Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zugriff auf Webserver im LAN - SSL VPN sinnvoll?

Mitglied: Alforno

Alforno (Level 1) - Jetzt verbinden

08.02.2010, aktualisiert 18.10.2012, 9901 Aufrufe, 11 Kommentare, 1 Danke

Hallo,

wir planen im vorhandenen LAN (1 Windows Server 2003 und 9 Clients alle XP Pro) einen Webserver aufzusetzen. Derzeit verwenden wir als Router einen Draytek 2200.
Unsere 15 Außendienstmitarbeiter sollen Zugriff auf den Webserver bekommen. Auf dem Webserver läuft eine Applikation, die auf unsere ERP Lösung zugreift.
Dies wird per UMTS geschehen. Hierbei tauchen ja schon die ersten Stolpersteine auf.

Jetzt stellt sich die Frage ob man den Webserver direkt im I-Net verfügbar macht oder den Zugriff lieber per VPN realisiert.
Die Außendienstmitarbeiter benötigen zunächst nur Zugriff auf den Webserver. Andere Ressourcen im Netz müssen nicht verfügbar sein. Dies kann sich aber ändern.

Ich habe nun eine Lösung per SSL VPN ins Auge gefasst. Sinnvoll?

Ich hab mir den Draytek 2930 angesehen, preislich absolut im Rahmen des Budgets.
Ich bin aber auch für andere Vorschläge offen.

Uns geht es vorallendingen um das Thema Sicherheit.
Ist die Herangehensweise mit dem SSL VPN die Richtige oder verlagern wir nur das Problem? Letzendlich muss ich mich dann auf die Webapplikation des Draytek verlassen.

Würde mich über Anregungen oder Lösungsvorschläge freuen.

mfg
Alforno
Mitglied: brammer
09.02.2010 um 06:11 Uhr
Hallo,

den Webserver direkt ins Interent zu hängen halte ich für die schlechteste der denkbaren Möglichkeiten, zumindest wenn nur ein paar Außendienstler darauf zu greifen sollen.
Ein VPN Tunnel, egal ob SSL oder IPSec (welches der Draytek auch kann...) ist hier wohl besser.
Das du dich immer der Software irgendeines Herstellers auslieferst sollte dir Klar sein...

brammer
Bitte warten ..
Mitglied: lex1987
09.02.2010 um 09:44 Uhr
wenn man den web-server per https verschlüsselt sollte es eigentlich auch funktionieren. aber wenn es nicht so der große aufwand ist wäre es besser ssl vpn zu machen, wenn später z.b. terminalserver eingesetzt wird muss man die vpn verbindung dann nicht extra einrichten.
Bitte warten ..
Mitglied: aqui
09.02.2010, aktualisiert 18.10.2012
.
Brammer hat Recht. Für einen direkten Zugriff müsstest du ein Loch in die Firewall des Draytek bohren. Mit Port Translation (Verschleierung) und HTTPS wäre das einigermaßen vertretbar ist aber sicherheitstechnisch die schlechteste Lösung.
VPN oder SSL VPN ist da schon erheblich sicherer, allein schon aus der Tatsache das du sehen kannst WER auf diese Seite zugreift.
Mit deinem jetzigen Draytek kannst du mit 3 Mausklicks ein PPTP VPN einrichten und das mit den bordeigenen VPN Clients der Außendienstmitarbeiter mal testen.
Problematisch ist bei UMTS/GSM VPN Zugriff aber immer das hier:
https://www.administrator.de/forum/vpn-per-umts-karte-tunnel-steht-aber- ...
was dann Änderungen an Verträgen, APN, Tarifen usw. nach sich ziehen kann.
Ein SSL_VPN z.B. mit dem Draytek 2930 löst das natürlich elegant und hat die gleiche Sicherheit wie ein normales VPN nur das es eben über eine SSL Verbindung Browser basierend geschickt wird.
Dies ist eine erhebliche Erleichterung für die externen Mitarbeiter, da sie keine Sorge mit NAT usw. an Hotspots und Mobilnetzen haben und lediglich ein User/Passwort im Browser angeben.
Die kostenlose Alternative ist dann OpenVPN auf dem Server zu installieren. Sie erfordert aber einen Client auf dem Endgerät.
Bitte warten ..
Mitglied: Alforno
09.02.2010 um 12:36 Uhr
Ich danke euch für die Antworten.
Demnach halte ich die Lösung per SSL für sinnvoll.

Jetzt interessiert mich noch eure Meinung zum Draytek.
Der 2930 ist ja relativ günstig.

Reicht das aus, oder gibt es in dem Bereich bis 400 Euro bessere Geräte?

Eine Frage habe ich noch zu SSL.
Bis jetzt habe ich mich damit nur am Rande beschäftigt.

Für die Verbindung wird doch auf dem Client ein Zertifikat benötigt.
Wie wird dieses installiert? Passiert dies beim ersten Anmelden oder muss dies händisch auf jedem Client erfolgen?

