16
Wie VPN in Zeiten von HomeOffice einfach gestalten
Moin!
Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten.
Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über die Jahre einfach gewachsen ist und wir nicht jeden Kunden neu aufgesetzt haben.
Wie geht Ihr das an ?
Was ist für Euch die Ideale Lösung um VPN einfach bedienbar zu gestalten ?
Wir haben Handwerker als Endkunden, da muss es Simpel und am Besten von Überall und mit nahezu jedem Endgerät spontan möglich sein in sein Firmennetz zu kommen.
Ich bin gespannt auf regen Austausch !
Grüße
Robin
Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten.
Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über die Jahre einfach gewachsen ist und wir nicht jeden Kunden neu aufgesetzt haben.
Wie geht Ihr das an ?
Was ist für Euch die Ideale Lösung um VPN einfach bedienbar zu gestalten ?
Wir haben Handwerker als Endkunden, da muss es Simpel und am Besten von Überall und mit nahezu jedem Endgerät spontan möglich sein in sein Firmennetz zu kommen.
Ich bin gespannt auf regen Austausch !
Grüße
Robin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 642589
Url: https://administrator.de/contentid/642589
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Also wenn es schnell gehen sollte, ist vermutlich ein RDS-Host mit passendem RDS Gateway besser und schneller, als irgendeine VPN-Lösung. Brauchst nur den RDP-Client von Microsoft, den es für sehr viele Plattformen gibt.
Eine VPN-Verbindung wäre dagegen universeller einsetzbar und da bevorzuge ich eine Cisco ASA mit Anyconnect.
Wichtig ist eine 2FA-Lösung.
Eine VPN-Verbindung wäre dagegen universeller einsetzbar und da bevorzuge ich eine Cisco ASA mit Anyconnect.
Wichtig ist eine 2FA-Lösung.
1
moin...
natürlich RDP, allerdings nur über VPN....
was für Router haben den eure Kunden?
Cisco mit Anyconnect ist schon mal nicht falsch....
Frank
natürlich RDP, allerdings nur über VPN....
was für Router haben den eure Kunden?
Cisco mit Anyconnect ist schon mal nicht falsch....
Frank
Moin,
hier wird das mittels RDP über eine VPN Verbindung mit 2-FA erledigt.
Gruß
Uwe
hier wird das mittels RDP über eine VPN Verbindung mit 2-FA erledigt.
Gruß
Uwe
1
Moin,
hier läuft 'nen Citrix Netscaler und die passende Citrix-Infrastruktur.
Von extern wird ein SSL-VPN aufgebaut, Einwahl ebenfalls via 2FA
SSL-VPN hat den Vorteil, dass es in aller Regel überall da läuft, wo man Internet hat.
Ansonsten RDP + VPN
Spannend wäre, wer ihr seid.
Seid ihr ein Systemhaus, könnte man überlegen, ob ihr mittelfristig nicht für eure Kunden eine eigene Infrastruktur betreibt, die die Kunden dann Mieten können.
Sicherlich erfordert das Kapazitäten in einem zentralen RZ und KnowHow für die Implementierung und Absicherung, aber langfristig für euch womöglich von Vorteil: Grundsätzlich einheitliche Umgebungen, ich braucht quasi nur einmal einen generellen Zugangspunkt anlegen, etc.
Könnte man mit einer VDI-Lösung realisieren. ABer hier gibt es immer viele Weg nach Rom...
Lohnt aber nur, wenn ihr ausreichend (zahlungswillige) Kunden habt. Für kleinere Handwerker aber sicherlich ebenfalls eine mögliche Alternative...
Gruß
em-pie
hier läuft 'nen Citrix Netscaler und die passende Citrix-Infrastruktur.
Von extern wird ein SSL-VPN aufgebaut, Einwahl ebenfalls via 2FA
SSL-VPN hat den Vorteil, dass es in aller Regel überall da läuft, wo man Internet hat.
Ansonsten RDP + VPN
Spannend wäre, wer ihr seid.
Seid ihr ein Systemhaus, könnte man überlegen, ob ihr mittelfristig nicht für eure Kunden eine eigene Infrastruktur betreibt, die die Kunden dann Mieten können.
Sicherlich erfordert das Kapazitäten in einem zentralen RZ und KnowHow für die Implementierung und Absicherung, aber langfristig für euch womöglich von Vorteil: Grundsätzlich einheitliche Umgebungen, ich braucht quasi nur einmal einen generellen Zugangspunkt anlegen, etc.
