9
VPN über einfachen Router auf zwei Server
Hallo zusammen, ich hab da mal eine Frage, was für den einen oder anderen sicherlich einfach zu lösen ist.
Folgender Sachverhalt: ein Kunde von uns hat folgende IT Software und Hardware im Bestand: Server 1 win sbs 2011, Server 2 win 2012. Router TP-Link TL-wdr3600 (ohne VPN). DSL Anbindung dynamische IP. DynDNS kann verwendet werden. Nun möchte der Kunde von Zuhause (Win 7) über eine VPN Lösung auf die Server zugreifen. (der einfachkeit halber über rdp)
Der Knackpunkt ist der Router, der ja nur die Portweiterleitung der gleichen Portnummer an EINEN Server hinterlegt werden kann. Wie kann das realisiert werden, dass der Kunde wählen kann, an welchen Server er sich verbinden kann.
Werden hier verschiedene Ports verwendet z.B. durch eine VPN Firewall Hardware Lösung z.B. Von Netgear VPN oder lässt sich das Problem mit der bestehenden Serversoftware lösen ?
Gibt es hier eine einfache Lösung, oder sollte der Router ausgetauscht werden (Mit VPN Lösung)
Vilen Dank für eure Antwort
Ernst V.
Folgender Sachverhalt: ein Kunde von uns hat folgende IT Software und Hardware im Bestand: Server 1 win sbs 2011, Server 2 win 2012. Router TP-Link TL-wdr3600 (ohne VPN). DSL Anbindung dynamische IP. DynDNS kann verwendet werden. Nun möchte der Kunde von Zuhause (Win 7) über eine VPN Lösung auf die Server zugreifen. (der einfachkeit halber über rdp)
Der Knackpunkt ist der Router, der ja nur die Portweiterleitung der gleichen Portnummer an EINEN Server hinterlegt werden kann. Wie kann das realisiert werden, dass der Kunde wählen kann, an welchen Server er sich verbinden kann.
Werden hier verschiedene Ports verwendet z.B. durch eine VPN Firewall Hardware Lösung z.B. Von Netgear VPN oder lässt sich das Problem mit der bestehenden Serversoftware lösen ?
Gibt es hier eine einfache Lösung, oder sollte der Router ausgetauscht werden (Mit VPN Lösung)
Vilen Dank für eure Antwort
Ernst V.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 240449
Url: https://administrator.de/contentid/240449
Printed on: April 25, 2024 at 22:04 o'clock
9 Comments
Latest comment
Hallo,
einem danach das gesamte dahinter liegende Netzwerk zur Verfügung!
bzw. der Firewall eine VPN Verbindung aufgebaut hat, kann man ja
auf das gesamte Netzwerk dahinter zugreifen, sofern nichts anderes
konfiguriert wurde und die Server haben ja unterschiedliche IP Adressen
und dann ist das eben schon klar worauf man zugreifen möchte.
Ich denke der Router ist ein TP-Link ohne VPN Funktion?
ein paar Sicherheitsfunktionen mitbringt.
nur funktionieren muss es eben.
Ich würde einfach mal bei LANCOM nachschauen die haben für jeden etwas im Programm.
Gruß
Dobby
Der Knackpunkt ist der Router,
Jo, das sehe ich auch so!Router TP-Link TL-wdr3600 (ohne VPN)
Tausch den einfach und gut ist es.der ja nur die Portweiterleitung der gleichen Portnummer an EINEN
Server hinterlegt werden kann. Wie kann das realisiert werden, dass der > Kunde wählen kann, an welchen Server er sich verbinden kann.
Wenn man sich via IPSec VPN mit dem Router verbindet, stehtServer hinterlegt werden kann. Wie kann das realisiert werden, dass der > Kunde wählen kann, an welchen Server er sich verbinden kann.
einem danach das gesamte dahinter liegende Netzwerk zur Verfügung!
Werden hier verschiedene Ports verwendet z.B. durch eine
VPN Firewall Hardware Lösung z.B.
Nein nur eben das man, wenn man denn erst einmal zu dem RouterVPN Firewall Hardware Lösung z.B.
bzw. der Firewall eine VPN Verbindung aufgebaut hat, kann man ja
auf das gesamte Netzwerk dahinter zugreifen, sofern nichts anderes
konfiguriert wurde und die Server haben ja unterschiedliche IP Adressen
und dann ist das eben schon klar worauf man zugreifen möchte.
Von Netgear VPN oder lässt sich das Problem mit der
bestehenden Serversoftware lösen ?
