Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, CSS, C und C++, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
In der September-Ausgabe des IT-Administrator Magazins mit Schwerpunkt 'Mobile IT' lesen Sie, wie es um die Sicherheit der aktuellen Mobilbetriebssysteme bestellt ist. Außerdem zeigen wir Ihnen, wie das Mobile Device Management mit System Center 2012 funktioniert und wie Sie die Daten auf den mobilen Geräten dank Funambol synchron halten. Editorial: Win Your Own Device Liebe Leserinnen und Leser, während dieses Heft am Kiosk und in ... mehr
Mitglied: Christian-77
06.10.2006, aktualisiert 10.10.2006, 5559 Aufrufe, 12 Kommentare

VPN / PcAnywhere zur Fernwartung einsetzen - aber wie anfangen?

Hallo zusammen !

Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.

Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?

Frage über Fragen…


Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.
Mitglied: RKO
06.10.2006 um 15:37 Uhr
Hi,

wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.

Der zugriff erfolgt dann auf den server oder client wieder via RDP.

Gruß
RKO
Bitte warten ..
Mitglied: markus0873
06.10.2006 um 15:38 Uhr
Hi Chistian,

hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google face-wink ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.

Viel Erfolg,

Markus
Bitte warten ..
Mitglied: 27119
06.10.2006 um 15:49 Uhr
Jo, wenn VPN beim Kunden schon vorhanden ist müsstet ihr als Fernwarter nur einen entsprechenden VPN User Account beim Kunden bekommen und den passenden VPN Client einsetzen.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Bitte warten ..
Mitglied: Christian-77
06.10.2006 um 15:51 Uhr
Vielen Dank RKO und Markus0873

für die ersten Hilfen. Ich werde mich da übers WE mal genauer in OpenVPN und VPN allgemein einlesen und am Montag werde ich dann mal unseren Admin hier nerven.

Es wäre sehr nett, wenn ihr und auch andere, die mir helfen können, weiterhin ein bisschen auf diesen Beitrag schielen würden. Ich denke ich melde mich noch häufiger wieder face-sad)

Schon mal ein schönes WE an alle !
Bitte warten ..
Mitglied: 27119
06.10.2006 um 16:32 Uhr
Ob man nun nen VPN Tunnel einsetzt und durch den Tunnel RDP jagt oder nur RDP macht und beim Kunden den IP Range der per RDP zugreifen darf eingrenzt - da kommt so ziemlich das gleiche heraus, aus sicherheitstechnischer Sicht. RDP hat zwar gewisse theoretische Design-Schwächen - diese auszunutzen (Man in the Middle Attacke) beim Zugriff von extern ist jedoch schwieriger, als auf deinem Rechner einen Keylogger unterzubringen, der dein eingetipptes Passwort eh mitloggt.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.

VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Bitte warten ..
Mitglied: Christian-77
09.10.2006 um 17:27 Uhr
Puuh! RDP, RC4, Citrix, .... Mann Mann Mann, hier werd ich aber so richtig nett mit Abkürzungen, Protokollen und Fremdwörtern vollgepumpt.
Ich glaube, vorausgesetzt ihr habt lust dazu, müssen wir nen Gang rausnehmen und das Ganze noch ein wenig langsamer angehen.

Mittlerweile habe ich mich viel gelesen, ein Dokument fertig gebastelt und dies meinem Chef gezeigt / referiert. Darinerkläre ich halt kurz, dass man entweder PortForwarding in Verbindung mit PcAnywhere oder ein VPN mit Zeugs wie OpenVPN (Server bei Kunde, Client bei uns) machen kann.

Daraufhin kam die Sache auf, dass Windows XP eine VPN Gelegenheit mitbringt und warum wir nicht die benutzen können. Da hätten wir auch weniger Probleme, dass der Kunde Software wie OpenVPN oder PcAnywhere installieren muss. Leidergottes hatte ich da nicht wirklich ne Antwort drauf. Also die Theorie habe ich fürs erste. Wie ich es jetzt anfangen muss, dass es für "laien", per "netzwerkverbindung verbinden" geht noch nicht.

Ich hoffe ich kriege noch ne Runde Hilfe.

Ist es denn wichtig, was der ISP zu VPN sagt?
Was hat das mit den Routern auf sich? Ist das wirklich ein Problem die VPN-Tunnel da durch zu leiten? Fragen über Fragen .....


P.S.: Hab ich in der Hierarchie des Threads richtig geantwortet? Keinen Blassen wo ich meine "Antwort" schreiben soll. Naja, bis bald hoffentlich.
Bitte warten ..
Mitglied: 27119
09.10.2006 um 17:47 Uhr
Ja, das VPN Passthrough durch Router kann tatsächlich Probleme machen - je nach VPN Protokoll (meist IPSEC) und je nach Router.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
Bitte warten ..
Mitglied: markus0873
09.10.2006 um 18:50 Uhr
Huhu nochmal,

also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt face-wink, dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.