Könnte man mit einer VDI-Lösung realisieren. ABer hier gibt es immer viele Weg nach Rom...
Lohnt aber nur, wenn ihr ausreichend (zahlungswillige) Kunden habt. Für kleinere Handwerker aber sicherlich ebenfalls eine mögliche Alternative...
Gruß
em-pie
1
Wir waren eigentlich mal eine Softwarebude für Handwerkersoftware.
Mit der Zeit kam dann vor Jahren die Anfrage zwecks Hardware - also alles Richtung Systemhaus gewandert.
Leider haben die Kundensysteme die wir übernehmen sollen, bzw Remotefähig aufbauen sollen häufig zig verschiedene Router.
Zum testen ob das überhaupt so läuft wie sich das der Endkunde wünscht, wird meist ne einwöchige simple RDP Testsession gemacht.
Danach wird festgestellt ob aufgrund der anliegenden Bandbreite etc. überhaupt ein akzeptable Reaktionszeit vorhanden war.
Da das natürlich nicht sicher ist, wird das auch danach deaktiviert und geschaut was, wo wie.
Und ab da gibts ja tausend Wege das ganze sicher zu gestalten.
Der Wille etwas dafür zu berappen, seitens der Kundschaft, ist häufig da.
Nur bei so vielen verschiedenen Netzwerken, Routern, Firewall (falls überhaupt vorhanden) und Endgeräten fehlt mir einfach die eierlegende Wollmilchsau, die ich nahezu in jedem Fall anwenden kann.
Erst Heute wurde ein Fremdnetzwerk an uns herangetragen.
FritzBox 7590 vorhanden
3 Notebooks, die Remote auf 3 Desktoprechner zugreifen möchten
Dazu noch der Chef, der bislang auf eine Hyper-V Win10 Maschine zugreift.
Natürlich hat der noch einen PC zu Hause der darauf zugreifen soll und diverse Apple Geräte(MacBook Pro Mid 2017 und iPad Pro12")
Derzeit sind die Office FritzBox und die Home FritzBox miteinander verbunden, worüber der HomeOffice Platz simpel mit der IP auf die RDP Session im Büro kommt.
Die Notebooks hingegen sind für die Mitarbeiter, die leider zu Hause keine FritzBox besitzen.
Nun könnte ich einen DDNS aufsetzen (da keine feste IP möglich), evtl. ShrewSoft nutzen (leider outdated) und das ganze zusammenführen.
So ganz gefällt mir das Setup aber absolut gar nicht.
Wenn Ihr den "Serverraum" sehen würdet - JEDER würde schreiend davon rennen.
Mit der Zeit kam dann vor Jahren die Anfrage zwecks Hardware - also alles Richtung Systemhaus gewandert.
Leider haben die Kundensysteme die wir übernehmen sollen, bzw Remotefähig aufbauen sollen häufig zig verschiedene Router.
Zum testen ob das überhaupt so läuft wie sich das der Endkunde wünscht, wird meist ne einwöchige simple RDP Testsession gemacht.
Danach wird festgestellt ob aufgrund der anliegenden Bandbreite etc. überhaupt ein akzeptable Reaktionszeit vorhanden war.
Da das natürlich nicht sicher ist, wird das auch danach deaktiviert und geschaut was, wo wie.
Und ab da gibts ja tausend Wege das ganze sicher zu gestalten.
Der Wille etwas dafür zu berappen, seitens der Kundschaft, ist häufig da.
Nur bei so vielen verschiedenen Netzwerken, Routern, Firewall (falls überhaupt vorhanden) und Endgeräten fehlt mir einfach die eierlegende Wollmilchsau, die ich nahezu in jedem Fall anwenden kann.
Erst Heute wurde ein Fremdnetzwerk an uns herangetragen.
FritzBox 7590 vorhanden
3 Notebooks, die Remote auf 3 Desktoprechner zugreifen möchten
Dazu noch der Chef, der bislang auf eine Hyper-V Win10 Maschine zugreift.
Natürlich hat der noch einen PC zu Hause der darauf zugreifen soll und diverse Apple Geräte(MacBook Pro Mid 2017 und iPad Pro12")
Derzeit sind die Office FritzBox und die Home FritzBox miteinander verbunden, worüber der HomeOffice Platz simpel mit der IP auf die RDP Session im Büro kommt.