Warum sollte das denn nun der Netgear VPN Klient können?bestehenden Serversoftware lösen ?
Ich denke der Router ist ein TP-Link ohne VPN Funktion?
Gibt es hier eine einfache Lösung, oder sollte der Router
ausgetauscht werden (Mit VPN Lösung)
Ja genau so sehe ich das auch, man sollte den Router auf jeden Fall austauschen und zwar gegen ein Modell das VPN fähig ist und auchausgetauscht werden (Mit VPN Lösung)
ein paar Sicherheitsfunktionen mitbringt.
DSL Anbindung dynamische IP. DynDNS kann verwendet werden.
Man kann auch einen anderen Dienstanbieter nehmen kein Themanur funktionieren muss es eben.
Ich würde einfach mal bei LANCOM nachschauen die haben für jeden etwas im Programm.
Gruß
Dobby
Hi,
alternativ zu...
Der Router ist mit DD-WRT, OpenVPN tauglich, was willst Du mehr.
Den Router von der original Firmware befreien und schon hast Du eine sichere Verbindung.
Den Rest hat Dir @aqui schon mundgerecht hingelegt....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Gruß orcape
alternativ zu...
Tausch den einfach aus
http://linuxwelt.blogspot.de/2014/03/dd-wrt-vpn-verbindung-einrichten-w ...Der Router ist mit DD-WRT, OpenVPN tauglich, was willst Du mehr.
Den Router von der original Firmware befreien und schon hast Du eine sichere Verbindung.
Den Rest hat Dir @aqui schon mundgerecht hingelegt....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Gruß orcape
Hallo,
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?
Vorteil: fast alle OS haben ein PPTP Client onboard, selbst IOS usw. und daher brauchen keine Hersteller eigene Clients oder drittsoftware verwendet werden.
Gruß,
Peter
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?
Server 1 win sbs 2011
Bitte schön. Hier ist auch deine Lösung. VPN auf den SBS Aktivieren (machen die Asisstenten für dich), Protokoll GRE sowie TCP Port 1723 vom Router zu dein SBS weiterleiten, Kunde daheim wählt sich per sein W7 in sein VPN ein am SBS ein, und kann alles im netzwerk nutzen als sei er dort. RDP zu jedem Rechner möglich usw. Einziges manko, es ist ein PPTP. Da es als knackbar gilt (USD 200 in USA) wird dem PPTP eben ein NICHT sicher bescheinigt. Kennt zwar noch niemand dem ein PPTP geknackt wurde, aber es ist halt (Theoretisch) zu knacken.Vorteil: fast alle OS haben ein PPTP Client onboard, selbst IOS usw. und daher brauchen keine Hersteller eigene Clients oder drittsoftware verwendet werden.
(der einfachkeit halber über rdp)
Ein absolutes NOGO und auch nicht nötig.Der Knackpunkt ist der Router
Dann lass sein SBS dies handeln, wenn er absolut nicht in Hardware investieren willGibt es hier eine einfache Lösung, oder sollte der Router ausgetauscht werden (Mit VPN Lösung)
Wäre eindeutig der bessere weg.Gruß,
Peter
Hi Nero2014!
Ist ja von meinen wie immer schnellen Vorrednern schon beinahe alles gesagt...
Um alle Rechner (Server) in deinem Netz zu erreichen musst du (dein Kunde) natürlich nur eine VPN Verbindung herstellen.
Völlig egal, ob das der Router oder ein Server macht.
PPTP: Gilt zwar als nicht mehr sicher, da gehackt, aber: Soweit ich mich entsinne, bedarf es eines Trafficmitschnitts des VPN-Traffics um den 200 $ Discount Service in Anspruch zu nehmen. Woher soll der kommen? Bleiben nur 1. Unsicheres WLAN oder 2. Man in the middle Attacke.
Auf ersteres hast Du Einfluss, zweiteres ist eher unwahrscheinlich. (Wenn auch nicht unmöglich)
Aber auch da erhöhen sich die Rechenzeiten ungemein, wenn ordentlich lange Keys eingesetzt werden.
Du kannst auf Windows Servern auch ein VPN als IPSec/L2TP einrichten. Das ist auch kein Hexenwerk und nach meinem Kenntnisstand mit ausreichendem Key auch sicher.
Anleitung z.B. da: http://www.elastichosts.com/support/tutorials/windows-l2tpipsec-vpn-ser ...
Meine Empfehlung für kleine Umgebungen ist aber mittlerweile die Fritbox, was das angeht. Die kann IPSec VPN, ist (relativ) einfach zu konfigurieren, AVM bietet einen guten Support und eine 2170 mit VPN kostet im Onlinehandel € 79,-
Der Client tut auch, was er soll und gut ists.
