienst im Router eintragen. Kann die Fritzbox ja.
Der Client ist dann sowas wie ein Terminalserver. Funktioniert.
Ein richtiger Terminalserver wäre halt interessant, wenn mehr außerhalb des LANs drauf zugreifen sollen.
Könnte man theoretisch auch mit XP/VS Terminal Server hinbekommen.

k.
Andi-75
Andi-75 17.03.2023 um 12:10:26 Uhr
Goto Top
Zitat von @kpunkt:

Ein richtiger Terminalserver wäre halt interessant, wenn mehr außerhalb des LANs drauf zugreifen sollen.


Hab ich das nicht schon automatisch, wenn ich auf meinem Server den RDS-Dienst mit mehreren Benutzern laufen habe?
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 17.03.2023 um 12:15:33 Uhr
Goto Top
Zitat von @Andi-75:

Da wir nur eine sehr kleine Firma sind, möchte ich es gerne selbst machen.

Also keine Domäne, keine VMs.

Kein AD und keine VM´s weil ihr eine kleine Firma seid oder weil du es selber machen möchtest?
AD und VM´s ist ja heutzutage eigentlich Standard
aqui
aqui 17.03.2023 aktualisiert um 12:26:01 Uhr
Goto Top
Ist halt nur schade, dass ich dafür dann nen PC als Hardware verbraten muss, aber wenns so sicherer ist.
Du solltest auch einmal genau lesen und verstehen was man dir hier schreibt! Da steht genau das Gegenteil was du mit deiner unsicheren PC Frickelei machst! 🧐
Oben stand mehrfach das Firmen VPN Server immer in die Peripherie gehören und niemals auf einen lokalen Server oder lokalen PC. Mit "Peripherie" ist der Rand (Perimeter) des Netzwerkes gemeint, also da wo das externe "Internet reinkommt" sofern dir dieser Begriff nichts sagt.
Sprich also immer auf Firewall oder Router wie dir die geposteten Links ja auch sehr anschaulich zeigen.
So muss man keinen PC verbraten und damit auch keinen ungeschützten Internet Traffic in sein lokales Netz forwarden und ein Sicherheitsrisiko für die Firma schaffen.

Sollte dein/euer Firmenrouter/Firewall das nicht können installiert man eine(n) neuen oder nimmt einen im Kaskaden Betrieb dazu. Ist für kleines Geld im Handumdrehen erledigt und schafft so eine sichere und skalierbare VPN Lösung für alle externen Mitarbeiter, egal ob Standort VPN Kopplung und/oder Client Einwahl VPN!
da ich keine fest IP nach aussen habe.
Das ist dafür auch NICHT erforderlich sofern man mit DDNS (dynamischem DNS) arbeitet. Mal ganz in Ruhe lesen hilft wirklich! Aber heute ist ja auch wieder Freitag! 🐟
Andi-75
Andi-75 17.03.2023 aktualisiert um 17:42:00 Uhr
Goto Top
Ich habe Peripherie falsch verstanden und zwar so, dass ich den VPN direkt auf einen Client-PC hinter dem Server als VPN-Server und nicht auf den Server lege.

DDNS kriege ich hin.

Habe jetzt auf der Fritze zusätzlich eine VPN-Verbindung eingerichtet und die Lan-to-Lan verbindung zum Testen abgeschaltet. Das wäre ja dann die Lösung für nen externen Mitarbeiter.
Kriege mit Shrew-Soft auch eine Verbindung hin - Fritze und Shrew-Soft zeigen die Verbindung an, aber ich komme trotzdem nicht aufs Lan der Fritze. Nicht mal auf die Fritze selbst.

Laut den Anleitungen im web ist es mit der Einrichtung getan, oder muss ich noch Ports auf der Fritze freischalten?

EDID: Ich glaub ich habs hinbekommen. Ich musste bei "Policy" Remote-Network-Resource das entfernte netz mit x.x.x.0 angeben. Hatte dort erst das Netz des Clients angegeben.
aqui
Lösung aqui 17.03.2023 um 22:54:10 Uhr
Goto Top
Remote-Network-Resource das entfernte netz mit x.x.x.0 angeben.
Sollte man als Netzwerk Admin aber auch wissen das Das Netzwerk immer mit allen Hostbits auf 0 angegeben wird. Das lernt der Azubi im ersten Lehrjahr! face-wink

Folge der Original Anleitung von AVM, damit klappt das sofort:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/2275_VPN-zur- ...

Wie gesagt diese ganze Frickelei mit überflüssigen, separaten VPN Clients kannst du dir ersparen wenn du VPN Hardware einsetzt die L2TP oder IKEv2 supportet!
Andi-75
Andi-75 18.03.2023 um 18:15:54 Uhr
Goto Top
Werde mir mal ein paar Vpn-Router mit diesen Eigenschaften anschauen. Kosten ja nicht wirklich viel.
Aber ich finde das auf der Fritz of auch super. Ich wusste das nicht, dass ich darauf gleichzeitig mehr vpn-zugänge anlegen kann.
Dankeschön.
aqui
aqui 19.03.2023 aktualisiert um 09:55:50 Uhr
Goto Top
Ich wusste das nicht
Noch viel lernen du noch musst! hätte Meister Yoda da sicher gesagt...
Eine FritzBox hat aber als billige Plaste Consumerbox in einem Firmennetzwerk eigentlich nichts zu suchen. Aber die Grenzen sind da fliessen und in deinem Mikronetz sicher noch tolerabel. Wenn sie dir aber reicht warum dann umsehen wenn du alles damit auch erledigen kannst?! Wäre dann ja sinnfrei.