Die Notebooks hingegen sind für die Mitarbeiter, die leider zu Hause keine FritzBox besitzen.
Nun könnte ich einen DDNS aufsetzen (da keine feste IP möglich), evtl. ShrewSoft nutzen (leider outdated) und das ganze zusammenführen.
So ganz gefällt mir das Setup aber absolut gar nicht.
Wenn Ihr den "Serverraum" sehen würdet - JEDER würde schreiend davon rennen.
Naja, den Wildwuchs wirst du nicht eher los, bis dass ihr für euch einen Standard überlegt, den ihr euren Kunden anbieten könnt.
Mal als Beispiel, wenn ihr da in den Heimwerkerbüros mal 'ne Fritzbox, mal 'nen Speedport, mal diese komischen UnityMedia/ Vodafone irgendwas Kisten, etc. vorfindet, platziert im dortigen Netz irgendeinen Standard.
Im WorstCase:
Wenn im Falle des Falls am WAN-Anschluss CGN betrieben wird, bräuchtet ihr ggf. bei euch (ein gemieteter Server o.Ä.) einen Zugangspunkt:
pfSense baut den Tunnel dorthin auf, die Chefs/ TEchniker im Außeneinsatz bauen ebenfalls den Tunnel "zu euch" auf und über ein passendes Routing werden die Büros mit den Clients "gemapped".
Anleitungen für VPN auf einer pfSense gibbet hier vom Kollegen @aqui:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Mal als Beispiel, wenn ihr da in den Heimwerkerbüros mal 'ne Fritzbox, mal 'nen Speedport, mal diese komischen UnityMedia/ Vodafone irgendwas Kisten, etc. vorfindet, platziert im dortigen Netz irgendeinen Standard.
Im WorstCase:
- Ein APU-Board (z.B. APU2E4), bestückst mit einer pfSense
- davor ein geeignetes Modem,
- bei DSL gerne gesehen: Draytek Vigor 130/165
- die vorhandene Fritte mit einer eingerichteten statischen Route
- auf der pfSense ein OpenVPN anlegen und fertig.
Wenn im Falle des Falls am WAN-Anschluss CGN betrieben wird, bräuchtet ihr ggf. bei euch (ein gemieteter Server o.Ä.) einen Zugangspunkt:
pfSense baut den Tunnel dorthin auf, die Chefs/ TEchniker im Außeneinsatz bauen ebenfalls den Tunnel "zu euch" auf und über ein passendes Routing werden die Büros mit den Clients "gemapped".
Anleitungen für VPN auf einer pfSense gibbet hier vom Kollegen @aqui:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
1
Hi,
Entweder im Auftrag implementiert oder als "Managed Service".
- Citrix ADC/Gateway, auch "clientless" per Browser, MFA
- S2S VPN über vorkonfigurierte Hardware
- klassischer VPN Client (IPsec, OpenVPN), MFA
- TeamViewer/AnyDesk, MFA
Entweder im Auftrag implementiert oder als "Managed Service".
1
Hallo!
wir haben für unsere Kunden zwei Musterlösungen im Angebot:
1.) IKEv2 basierter Always On VPN Device-Tunnel für die Windows Geräte. Anmeldung am VPN erfolgt per Zertifikat und die Geräte sind alle verschlüsselt (Bitlocker TPM + PIN/USB-Key). Das bieten wir hauptsächlich für "reifere" Kunden an, die schon eine passende IT-Infrastruktur vor Ort oder bei uns im RZ haben. Wird auch sehr gut angenommen, da der VPN automatisch funktioniert, sobald das Gerät nicht mehr in der Firma ist. Und der Supportaufwand ist auch vergleichsweise gering.
2.) OpenVPN basierter User-Tunnel. Der Kunde hat vor Ort eine OPNSense Appliance, die als OpenVPN-Server fungiert. Die Anmeldung erfolgt per Zertifikat und Username + Passwort (idR. LDAP). Der User baut den Tunnel bei Bedarf über den Client auf - hier setzen wir schon eine Weile auf Viscosity, da wir einiges per GPO vorgeben können und die Lizenzen zu einem fairen Preis zu bekommen sind. Für Kunden, die Infrastruktur bei uns im RZ haben, setzen wir normalerweise auch dort den OpenVPN Server auf und binden den Kundenstandort dann per Site2Site-VPN an.