@Pjordorf: Hast du irgendeinen Link zu einer Quelle, die das Sicherheitsrisiko von RDP beschreibt? Ich habe die These "No-Go" auch lange vertreten, kann aber beim besten Willen nichts über gehackte Zugänge finden. MS hat da ja vor einiger Zeit mal nachgebessert... Abgesehen davon, dass ein 2 Stufen Konzept mit VPN und RDP NATÜRLICH mehr Sicherheit bietet. Wo ist da die Sicherheitlücke? (Ernsthafte Frage, evtl. für nen eigenen Thread )
Gruß
Bucko
Ist ja von meinen wie immer schnellen Vorrednern schon beinahe alles gesagt...
Um alle Rechner (Server) in deinem Netz zu erreichen musst du (dein Kunde) natürlich nur eine VPN Verbindung herstellen.
Völlig egal, ob das der Router oder ein Server macht.
PPTP: Gilt zwar als nicht mehr sicher, da gehackt, aber: Soweit ich mich entsinne, bedarf es eines Trafficmitschnitts des VPN-Traffics um den 200 $ Discount Service in Anspruch zu nehmen. Woher soll der kommen? Bleiben nur 1. Unsicheres WLAN oder 2. Man in the middle Attacke.
Auf ersteres hast Du Einfluss, zweiteres ist eher unwahrscheinlich. (Wenn auch nicht unmöglich)
Aber auch da erhöhen sich die Rechenzeiten ungemein, wenn ordentlich lange Keys eingesetzt werden.
Du kannst auf Windows Servern auch ein VPN als IPSec/L2TP einrichten. Das ist auch kein Hexenwerk und nach meinem Kenntnisstand mit ausreichendem Key auch sicher.
Anleitung z.B. da: http://www.elastichosts.com/support/tutorials/windows-l2tpipsec-vpn-ser ...
Meine Empfehlung für kleine Umgebungen ist aber mittlerweile die Fritbox, was das angeht. Die kann IPSec VPN, ist (relativ) einfach zu konfigurieren, AVM bietet einen guten Support und eine 2170 mit VPN kostet im Onlinehandel € 79,-
Der Client tut auch, was er soll und gut ists.
@Pjordorf: Hast du irgendeinen Link zu einer Quelle, die das Sicherheitsrisiko von RDP beschreibt? Ich habe die These "No-Go" auch lange vertreten, kann aber beim besten Willen nichts über gehackte Zugänge finden. MS hat da ja vor einiger Zeit mal nachgebessert... Abgesehen davon, dass ein 2 Stufen Konzept mit VPN und RDP NATÜRLICH mehr Sicherheit bietet. Wo ist da die Sicherheitlücke? (Ernsthafte Frage, evtl. für nen eigenen Thread
)Gruß
Bucko
Hallo,
Es gibt aber Clients wo eben diese Clientsoftware unerwünscht ist nicht zu bekommen ist. Daher mein hinweis zu PPTP.
Stell dir Server nur RDP ins Internet und einen mit PPTP VPN. Beim RDP hat irgendeiner nach kurzer Zeit das benutzerkonto in sein Wörterbuch gefunden und durch mehrmaliges fehlerhaftes anmelden dann endlich "gesperrt". Und, dein Server wir pausenlos mit RDP anfragen bombardiert. Bei VPN geben die meisten schell auf weil es doch eher unwahrscheinlich ist dort etwas an schaden (Konto sperren etc) anzurichten. RDP in sich ist ja auch verschlüsselt damit eben keine Daten in klartext mitgelesen werden können. Wer aber seinen Server liebt der nutzt einen Hardware VPN Server davor.
Es ist ein unterschied ob nur der VPN Zugang gerade nicht geht oder das ganze AD Konto gesperrt ist -)
Und wer Unternehmensdaten per Internet nutzen muss, sollte auch den Griff zu einer UTM oder einer NG Firewall überlegen. Die Angriffe werden nicht weniger, aber immer rafinierter so das ein einfaches "du kommst hier ned rein" nicht mehr wirklich ausreichend sind. Und ein SBS bietet nun doch einiges an Angriffsmöglichkeiten, eben durch seine Zahlreichen Features die ja einfach nur mitlaufen und erreichbar sind.....
daher, sekbst eine Fritzbox schützt schon mehr und bietet auch VPN ala IPSec.
Just my 1 euro cent.
