5
VPN Verbindung zwischen Standorten
Zugriff auf eine bestimmte Software
Ich soll mehrere Aussenstellen mit dem HQ über VPN verbinden damit die Mitarbeiter der Aussenstellen auf eine bestimmte Software im HQ zugreifen können (Dienstplanung).
Muss ich dazu nen Terminalserver laufen haben, damit mehrere Mitarbeiter gleichzeitig arbeiten können? Soweit ich mich errinnern kann, bekommt soch eh jeder der sich einwählt ne eigene Session, oder?
Und ist es möglich, wenn die Verbindung aufgebaut wird, dass nur dieses eine Programm gestartet wird, und keinerlei Zugriff auf den restlichen Server / Netzwerk möglich ist? Oder benötige ich dazu doch nen Terminal Server?
(Also Verbindung aufbauen, Programm startet, wenn Programm geschlossen wird, wird die VPN Verbindung wieder abgebaut)
Oder gibts da ganz andere Ideen oder Vorschläge? RDP sollte doch auch funktionieren, oder?
Vielen Dank!
Muss ich dazu nen Terminalserver laufen haben, damit mehrere Mitarbeiter gleichzeitig arbeiten können? Soweit ich mich errinnern kann, bekommt soch eh jeder der sich einwählt ne eigene Session, oder?
Und ist es möglich, wenn die Verbindung aufgebaut wird, dass nur dieses eine Programm gestartet wird, und keinerlei Zugriff auf den restlichen Server / Netzwerk möglich ist? Oder benötige ich dazu doch nen Terminal Server?
(Also Verbindung aufbauen, Programm startet, wenn Programm geschlossen wird, wird die VPN Verbindung wieder abgebaut)
Oder gibts da ganz andere Ideen oder Vorschläge? RDP sollte doch auch funktionieren, oder?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99818
Url: https://administrator.de/contentid/99818
Printed on: April 20, 2024 at 04:04 o'clock
5 Comments
Latest comment
Ich würde das relativ unumständlich mit einem SSH-Tunnel machen.
Also ein .bat-Script anlegen, dass einen SSH-Tunnel zum HQ auf dem Port der Software (das funktioniert natürlich nur wenn sie IP-basiert ist) aufbaut und sie dann startet.
Das ist eine der günstigsten Varianten.
Außerdem kannst auf dem SSH-Server mit PermitOpen noch einschränken, wohin Tunnel erzeugt werden dürfen.
Also ein .bat-Script anlegen, dass einen SSH-Tunnel zum HQ auf dem Port der Software (das funktioniert natürlich nur wenn sie IP-basiert ist) aufbaut und sie dann startet.
Das ist eine der günstigsten Varianten.
Außerdem kannst auf dem SSH-Server mit PermitOpen noch einschränken, wohin Tunnel erzeugt werden dürfen.
Da brauchste schon einen anständigen Terminalserver, es sei denn, Eure Internetanbindung ist so groß (mehr als 20 mbit/s SDSL), daß man auch direkt das Programm aus der Ferne starten kann. Auf dem TServer kannst Du dann alles gemäß Vorgabe einschränken, also nur ein Programm zulassen.
Gruß, Arch Stanton
Gruß, Arch Stanton
Hallo,
zunächst einmal ist Deine Anforderung gleich eine doppelte Anforderung, denn VPN bedeutet normalerweise immer, dass man Netze miteinander verbindet.
Zugriff auf diese Software kann nur über einen Client(ein installiertes Stück Software) erfolgen, oder kann man Eure Software auch über einen Web-Server bedienen?
Zunächst einmal zum VPN :
Hier hast Du die Möglichkeit zwischen dem klassischen VPN, mit dem der Rechner oder das Netzwerk in das HQ-Netz gebracht wird (auch, wenn man den Zugriff über Firewalls dann wieder einschränken kann) oder einer neueren, noch relativ unbekannten Variante dem SSL-VPN mit dem über einen Browser mittels https eine sichere Verbindung zwischen dem HQ-Netz und dem Aussendienst aufgebaut wird.