Gruß,

Markus
Bitte warten ..
Mitglied: Christian-77
09.10.2006 um 19:09 Uhr
RDP hat halt den grossen Vorteil, dass man
nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke, aber was meinst du hier mit EINEN? In der Verbindung von ich sag mal grob Deutschland nach nem Kunden in ich sach mal ausm Bauch heraus Belgien wird es schätzungsweise mehr als einen Router geben ...
Bitte warten ..
Mitglied: 27119
09.10.2006 um 20:18 Uhr
Um von einem PC über das Internet und einen Firmen-Router (zb. bei deienm Kunden) auf einen Windows-Rechner zuzugreifen, der sich im LAn des Kunden befindet, muss beim Kundenrouter bzw. seiner Firewall nur Port 3389 geöffnet werden. Oder - falls bespielsweise die Firewall sowiso auf Port 22 (SSH) offen sein sollte (um auf Linux Server zuzugreifen, was üblich ist), dann kann man der RDP Port auch auf Port 22 beispielsweise ummáppen, ist ein Registry Eintrag den man auf dem Kundenrechner ändern muss von 3389 auf 22 in dem Beispiel). Dann kann man per RDP auf den Kundenrechner auf Port 22 zugreifen.
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.

DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
Bitte warten ..
Mitglied: 27119
09.10.2006 um 20:25 Uhr

> RDP hat halt den grossen Vorteil, dass
man
> nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke,
aber was meinst du hier mit EINEN? In der
Verbindung von ich sag mal grob Deutschland
nach nem Kunden in ich sach mal ausm Bauch
heraus Belgien wird es schätzungsweise
mehr als einen Router geben ...


Wieviele Internet Router dazwischen sind ist völlig wurst. Die schleifen doch eh alles durch was nach TCP/IP riecht. Wichtig ist nur, was der Router im Netz deines Kunden durchlässt.
EINEN Port bedeutet nur, dass RDP nur einen Port braucht, nämlich 3389. So wie auch beispielsweise ein Webserver nur einen Port braucht - nämlich 80.
Bitte warten ..
Mitglied: Abdelhalim
10.10.2006 um 15:32 Uhr
Hallo,

ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.

Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.

Weiß nicht, ob das was hilft.

Mit freundlichen Grüßen

Abdel
Bitte warten ..
Neuester Wissensbeitrag
Tools & Utilities
Tipp: Die Toolbox mit dem Namen OCRmyPDF erledigt mit OpenSource-Tools wie tesseract, ghostscript etc. die Texterkennung und Umwandlung von PDF-Dateien in PDF/A zuverlässig und kostenlos. Es ist ein normales ... von colinardo, in Tools & Utilities
Diese Inhalte könnten dich auch interessieren
Router & Routing
Frage: Hallo zusammen, ich habe erst seit kurzem das Problem, dass neue VPN Verbindungen die ich anlege, als WLAN Adapter angelegt werden. Eine WLAN Verbindung besteht aber nicht? Da ... von Roxyyo, in Router & Routing
Router & Routing
Frage: Hallo Zusammen Ich habe folgendes Szenario. Ich habe eine USG 100 und eine (werden mehrere) USG 20 per Site-to-Site miteinander Verbunden. Das funktioniert auch Wunderbar. Jetzt ist das ... von geocast, in Router & Routing
DNS
Frage: Hallo, dieses Thema ist absolut nicht neu und auch hier schon einige Male aufgekommen, allerdings gehen der Lösung meistens lange Analysen voran und ich konnte bis jetzt noch ... von weaslasf, in DNS
LAN, WAN, Wireless
Frage: Hallo Experten! Szenario: Laptop mit Shrew, Fritz.box = Router, feste IP im WAN, feste IP des Gateways im LAN dahinter DNS (alle IP fix) Nach Etablierung des VPN ... von non-expert, in LAN, WAN, Wireless
DNS
Frage: Hallo! Nach Studium insbesondere dieser Seite habe ich die einschlägigen Anleitungen für Einrichtung des VPN gelesen und durchgearbeitet. VPN Tunnel steht (Server/Gateway mit statischer IP, Client dynamisch). Vielen ... von non-expert, in DNS
Heiß diskutierte Inhalte
ISDN & Analoganschlüsse
Frage: Hallo, wir haben 3 TK Anlagenanschlüsse. Damit sollte es möglich sein, dass 6 Teilnehmer gleichzeitig telefonieren können. Wie kann ich auf dem Server prüfen, ob diese 3 Anschlüsse ... von Fuchsei, in ISDN & Analoganschlüsse
Vmware
Frage: Hallo zusammen, ich habe aktuell ein Problem, dass ich in dieser Form so noch nicht gesehen habe. Es geht hierbei um folgende Config: HP Proliant Micro G8 (8GB ... von Infomatrixx, in Vmware
E-Mail
Frage: Guten Tag zusammen, besteht die Möglichkeit eine EMail von einem Anonymen Absender zurückzuverfolgen, um herauszufinden wer diese gesendet hat? Selbstverständlich habe ich versucht mich über andere Foren zu ... von MaxPain, in E-Mail
Netzwerkmanagement
Frage: Hallo, ich mal wieder mit meiner Pfsense. Meine WAN Geschwindigkeit ist verdammt niedrig. Habe den Zugang über PPPoE zu T-Online (Business mit fester IP) hergestellt aber von meiner ... von medikopter, in Netzwerkmanagement
Batch & Shell
Frage: Moin Kollegen, ein Kollege hat sich unglücklicherweise die linke Hand gebrochen. Er arbeitet sehr viel mit Alt-Tab zum Umschalten von Anwendungen und nun soll Alt-Tab auf eine Maustaste ... von DerWoWusste, in Batch & Shell