Gruß,
Peter
Es gibt aber Clients wo eben diese Clientsoftware unerwünscht ist nicht zu bekommen ist. Daher mein hinweis zu PPTP.
kann aber beim besten Willen nichts über gehackte Zugänge finden.
Hab ich ja auch nicht behauptet Stell dir Server nur RDP ins Internet und einen mit PPTP VPN. Beim RDP hat irgendeiner nach kurzer Zeit das benutzerkonto in sein Wörterbuch gefunden und durch mehrmaliges fehlerhaftes anmelden dann endlich "gesperrt". Und, dein Server wir pausenlos mit RDP anfragen bombardiert. Bei VPN geben die meisten schell auf weil es doch eher unwahrscheinlich ist dort etwas an schaden (Konto sperren etc) anzurichten. RDP in sich ist ja auch verschlüsselt damit eben keine Daten in klartext mitgelesen werden können. Wer aber seinen Server liebt der nutzt einen Hardware VPN Server davor.Wo ist da die Sicherheitlücke?
Blöd wenn dein benutzeraccount per RDP gesperrt wird Es ist ein unterschied ob nur der VPN Zugang gerade nicht geht oder das ganze AD Konto gesperrt ist -)Und wer Unternehmensdaten per Internet nutzen muss, sollte auch den Griff zu einer UTM oder einer NG Firewall überlegen. Die Angriffe werden nicht weniger, aber immer rafinierter so das ein einfaches "du kommst hier ned rein" nicht mehr wirklich ausreichend sind. Und ein SBS bietet nun doch einiges an Angriffsmöglichkeiten, eben durch seine Zahlreichen Features die ja einfach nur mitlaufen und erreichbar sind.....
daher, sekbst eine Fritzbox schützt schon mehr und bietet auch VPN ala IPSec.
Just my 1 euro cent.
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
> Zitat von @nero2014:
> Folgender Sachverhalt: ein Kunde von uns
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?
Hallo,
> Zitat von @nero2014:
> Folgender Sachverhalt: ein Kunde von uns
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?
Nicht jeder Dienstleister muß alles können. Aber man muß wissen, wann und welchen "Kollegen" man zu Rate zieht, ohne selbst da rumzupfischen. Natürlich ist das ein potentieller Konkurrent, aber wenn man klare Abmachungen trifft und sich den Kollegen gut aussucht, kann da braucht man sich keine Sorgen machen.
ich werde auch öfter mal von dem örtlichen Kollegen zu Hilfe gerufen, wenn er mal etwas außerhalb seiner "Windows-Welt" braucht. obwohl der als 20-Mann-Unternehmen mehr Mitarbeiter ha, als mein 1-mann-Unternehmen.
lks
Nicht jeder Dienstleister muß alles können. Aber man muß wissen, wann und welchen "Kollegen" man zu
Rate zieht, ohne selbst da rumzupfischen.
Rate zieht, ohne selbst da rumzupfischen.
Sehe ich auch so, und genau das hat er gemacht. Er fragt die Kollegen im Forum, die immer alles (besser) wissen.
@Pjordorf Das mit den Windows-Accounts ist ein Argument, das muss man neidlos zugeben.
Ich denke, jetzt hat nero2014 einige Meinungen und Tipps bekommen, mit denen er weiterkommt. Vielleicht meldet er sich ja nochmal?
gruß
buc
Hallo alle zusammen,
erst mal vielen Dank für eure schnelle Antwort.
Finde es Klasse, dass hier so zahlreich sachliche Lösungen und Vorschläge erfolgt sind.
Was unsere Dienstleistungen für unsere Kunden betrifft, bieten wir keine IT-Leistungen im klassischen Sinne an. Daher die Frage nach der VPN Lösung.
Ich werde einen neuen Router mit VPN besorgen, und diesen wie von euch vorgeschlagen konfigurieren.
nochmals vielen Dank für eure Antworten.
Ernst V.
erst mal vielen Dank für eure schnelle Antwort.
Finde es Klasse, dass hier so zahlreich sachliche Lösungen und Vorschläge erfolgt sind.
Was unsere Dienstleistungen für unsere Kunden betrifft, bieten wir keine IT-Leistungen im klassischen Sinne an. Daher die Frage nach der VPN Lösung.
Ich werde einen neuen Router mit VPN besorgen, und diesen wie von euch vorgeschlagen konfigurieren.
nochmals vielen Dank für eure Antworten.
Ernst V.
nochmals vielen Dank für eure Antworten.
Wenn es das dann war bitte noch ein Beitrag ist gelöst hinten dran und gut Danke!Gruß
Dobby
