Zugang von außen für Mitarbeiter
Hallo zusammen,
bisher musste ich mich mit dem Thema nicht beschäftigen, auch fehlte mir bisher die Zeit dazu.
Nun kommt gerade mein Chef und fragt mich, ob und wie man von außen auf das lokale Netz zugreifen kann. Ich hab da zwar ein paar Begriffe im Kopf aber nur sehr gefährliches Halbwissen. Vielleicht könnte sich ja jemand ein paar Minuten Zeit nehmen und mir ein paar Dinge erklären.
Gegeben ist:
- SDSL-Zugang mit fester IP-Adresse
- 1x Firewall auf Basis von IPCop
- 1x Exchange 2003 auf W2K3, Mails kommen direkt auf Port 25 rein (MX-Eintrag beim Provider zeigt hierher)
- 1x W2K3 Fileserver und kleine Datenbankapplikation
- 1x W2K3-Server für Symantec AntiVirus
- 1x W2K3-Server für WSUS (wird noch eingerichtet)
Ziel soll sein, dass sich 2-3 User (später vielleicht 5-10 mehr) von zu Hause im lokalen Firmennetz "bewegen" können als säßen sie am Arbeitsplatz. Eine Lösung über direkte Einwahl (Modem/ISDN) möchte ich vermeiden. Ein Bekannter hat mir nun den Begriff bzw. die Software "OpenVPN" gegeben. Ahnung habe ich davon allerdings (noch!) nicht wirklich.
So, das ist mal das Grundlegende. Vielleicht kann mir jemand mit den gegebenen Daten schon helfen oder zumindest Hinweise geben welche Informationen ich noch liefern muss. Was benötige ich an zusätzlicher Hardware, was an Software?
Grüße,
Ingo
bisher musste ich mich mit dem Thema nicht beschäftigen, auch fehlte mir bisher die Zeit dazu.
Nun kommt gerade mein Chef und fragt mich, ob und wie man von außen auf das lokale Netz zugreifen kann. Ich hab da zwar ein paar Begriffe im Kopf aber nur sehr gefährliches Halbwissen. Vielleicht könnte sich ja jemand ein paar Minuten Zeit nehmen und mir ein paar Dinge erklären.
Gegeben ist:
- SDSL-Zugang mit fester IP-Adresse
- 1x Firewall auf Basis von IPCop
- 1x Exchange 2003 auf W2K3, Mails kommen direkt auf Port 25 rein (MX-Eintrag beim Provider zeigt hierher)
- 1x W2K3 Fileserver und kleine Datenbankapplikation
- 1x W2K3-Server für Symantec AntiVirus
- 1x W2K3-Server für WSUS (wird noch eingerichtet)
Ziel soll sein, dass sich 2-3 User (später vielleicht 5-10 mehr) von zu Hause im lokalen Firmennetz "bewegen" können als säßen sie am Arbeitsplatz. Eine Lösung über direkte Einwahl (Modem/ISDN) möchte ich vermeiden. Ein Bekannter hat mir nun den Begriff bzw. die Software "OpenVPN" gegeben. Ahnung habe ich davon allerdings (noch!) nicht wirklich.
So, das ist mal das Grundlegende. Vielleicht kann mir jemand mit den gegebenen Daten schon helfen oder zumindest Hinweise geben welche Informationen ich noch liefern muss. Was benötige ich an zusätzlicher Hardware, was an Software?
Grüße,
Ingo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51854
Url: https://administrator.de/contentid/51854
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
7 Kommentare
Neuester Kommentar
G' Abend,
also OpenVPN ist auch eine Lösung. Ich bescheibe dir einfach mal, wie ich sowas mit Windows Boardmitteln gelöst habe.
Verfahren:
Die Benutzer wählen sich mit einem L2TP Tunnel auf den Server ein. Die Auth erfolgt anhand des ADS-Benutzers. Zusätzlich habe ich eine IPSec Verschlüsselung (http://de.wikipedia.org/wiki/IPsec) aktiviert (gemeinsamer Schlüssel).
