Vergessen?
Vergessen?
Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, C und C++, CSS, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, @Server Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, @Netzwerkkarten, Multimedia & Zubehör, Notebook & Zubehör, @Router und Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, @Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, @Visual Studio, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum
Cover IT-Administrator
Für die Mai-Ausgabe hat sich das IT-Administrator Magazin den Schwerpunkt "Messaging & Collaboration" auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open Source-Groupware Open-Xchange App Suite in Betrieb nehmen und administrieren. Außerdem zeigen wir Ihnen, wie Sie sich vor Viren und Spam mit Proxmox 3.1 schützen. Nicht zuletzt befassen wir uns mit der administrativen Sicherheit und Überwachung in Exchange Server 2013. In den ... mehr
Christian-77 am 06.10.2006, aktualisiert am 10.10.2006, 5219 Aufrufe

VPN / PcAnywhere zur Fernwartung einsetzen - aber wie anfangen?

Hallo zusammen !

Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.

Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?

Frage über Fragen…


Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.
12 Antworten
Mitglied: RKO
0
RKO am 06.10.2006 um 15:37 Uhr
Hi,

wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.

Der zugriff erfolgt dann auf den server oder client wieder via RDP.

Gruß
RKO
Bitte warten ..
Mitglied: markus0873
0
markus0873 am 06.10.2006 um 15:38 Uhr
Hi Chistian,

hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google face-wink ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.

Viel Erfolg,

Markus
Bitte warten ..
Mitglied: 27119
0
27119 am 06.10.2006 um 15:49 Uhr
Jo, wenn VPN beim Kunden schon vorhanden ist müsstet ihr als Fernwarter nur einen entsprechenden VPN User Account beim Kunden bekommen und den passenden VPN Client einsetzen.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Bitte warten ..
Mitglied: Christian-77
0
Christian-77 am 06.10.2006 um 15:51 Uhr
Vielen Dank RKO und Markus0873

für die ersten Hilfen. Ich werde mich da übers WE mal genauer in OpenVPN und VPN allgemein einlesen und am Montag werde ich dann mal unseren Admin hier nerven.

Es wäre sehr nett, wenn ihr und auch andere, die mir helfen können, weiterhin ein bisschen auf diesen Beitrag schielen würden. Ich denke ich melde mich noch häufiger wieder face-sad)

Schon mal ein schönes WE an alle !
Bitte warten ..
Mitglied: 27119
0
27119 am 06.10.2006 um 16:32 Uhr
Ob man nun nen VPN Tunnel einsetzt und durch den Tunnel RDP jagt oder nur RDP macht und beim Kunden den IP Range der per RDP zugreifen darf eingrenzt - da kommt so ziemlich das gleiche heraus, aus sicherheitstechnischer Sicht. RDP hat zwar gewisse theoretische Design-Schwächen - diese auszunutzen (Man in the Middle Attacke) beim Zugriff von extern ist jedoch schwieriger, als auf deinem Rechner einen Keylogger unterzubringen, der dein eingetipptes Passwort eh mitloggt.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.

VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Bitte warten ..
Mitglied: Christian-77
0
Christian-77 am 09.10.2006 um 17:27 Uhr
Puuh! RDP, RC4, Citrix, .... Mann Mann Mann, hier werd ich aber so richtig nett mit Abkürzungen, Protokollen und Fremdwörtern vollgepumpt.
Ich glaube, vorausgesetzt ihr habt lust dazu, müssen wir nen Gang rausnehmen und das Ganze noch ein wenig langsamer angehen.

Mittlerweile habe ich mich viel gelesen, ein Dokument fertig gebastelt und dies meinem Chef gezeigt / referiert. Darinerkläre ich halt kurz, dass man entweder PortForwarding in Verbindung mit PcAnywhere oder ein VPN mit Zeugs wie OpenVPN (Server bei Kunde, Client bei uns) machen kann.

Daraufhin kam die Sache auf, dass Windows XP eine VPN Gelegenheit mitbringt und warum wir nicht die benutzen können. Da hätten wir auch weniger Probleme, dass der Kunde Software wie OpenVPN oder PcAnywhere installieren muss. Leidergottes hatte ich da nicht wirklich ne Antwort drauf. Also die Theorie habe ich fürs erste. Wie ich es jetzt anfangen muss, dass es für "laien", per "netzwerkverbindung verbinden" geht noch nicht.

Ich hoffe ich kriege noch ne Runde Hilfe.

Ist es denn wichtig, was der ISP zu VPN sagt?
Was hat das mit den Routern auf sich? Ist das wirklich ein Problem die VPN-Tunnel da durch zu leiten? Fragen über Fragen .....


P.S.: Hab ich in der Hierarchie des Threads richtig geantwortet? Keinen Blassen wo ich meine "Antwort" schreiben soll. Naja, bis bald hoffentlich.
Bitte warten ..
Mitglied: 27119
0
27119 am 09.10.2006 um 17:47 Uhr
Ja, das VPN Passthrough durch Router kann tatsächlich Probleme machen - je nach VPN Protokoll (meist IPSEC) und je nach Router.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
Bitte warten ..
Mitglied: markus0873
0
markus0873 am 09.10.2006 um 18:50 Uhr
Huhu nochmal,

also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt face-wink, dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.