Grüße
Daniel
wir haben für unsere Kunden zwei Musterlösungen im Angebot:
1.) IKEv2 basierter Always On VPN Device-Tunnel für die Windows Geräte. Anmeldung am VPN erfolgt per Zertifikat und die Geräte sind alle verschlüsselt (Bitlocker TPM + PIN/USB-Key). Das bieten wir hauptsächlich für "reifere" Kunden an, die schon eine passende IT-Infrastruktur vor Ort oder bei uns im RZ haben. Wird auch sehr gut angenommen, da der VPN automatisch funktioniert, sobald das Gerät nicht mehr in der Firma ist. Und der Supportaufwand ist auch vergleichsweise gering.
2.) OpenVPN basierter User-Tunnel. Der Kunde hat vor Ort eine OPNSense Appliance, die als OpenVPN-Server fungiert. Die Anmeldung erfolgt per Zertifikat und Username + Passwort (idR. LDAP). Der User baut den Tunnel bei Bedarf über den Client auf - hier setzen wir schon eine Weile auf Viscosity, da wir einiges per GPO vorgeben können und die Lizenzen zu einem fairen Preis zu bekommen sind. Für Kunden, die Infrastruktur bei uns im RZ haben, setzen wir normalerweise auch dort den OpenVPN Server auf und binden den Kundenstandort dann per Site2Site-VPN an.
Grüße
Daniel
1
Was ist für Euch die Ideale Lösung um VPN einfach bedienbar zu gestalten ?
Heutzutage ja kinderleicht....Firewall so konfigurieren das man bei allen Betriebssystemen (Windows, Apple, Smartphones etc.) übergreifend den bordeigenen VPN Client benutzt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Für die Clients ist es dann an simpler Doppelklick:
https://www.heise.de/select/ct/2017/19/1505072179377781
Sowas kann auch der schlimmste DAU einfach und problemlos bedienen und solche einfachen VPN Binsenweisheiten muss man in Zeiten von Homeoffice eigentlich nicht mehr in einem Forum erfragen.
Zum Rest ist oben ja schon alles gesagt !
Seltsam - Jeder andere Kommentar war hilfreich, ohne sich gleich zu profilieren.
Ich bin Jung und lebe nach der Devise: Man lernt Nie aus. Ich frage lieber einmal mehr nach und mache es dann richtig.
Hoffe du fühlst dich nun besser !
Ich bin Jung und lebe nach der Devise: Man lernt Nie aus. Ich frage lieber einmal mehr nach und mache es dann richtig.
Hoffe du fühlst dich nun besser !
1
Sehr viel besser !! 😉
https://avm.de/service/vpn/uebersicht/
Es muss ja nicht immer gleich eine Site to Site Kopplung sein wie oben. Aus Sicherheitsgründen und vermutlich IP Adressierungsgründen so oder so ein NoGo...aber egal.
Die Notebooks hingegen sind für die Mitarbeiter, die leider zu Hause keine FritzBox besitzen.
Die brauchen sie ja auch gar nicht. Dafür hat AVM intelligenterweise den kostenlosen FritzBox Fernzugang im Portfolio. Damit können sich die Laptops kinderleicht auf die vorhandene Office FritzBox per VPN einwählen und fertig ist deine HomeOffice VPN Lösung:https://avm.de/service/vpn/uebersicht/
Es muss ja nicht immer gleich eine Site to Site Kopplung sein wie oben. Aus Sicherheitsgründen und vermutlich IP Adressierungsgründen so oder so ein NoGo...aber egal.
Wie gesagt - das ist der derzeitige Situation, die ich gerne anpassen würde und gleichzeitig für kommende Anfragen als Beispiellösung aus dem Hut zaubern kann.
Die Site-Site Config stammt vom unbekannten Vorgänger.
Generell steht dort eine komplette Reorganisation an, wenn es für die Handwerker Richtung Sommer etwas weniger stressig wird.
Derzeit schaue ich mir die, mir bisher unbekannten, Lösungsansätze an und versuche einen Standard zu setzen.
Danke für Eure Infos !
Die Site-Site Config stammt vom unbekannten Vorgänger.
Generell steht dort eine komplette Reorganisation an, wenn es für die Handwerker Richtung Sommer etwas weniger stressig wird.