Hier würde ich Dir fast die SSL-VPN Variante empfehlen, denn, wie ich Dich verstanden habe wollt ihr ausschliesslich in eine Richtung und auch nur eine Software bedienen.
Zur Software:
Hier stellt sich die Frage nach dem Bedienkonzept Eurer Dienstplanung. Ist diese nur über ein Windows Programm (Client) zu bedienen, so bleiben Dir 2 Möglichkeiten. Erstens zusammen mit einem "klassischen" VPN und einer Installation des Clients im Aussendienst oder zweitens zusammen mit einem SSL-VPN in Verbindung mit einem Terminal-Server.
Ist diese über ein Web-Interface zu bedienen, so könnte man einen Server mit Authentifikation in die DMZ stellen, und komplett ohne VPN arbeiten oder mittels SSL-VPN auf einen Intranet-Server zuzugreifen (klassisches VPN funktioniert natürlich auch).
RDP ist das Terminal-Server-Protokoll und wenn Du jetzt gedacht hast Du könntest Deinen Aussendienstlern Zugriff auf eine Workstation geben, muss ich Dich leider enttäuschen, denn RDP-Zugriff auf eine Workstation ist nur für einen Benutzer zur Zeit möglich (bei Nicht-Terminal-Servern zwei), diese sind für administrative Zwecke gedacht.
Billiglösung hiefür könnte höchstens VNC sein, mit dem ein oder mehrere Clients gleichzeitig die Steuerung eines einzelnen Rechners übernehmen können (ist aber nicht wirklich schön).
Wie dem auch sei, wenn sich nicht mehr als 10 Benutzer gleichzeitig im HQ anmelden kannst Du Dir ja einmal die Sonicwall SSL-VPN 200 anschauen. Mit der kann man sehr einfach ein SSL-VPN bereitstellen (inklusive Einmalpassworte usw.) Hier ein Link zur offizeillen Demoseite von Sonicwall (https://sslvpn.demo.sonicwall.com/cgi-bin/welcome)
zunächst einmal ist Deine Anforderung gleich eine doppelte Anforderung, denn VPN bedeutet normalerweise immer, dass man Netze miteinander verbindet.
Zugriff auf diese Software kann nur über einen Client(ein installiertes Stück Software) erfolgen, oder kann man Eure Software auch über einen Web-Server bedienen?
Zunächst einmal zum VPN :
Hier hast Du die Möglichkeit zwischen dem klassischen VPN, mit dem der Rechner oder das Netzwerk in das HQ-Netz gebracht wird (auch, wenn man den Zugriff über Firewalls dann wieder einschränken kann) oder einer neueren, noch relativ unbekannten Variante dem SSL-VPN mit dem über einen Browser mittels https eine sichere Verbindung zwischen dem HQ-Netz und dem Aussendienst aufgebaut wird.
Hier würde ich Dir fast die SSL-VPN Variante empfehlen, denn, wie ich Dich verstanden habe wollt ihr ausschliesslich in eine Richtung und auch nur eine Software bedienen.
Zur Software:
Hier stellt sich die Frage nach dem Bedienkonzept Eurer Dienstplanung. Ist diese nur über ein Windows Programm (Client) zu bedienen, so bleiben Dir 2 Möglichkeiten. Erstens zusammen mit einem "klassischen" VPN und einer Installation des Clients im Aussendienst oder zweitens zusammen mit einem SSL-VPN in Verbindung mit einem Terminal-Server.
Ist diese über ein Web-Interface zu bedienen, so könnte man einen Server mit Authentifikation in die DMZ stellen, und komplett ohne VPN arbeiten oder mittels SSL-VPN auf einen Intranet-Server zuzugreifen (klassisches VPN funktioniert natürlich auch).