Gruß,

Markus
Bitte warten ..
Mitglied: Christian-77
0
Christian-77 am 09.10.2006 um 19:09 Uhr
RDP hat halt den grossen Vorteil, dass man
nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke, aber was meinst du hier mit EINEN? In der Verbindung von ich sag mal grob Deutschland nach nem Kunden in ich sach mal ausm Bauch heraus Belgien wird es schätzungsweise mehr als einen Router geben ...
Bitte warten ..
Mitglied: 27119
0
27119 am 09.10.2006 um 20:18 Uhr
Um von einem PC über das Internet und einen Firmen-Router (zb. bei deienm Kunden) auf einen Windows-Rechner zuzugreifen, der sich im LAn des Kunden befindet, muss beim Kundenrouter bzw. seiner Firewall nur Port 3389 geöffnet werden. Oder - falls bespielsweise die Firewall sowiso auf Port 22 (SSH) offen sein sollte (um auf Linux Server zuzugreifen, was üblich ist), dann kann man der RDP Port auch auf Port 22 beispielsweise ummáppen, ist ein Registry Eintrag den man auf dem Kundenrechner ändern muss von 3389 auf 22 in dem Beispiel). Dann kann man per RDP auf den Kundenrechner auf Port 22 zugreifen.
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.

DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
Bitte warten ..
Mitglied: 27119
0
27119 am 09.10.2006 um 20:25 Uhr

> RDP hat halt den grossen Vorteil, dass
man
> nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke,
aber was meinst du hier mit EINEN? In der
Verbindung von ich sag mal grob Deutschland
nach nem Kunden in ich sach mal ausm Bauch
heraus Belgien wird es schätzungsweise
mehr als einen Router geben ...


Wieviele Internet Router dazwischen sind ist völlig wurst. Die schleifen doch eh alles durch was nach TCP/IP riecht. Wichtig ist nur, was der Router im Netz deines Kunden durchlässt.
EINEN Port bedeutet nur, dass RDP nur einen Port braucht, nämlich 3389. So wie auch beispielsweise ein Webserver nur einen Port braucht - nämlich 80.
Bitte warten ..
Mitglied: Abdelhalim
0
Abdelhalim am 10.10.2006 um 15:32 Uhr
Hallo,

ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.

Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.

Weiß nicht, ob das was hilft.

Mit freundlichen Grüßen

Abdel
Bitte warten ..
Mehr Neuester Wissensbeitrag
Notebook & Zubehör
Erfahrungsbericht: N'Abend. Ich nutze seit einiger Zeit ein Lenovo ThinkPad Yoga und wollte mal ein paar Zeilen dazu hierlassen. Das Yoga ist ein 12,5-Zoll "Convertible" mit einem komplett umklappbaren ... von jsysde, Thema: Notebook & Zubehör
Mehr Diese Inhalte könnten dich auch interessieren
Router & Routing
Frage: Hallo zusammen, ich möchte eine VPN-Verbindung zwischen meinen 2 Routern aufbauen. Leider hab ich es bis jetzt nicht geschafft. Kann mir jemand weiterhelfen? Hier mal meine bisherige Konfiguration: ... von RoadRunner88, Thema: Router & Routing
Router & Routing
Frage: Hallo und Guten Abend! Ich bin mir nicht sicher ob ich hier in der richtigen Kategorie bin. Ich habe folgende Frage an Euch. Ich habe zwei Root-Server in ... von maikmueller, Thema: Router & Routing
Netzwerk
Frage: Hallo Zusammen, ich suche eine passende Möglichkeit (Userfreundlich - am besten automatisch) das unsere Außendienstler nicht ändern müssen egal wo Sie sind um ins Internet zu kommen. Wir ... von DanielZ87, Thema: Netzwerk
Netzwerke
Frage: Hallo! Ich verwende in meinem Netzwerk die Home Version der Sophos (vorm. Astaro) UTM 9.1. Da ich seit einiger Zeit von zu Hause ausgezogen bin, und ich meinen ... von manuelw, Thema: Netzwerke
Router & Routing
Frage: Moin Zusammen, da unser Draytek 2950 draufgegangen ist haben wir uns schnell eine Alternative mit zwei WAN Ports suchen müssen. Da er eigentlich nicht viel können sollte außer ... von Xaero1982, Thema: Router & Routing
Heiß diskutierte Inhalte
Grundlagen
Frage: Hallo, ich wollte euch mal Fragen , was ihr von meinem Sicherheitskonzept hält, bzw. was eventuell der eine oder anderen dazu noch einfallen würde. Bitte nicht Steinigen ;) ... von MS6800, Thema: Grundlagen
Server-Hardware
Frage: Guten Morgen! Vor einigen Tagen gab mein Server (IBM eSeries X226 Typ 8488) an, dass aus einem 4 SCSI U320-Festplatten bestehendes RAID10 (SCSI backplane) den Status DEGRADED aufweist. ... von brain2011, Thema: Server-Hardware
Windows Server
Frage: Hallo, Ich habe mir von der Seite: das Tool MoveUser besorgt. Eigentlich sehr einfach wie es scheint um einen lokalen Benutzer in die Domäne zu bekommen. Leider meldet ... von MartinL, Thema: Windows Server
Router & Routing
Frage: Moinsen Habe eine Frage zu PFSense. Mittlerweile habe ich drei PFSense am Laufen welche mit IPSEC untereinander Verbunden sind um Server und Daten an verschiedenen Standorten zu nutzen. ... von Netgear24, Thema: Router & Routing
Entwicklung
Frage: Guten Abend Miteinander ! Ich suche eine Software für ein KMU. Nämlich sollte es die Verwaltung von Kundendaten / Kennwörtern beherrschen. Das Ziel ist es, dass man ein ... von Gurkenglas, Thema: Entwicklung