Aufbau:
Ich habe nur 1 Netzwerkkarte im Server. Die entsprechenden Ports (UDP 500, UDP 1701, UDP 4500) habe ich auf die Server IP-Adresse geforwardet. Die IP-Adressen kannst du per DHCP verteilen lassen oder aber über einen statischen Pool (RAS Dienst) vergeben werden.
Somit hängt er virtuell im Firmennetz und kann alles aufrufen, als würde er im LAN hängen.
Hier noch eine kl. Infoseite:
http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm
Dort wird alles genau erklärt und was für ev. Probleme auftauchen könnten.
Grüße
Dani
also OpenVPN ist auch eine Lösung. Ich bescheibe dir einfach mal, wie ich sowas mit Windows Boardmitteln gelöst habe.
Verfahren:
Die Benutzer wählen sich mit einem L2TP Tunnel auf den Server ein. Die Auth erfolgt anhand des ADS-Benutzers. Zusätzlich habe ich eine IPSec Verschlüsselung (http://de.wikipedia.org/wiki/IPsec) aktiviert (gemeinsamer Schlüssel).
Aufbau:
Ich habe nur 1 Netzwerkkarte im Server. Die entsprechenden Ports (UDP 500, UDP 1701, UDP 4500) habe ich auf die Server IP-Adresse geforwardet. Die IP-Adressen kannst du per DHCP verteilen lassen oder aber über einen statischen Pool (RAS Dienst) vergeben werden.
Somit hängt er virtuell im Firmennetz und kann alles aufrufen, als würde er im LAN hängen.
Hier noch eine kl. Infoseite:
http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm
Dort wird alles genau erklärt und was für ev. Probleme auftauchen könnten.
Grüße
Dani
Warum nur so einen Aufwand wenn du schon so was Tolles wie den IPCop betreibst ???
Die IPCop Seite hat viele gute Dokus zum Aufbau von VPN Verbindungen mit IPCop...
http://www.ipcop.org/1.2.0/en/vpn/html/
http://www.heise.de/security/artikel/38014/0
Sonst generell bei ipcop.org unter Documentation
Oder du richtest ganz einfach unter Win2k3 einen PPTP Server ein, dann kannst du mit Windows Bordmitteln auf den Server zugreifen. Das erfordert aber das du in der Firewall TCP 1723 und das GRE Protokoll freigibst !!!
Die IPCop Seite hat viele gute Dokus zum Aufbau von VPN Verbindungen mit IPCop...
http://www.ipcop.org/1.2.0/en/vpn/html/
http://www.heise.de/security/artikel/38014/0
Sonst generell bei ipcop.org unter Documentation
Oder du richtest ganz einfach unter Win2k3 einen PPTP Server ein, dann kannst du mit Windows Bordmitteln auf den Server zugreifen. Das erfordert aber das du in der Firewall TCP 1723 und das GRE Protokoll freigibst !!!
Hi,
Kl. Zitat:
Klar...es ist immer eine Frage der Sicherheit. Sprich, wie sicher soll deine Verbindung sein bzw. vielleicht gibt es auch Vorschriften o.ä.
Grüße
Dani
Warum nur so einen Aufwand wenn du schon so was Tolles wie den IPCop betreibst ???
Kl. Zitat:
9. Umstellung des verwendeten Tunnels von PPTP auf L2TP
Zur Vergößerung der Sicherheit im verwendeten Tunnels wird dieser von PPTP (Point-to-
Point-Tunneling Protocol) auf einen L2TP (Layer-Two Tunneling Protocol) umgestellt. Mit
L2TP ist es erst möglich innerhalb der Verbindung IPSec zu tunneln. Diese Möglichkeit ist im
PPTP nicht gegeben. PPTP verschlüsselt die Pakete nach einem RC4 Verfahren mit 40, 56
oder 128 Bit (welches wir eingestellt hatten), aber hat keine Integritätsprüfung der Pakete
implemetiert und kann nicht zusammen mit IPSec verwendet werden.
Grüße
Dani