Danke im Voraus.
Alforno
Bitte warten ..
Mitglied: brammer
10.02.2010 um 06:26 Uhr
Hallo,

mit dem Draytek kannst du nicht wirklich was falsch machen, alternativ kannst du dir von Cisco mal die Baureihe 8xx ansehen.

brammer
Bitte warten ..
Mitglied: aqui
11.02.2010 um 11:52 Uhr
@Alforno
Es ist ein eigen genieriertes Zertifikat. Der Browser popt dann mit einer Warnmeldung auf ob man diesem Zertifikat vertrauen will. Entweder macht man das jedesmal neu oder vertraut ihm generell. Oder....lässt sich ein Zertifikat ausstellen und kopiert das auf den Router.
Ist also mehr oder minder ein kosmetisches Problem....
Bitte warten ..
Mitglied: Alforno
11.02.2010 um 18:40 Uhr
@aqui
Danke für die Erklärung.

Lässt sich der SSL VPN Zugriff generell mit Smartphones bewerkstelligen? Im Prinzip ist hierfür ja nur ein SSL fähiger Browser notwendig, oder?
Es ist leider noch keine Entscheidung gefallen, ob die Außendienstler zukünftig mit Laptop oder doch eher Smartphone (Iphone, HTC usw.) auf das LAN zugreifen sollen.

Ich habe mir heute auch noch Router bzw. Hardware Firewalls der Marke Zyxel angesehen.
Vielleicht kann mir ja noch jemand eine Alternative zum Draytek 2930 nennen oder ist das schon die Richtige Wahl?

Danke euch.

mfg
Alforno
Bitte warten ..
Mitglied: aqui
12.02.2010 um 15:21 Uhr
Der VPN Client wird von SSL VPN Gateways meist in Form von Java Applets oder Active-X auf die Clients geladen, wobei man bei Active-X lieber die Finger von lässt, denn das bindet einen fest an die Verwendung des doch eher unsicheren Internet Explorers und knechtet einen auf das MS Betriebssystem.
Mit Java steht einem die Welt da eher offen...auch mit IE wenn man ihn denn unbedingt verwenden will.
Draytek benutzt ein Java Applet.
Wenn also deine PDAs Java supporten dann sollte es klappen. Für iPhones kannst du so oder so auch PPTP VPN Zugriff parallele betreiben. Ist nur die Frage ob das sinnvoll ist..
Bitte warten ..
Mitglied: brammer
12.02.2010 um 18:59 Uhr
Hallo,

wie aqui schon schreibt SSL VPN mit Smartphones sollte klappen wenn dein Smartphone die Insel JAVA kennt .
Das kann dir der Hersteller beantworten

Was mich bei dieser Lösung nur abschreckt: Hast du schon mal versucht auf einem 2 - 4 Zoll großen Display eine Eingabe in ein ERP System (oder noch besser SAP!) zu machen?
Ein Kollege hat das mal versucht, er hat in einen Pappdeckel ein Loch in der größe eines 4 Zoll Displays geschnitten und diesen Pappdeckel auf einen 15 Zoll Touch geklebt.
Danach hat er versucht Daten einzugeben. Er sucht heute noch die Eingabefelder.

brammer
Bitte warten ..
Mitglied: Alforno
12.02.2010 um 19:21 Uhr
Wir haben die Webapplikation vorher getestet. Die Eingabe auf einem Iphone war in Ordnung.
Ich würde eher zu einem Netbook tendieren. Als Nachteil sehe ich da nur, dass es gegenüber einem Smartphone länger dauert bis man arbeiten kann.
Hochfahren, einloggen usw. dauert ebend doch.

Wenn von euch niemand Einwände hat , werde ich den Draytek bestellen. Hoffe das sich das LAN damit ausreichend absichern lässt.

MfG
alforno
Bitte warten ..
Mitglied: aqui
14.02.2010 um 10:56 Uhr
Ja, damit machst du mit Sicherheit nichts falsch und damit sollte sich dein Projekt elegant umsetzen lassen !

Wenns das war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
IPv6 - auch im LAN sinnvoll?
gelöst Frage von ral9004Windows Netzwerk34 Kommentare

Guten Tag Eine Verständnissfrage. Das die IPv4 die in das Internet gerotet werden knapper und knapper werden ist klar. ...

Netzwerkgrundlagen
Zugriff aus dem LAN auf VPN Tunnel
gelöst Frage von sschultewolterNetzwerkgrundlagen4 Kommentare

Hallo, ich habe gerade ein kleines Problem, dass ich nicht weiß, ob es anders zu lösen ist. Ich habe ...

Router & Routing

Raspberry PI als VPN Client - Zugriff auf VPN LAN

gelöst Frage von PeterH96Router & Routing8 Kommentare

Hallo, ich möchte einen Raspberry PI als OpenVPN Client in mein Netzwerk stellen. Dieser soll es möglich machen, vom ...

Netzwerke

VPN Fritzbox - Shrew kein Zugriff auf LAN

Frage von chris84Netzwerke14 Kommentare

Hallo Zusammen, ich habe einen neuen Rechner und musste leider auch VPN neu einrichten (mit dem alten Laptop ging ...

Neue Wissensbeiträge
Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 StundeWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 1 TagViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 2 TagenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 3 TagenHumor (lol)5 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs29 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V19 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
Frage von SnowbirdHyper-V18 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Festplatten, SSD, Raid
SSDs durch Lagerung ohne Strom nach 6 Monaten defekt?!?
gelöst Frage von GlobetrotterFestplatten, SSD, Raid16 Kommentare

Moin Gemeinde Ich hatte gerade nen Trauerspiel Habe hier etliche NAS-Geräte herumfahren welche ich mal auf die Seite gelegt ...