RDP ist das Terminal-Server-Protokoll und wenn Du jetzt gedacht hast Du könntest Deinen Aussendienstlern Zugriff auf eine Workstation geben, muss ich Dich leider enttäuschen, denn RDP-Zugriff auf eine Workstation ist nur für einen Benutzer zur Zeit möglich (bei Nicht-Terminal-Servern zwei), diese sind für administrative Zwecke gedacht.
Billiglösung hiefür könnte höchstens VNC sein, mit dem ein oder mehrere Clients gleichzeitig die Steuerung eines einzelnen Rechners übernehmen können (ist aber nicht wirklich schön).
Wie dem auch sei, wenn sich nicht mehr als 10 Benutzer gleichzeitig im HQ anmelden kannst Du Dir ja einmal die Sonicwall SSL-VPN 200 anschauen. Mit der kann man sehr einfach ein SSL-VPN bereitstellen (inklusive Einmalpassworte usw.) Hier ein Link zur offizeillen Demoseite von Sonicwall (https://sslvpn.demo.sonicwall.com/cgi-bin/welcome)
ui, das ist ja umständlicher als ich dachte.
Nein, die Software ist natürlich nicht IP-basiert.
Oder gibts ne nen anderen Ansatz für diese Problemstellung? Es ist ja nur eine Dienstplanung, da will ich natürlich so wenig wie möglich Geld in die Hand nehmen und so wenig wie möglich konfigurieren müssen. Muss es echt so umständlich sein?
Es arbeiten max. 6 Leute gleichzeitig auf der Maschine ...
Nein, die Software ist natürlich nicht IP-basiert.
Oder gibts ne nen anderen Ansatz für diese Problemstellung? Es ist ja nur eine Dienstplanung, da will ich natürlich so wenig wie möglich Geld in die Hand nehmen und so wenig wie möglich konfigurieren müssen. Muss es echt so umständlich sein?
Es arbeiten max. 6 Leute gleichzeitig auf der Maschine ...
Nein es geht auch ganz einfach ohne VPN:
Du machst einfach nur Port Forwarding für RDP mit DynDNS, dabei solltest du aus Sicherheit den RDP Port ggf. etwas verschleiern und von 3389 auf z.B. 53389 heben um nicht gleich bei jedem Port Scanning sichtbar zu sein !.
So kann dann dann jeder mit seinem Remote Client auf die Maschine zugreifen und auch NUR auf diese Maschine, da du ja per Port Forwarding fest die lokale IP vorgibst !
Nachteil: Es kann immer nur einer zur Zeit arbeiten !
Sollen alle gleichzeitig arbeiten kommst du um einen Terminalserver nicht umhin oder du musst diese Anwendung webbasierend machen, dann ist das natürlich auch kein Problem !
Das hängt aber dann na klar von deiner Dienstplan Anwendung ab !!
Gleiches gilt dann auch für ein VPN. Wenn die SW nicht webbasierend ist oder netzfähig hilft dir nur ein TS.
Du machst einfach nur Port Forwarding für RDP mit DynDNS, dabei solltest du aus Sicherheit den RDP Port ggf. etwas verschleiern und von 3389 auf z.B. 53389 heben um nicht gleich bei jedem Port Scanning sichtbar zu sein !.
So kann dann dann jeder mit seinem Remote Client auf die Maschine zugreifen und auch NUR auf diese Maschine, da du ja per Port Forwarding fest die lokale IP vorgibst !
Nachteil: Es kann immer nur einer zur Zeit arbeiten !
Sollen alle gleichzeitig arbeiten kommst du um einen Terminalserver nicht umhin oder du musst diese Anwendung webbasierend machen, dann ist das natürlich auch kein Problem !
Das hängt aber dann na klar von deiner Dienstplan Anwendung ab !!
Gleiches gilt dann auch für ein VPN. Wenn die SW nicht webbasierend ist oder netzfähig hilft dir nur ein TS.