Derzeit schaue ich mir die, mir bisher unbekannten, Lösungsansätze an und versuche einen Standard zu setzen.
Danke für Eure Infos !
Moin,
mal gut zu wissen, wie die anderen Kollegen das ganze so umsetzen. Daher eine gute Frage zum Austausch und gerade jetzt besonders wichtig.
Was mir bei der ganzen Sache Bauchschmerzen bereitet, ist das Problem hinsichtlich der Sicherheit - aber auch dem Datenschutz - denn manche Arbeitgeber wollen halt einfach auch nicht, dass Daten außerhalb der Firma bearbeitet werden. HomeOffice sagt sich immer so leicht, wenn man technisch davon keine Ahnung hat. Das Netzwerk bei denen zu Hause ist ja meist unbekannt, mit zig anderen Geräten die dort drinnen hängen. Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll. Wie geht ihr damit um?
Viele Grüße
Trommel
mal gut zu wissen, wie die anderen Kollegen das ganze so umsetzen. Daher eine gute Frage zum Austausch und gerade jetzt besonders wichtig.
Was mir bei der ganzen Sache Bauchschmerzen bereitet, ist das Problem hinsichtlich der Sicherheit - aber auch dem Datenschutz - denn manche Arbeitgeber wollen halt einfach auch nicht, dass Daten außerhalb der Firma bearbeitet werden. HomeOffice sagt sich immer so leicht, wenn man technisch davon keine Ahnung hat. Das Netzwerk bei denen zu Hause ist ja meist unbekannt, mit zig anderen Geräten die dort drinnen hängen. Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll. Wie geht ihr damit um?
Viele Grüße
Trommel
Tag,
da ist der oben von den Kollegen empfohlene Weg über VPN + RDP der einzig vernünftige. Die Daten bleiben allesamt auf dem RDP, bzw. in der Infrastruktur der Firma und das Gerät zuhause wird nur noch zum Angucken benötigt.
Die Verbindungen in die Firma baue ich soweit möglich immer mit OpenVPN (läuft auf allen gängigen Clients).
In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.
Gruß
Looser
da ist der oben von den Kollegen empfohlene Weg über VPN + RDP der einzig vernünftige. Die Daten bleiben allesamt auf dem RDP, bzw. in der Infrastruktur der Firma und das Gerät zuhause wird nur noch zum Angucken benötigt.
Die Verbindungen in die Firma baue ich soweit möglich immer mit OpenVPN (läuft auf allen gängigen Clients).
Noch schlimmer, wenn VPN von privaten Geräten gestartet werden soll.
In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.
Gruß
Looser
Zitat von @Looser27:
In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.
Ergänzt darum, dass per GPO keinerlei lokalen Geräte (Speichersticks, Drucker, Zwischenablage, ...) zwischen dem Client und dem RDP-Ziel ausgetauscht werden könnenNoch schlimmer, wenn VPN von privaten Geräten gestartet werden soll.
In dem Fall hilft nur den gesamten Traffic über den Tunnel zu zwingen und dann über eine lokale Firewall / Router Kombi entsprechend zu steuern.
Moin,
Als Alternative fällt mir Apache Guacamole ein. Ist ein paar Nummern kleinern und erst einmal kostenlos. Besitzt ebenfalls eine HTML5 Oberfläche und ist für kleine Nutzerzahlen performant. Wird auf grund der Entwicklung unter Apache Tomcat und damit primär unter Linux installiert.
Gruß,
Dani
Wie geht Ihr das an ?
wir setzen seit Jahren eine Virtual Deskop Infrastructure (VDI) ein. Wir nutzen dafür VMware Horizon und 90% der IT-Arbeitsplätze sind virtualisiert. Damit verbunden wird für mobiles Arbeiten / Home office (sprich externer Zugriff) der HTML5 Client genutzt. Wenn es Probleme mit der Internetanbindung des Nutzers gibt, kommt der VMware Horizon Client zum Einsatz.Als Alternative fällt mir Apache Guacamole ein. Ist ein paar Nummern kleinern und erst einmal kostenlos. Besitzt ebenfalls eine HTML5 Oberfläche und ist für kleine Nutzerzahlen performant. Wird auf grund der Entwicklung unter Apache Tomcat und damit primär unter Linux installiert.
Gruß,
Dani