Wenn du es allerdings richtig und professionell machen willst besorge dir einfach eine fertige Firewall Appliance von der Stange, flashe dir eine OPNsense oder pfSense drauf und fertig ist dein perfekter VPN Server für Client Dialin VPNs als auch für Standort Kopplung per VPN. Gleichzeitig und mit Firewall natürlich... face-wink
https://www.amazon.de/Industrial-Firewall-OPNsense-Security-Appliance/dp ...
Ein gescheiter Mikrotik Router tut es natürlich auch:
https://www.varia-store.com/de/produkt/394303-rb4011igs-rm-router-der-rb ...
Andi-75
Andi-75 19.03.2023 um 17:26:00 Uhr
Goto Top
Noch viel lernen du noch musst! hätte Meister Yoda da sicher gesagt...
Ja ne is klar. Aber ich befasse mich gerne selbst damit. Müsste ich 200 User im Schichtbetrieb betreuen würde ich es sicher auch nicht selbst machen.
Ich halte nur die Kosten für externe EDV für eine Firma mit 5 MA etwas übertrieben und mich interessiert es wie gesagt auch selbst.
Unser sog. "SERVER" war bis vor Kurem ein kleiner Win10-PC. Bei einem Totalausfall hätte ich in 60 Minuten aufgrund Backup und keinen DC alles wieder flott gehabt.
Und - es läuft alles flott und absolut problemlos.
Jetzt hab ich halt mal nen Server und baue alles den Anforderungen entsprechen aus.
Und wenn ich dazu Hilfe bekomme, bin ich sehr froh. Ganz unbedarft bin ich ja jetzt auch nicht.


Eine FritzBox hat aber als billige Plaste Consumerbox in einem Firmennetzwerk eigentlich nichts zu suchen. Aber die Grenzen sind da fliessen und in deinem Mikronetz sicher noch tolerabel. Wenn sie dir aber reicht warum dann umsehen wenn du alles damit auch erledigen kannst?! Wäre dann ja sinnfrei.

Hab ich mir auch schon gedacht, aber das kann ich ja mal schnell ändern.


Wenn du es allerdings richtig und professionell machen willst besorge dir einfach eine fertige Firewall Appliance von der Stange, flashe dir eine OPNsense oder pfSense drauf und fertig ist dein perfekter VPN Server für Client Dialin VPNs als auch für Standort Kopplung per VPN. Gleichzeitig und mit Firewall natürlich... face-wink
https://www.amazon.de/Industrial-Firewall-OPNsense-Security-Appliance/dp ...
Ein gescheiter Mikrotik Router tut es natürlich auch:
https://www.varia-store.com/de/produkt/394303-rb4011igs-rm-router-der-rb ...

Sollte es mit der Fritze Probleme geben, kommt so ein Teil her. Aber dann eher Dein 2. Vorschlag, da es keine Windows-Kiste is.

Ich hätte da auch schon mal was von zyxel angeguckt. Wäre das auch was?
https://www.notebooksbilliger.de/zyxel+usg+flex+50+firewall+usgflex50+eu ...
aqui
aqui 20.03.2023 aktualisiert um 09:35:11 Uhr
Goto Top
Aber ich befasse mich gerne selbst damit.
Sehr löblich!! face-wink
Sollte es mit der Fritze Probleme geben
Das ist dann eher die dilettantische Bastlerlösung. Zum Thema Fritten in Firmennetzen ist hier schon alles gesagt worden.

Kram dir einen ausgesonderten PC raus oder nimm den vorherigen "kleiner Win10-PC" von oben, stecke eine 2te 4 Euro Netzwerkkarte rein und flashe dir da ne OPNsense oder pfSense Firewall Firmware drauf!
Fertig ist dein Firewall Übungssystem zum Üben und selbst befassen!!
Damit kannst du dir in Ruhe ALLE bekannten VPN Protokolle und Konzepte antun, in Ruhe üben und dir ein Bild machen. Genug Forentutorials dazu findest du hier. Das Wissen ist dann unbezahlbar.

Dann migrierst du diese Firewall auf eine entsprechende Hardware für den Produktiveinsatz und fertig ist eine perfekte Universallösung für dich.
Einfacher, besser und vor allem kostenschonender für dein Umfeld gehts doch nun wirklich nicht.
Andi-75
Andi-75 20.03.2023 um 12:25:38 Uhr
Goto Top
Das hört sich sehr interessant an.
Werde mich da mal reingraben.

Danke Dir für die vielen Tips.

Andi
aqui
aqui 20.03.2023, aktualisiert am 21.03.2023 um 16:01:33 Uhr
Goto Top
Das hört sich sehr interessant an.
Das ist es auch und du kannst sehr viel Interessantes dabei lernen zum Thema VPN und remoten Access. Und wenn's mal kneift einfach hier fragen. face-wink

Wie gesagt, die Installation ist kinderleicht:
  • HIER den USB Memstick Installer runterladen
  • Mit dem kostenlosen Balena Etcher und dem o.a. Image einen bootbaren USB Stick generieren
  • Damit den PC booten und das Firewall Image installieren
  • Reboot und fertisch ist deine VPN fähige Firewall! face-wink
Alles weitere findest du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät