hugofrizzante
Goto Top

Fern-Login auf eine Windows-Domäne

Hallo zusammen,

folgende Situation:

Wir haben hier ein kleines Netzwerk mit einen Windows 2012 Server und aktiver Domäne (DC). Das ganze hängt an an einer FritzBox 7390 mit VDSL50k
und dynamischer IP.

Gerne würde ich jetzt entfernte Clients (Laptops per 3G oder PCs in anderen Niederlassungen) an die Domäne anbinden und den Login sowie Dateien über die Domäne
bereitstellen (der Server mit Domänencontroller ist gleichzeitig der Fileserver).

Bis jetzt läuft das lokal mit den 10 Clients sehr gut; der DC ist auch DHCP-Server (DHCP an der FritzBox deaktiviert). Auch WLAN Geräte können sich hier lokal
problemlos verbinden.

Jetzt die Frage: Wie kann ich am SINNVOLLSTEN die entfernten Clients bzw. Niederlassungen anbinden?

Danke für Eure Vorschläge!

Viele Grüsse,
Frank

Content-Key: 247183

Url: https://administrator.de/contentid/247183

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: keine-ahnung
Lösung keine-ahnung 22.08.2014 aktualisiert um 15:19:13 Uhr
Goto Top
Moin,
Wie kann ich am SINNVOLLSTEN die entfernten Clients bzw. Niederlassungen anbinden?
zuerst Fritzbox verkaufen. Dann vernünftigen VPN-Router kaufen. VPN's aufziehen und freuen ... Ob das ganze Sinn macht, die Niederlassungen und Clients direkt in die Domäne zu ziehen oder das ganze besser mit TS oder RDS auf Clients im zentralen Netz zu realisieren ist, hängt nicht ganz unerheblich von den WAN-Zugängen aller beteiligten Parteien ab.

Zum Thema VPN und VPN-Router SuFu nutzen und alles wird gut.

LG, Thomas
Mitglied: wiesi200
Lösung wiesi200 22.08.2014 aktualisiert um 15:19:08 Uhr
Goto Top
Hallo,

Das kommt etwas darauf an was die genau machen.

Grundlage währe aber ein vernünftiger VPN Router mit einer Site-to-Site Verbindung für Außenstellen bzw. Client-to-Site für Mobile Clients und dann eftl. Ein Terminal Server.
Mitglied: hugofrizzante
hugofrizzante 22.08.2014 um 15:25:00 Uhr
Goto Top
Also das mit dem Terminalserver erschließt sich nicht ganz für mich. Was wäre hier der Vorteil?

VPN war natürlich auch ganz klar meiner erster Ansatz. Nur: Welcher VPN Router funktioniert mit VDSL der Telekom bzw. welche Geräte taugen was?

Wäre ein Software VPN auch umsetzbar?
Mitglied: wiesi200
wiesi200 22.08.2014 um 15:36:10 Uhr
Goto Top
Selbst wenn du einen VDSL50 Anschluss hast ist das von der Geschwindigkeit um einiges niedriger als ein 1Gbit Anschluss in der Firma und von dem was du mit 3G Up/Download raten hast ist es z.b. nicht lustig wenn du z.b. eine 1MB große Exceldatei von eurem Fileserver zu öffnen bzw. zu speichern.

Bei einem Terminalserver musst du nicht die Datei über den langsamen 3G Anschluss jagen sondern du hast nur eine Übertragung von Bildern was ein flüssiges Arbeiten ermöglicht.

Bei Außenstellen gäb's da noch andere Lösungen.
Mitglied: hugofrizzante
hugofrizzante 22.08.2014 um 15:47:14 Uhr
Goto Top
Blenden wir mal 3G und Terminalserver aus und gehen davon aus, dass die entfernten Clients alle per WLAN (min. 6k) und VPN verbinden:

Wie würde jetzt eine vernünftige VPN-Lösung aussehen? Vernünftig heißt, dass Sicherheit/Preis/Leistung passen. Und wieso ist die fritzbox so untauglich und unbeliebt für VPN? Die VPN Gateways die ein Annex J Anschluss und WLAN haben kosten 700€ aufwärts...

Bis wir die Domäne eingerichtet hatten lief eine Hamachi Software-VPN einwandfrei. Diese wird aber - zumindest offiziell- nicht mit dem Active Directory kompatibel. Gibt es nicht eine sinnvolle Software-Lösung?
Mitglied: wiesi200
wiesi200 22.08.2014 um 16:03:48 Uhr
Goto Top
eine vernünftige "Preiswerte" VPN Lösung währ z.b. Monowall auf einem Alix Board.

Wenn du mit dem Anschluss Probleme hast kann man vor sowas auch ein Modem bzw. den Hersteller Router als Modem hängen.

Die Softwarelösung halte ich für ungeeignet da die ja auf einem Server in deinem Netz läuft.

Ein entfernter Client wird sich übrigens nie per WLan verbinden da ja das WAN dazwischen ist und das der Limitierende Factor ist und 6k (und du brauchst das als Up und Download) sind verdammt wenig.
Mitglied: keine-ahnung
keine-ahnung 22.08.2014 um 16:21:06 Uhr
Goto Top
Moin nochmal,
Blenden wir mal 3G und Terminalserver aus und gehen davon aus, dass die entfernten Clients alle per WLAN (min. 6k) und VPN verbinden
was verstehst Du unter WLAN min. 6K?
Die VPN Gateways die ein Annex J Anschluss und WLAN haben kosten 700€ aufwärts...
You get, what you pay ... Da Du Dich auch nicht darüber auslässt, was und wieviele VPN da aufgespannt werden sollen, wird es schwierig. Eierlegende Wollmilchsau ist für mich (Laie - ich will es möglichst einfach und stabil) ein LANCOM-WLAN-Router mit entsprechendem Modem. Erschwinglich (es geht ums Geschäft!), gerade noch konfigurierbar und stabil wie ein Russenpanzer in der Ostukraine ... ooops, na ja!

Wenn sich wirklich clients über 3G einwählen, geht das nur über remote desktop ... ob jetzt auf einer physischen Maschine oder auf einem TS ist da wurscht. Aber so unterm Strich denke ich bei dem Wenigen, was wir wissen, wäre ein Terminalserver (SRY, heisst jetzt remote desktop server face-wink) vermutlich Mittel der Wahl für Dich. Wenn Dir das über den Kopf wächst, lass Dir das einrichten - wenn das stabil läuft, hast Du die Kohle in nullkommanix wieder rein.

LG, Thomas
Mitglied: hugofrizzante
hugofrizzante 22.08.2014 um 16:22:03 Uhr
Goto Top
...es gibt ja auch ein lokales WLAN neben einem entferntem WLAN. Ich bin mal die verschiedensten Hersteller durchgegangen. Anbei eine Liste an geeigneter Geräteface-sadglaube ich)


Sortiert nach Preis:
http://www.netgear.de/business/products/security/FVS318N.aspx#tab-techs ...
http://www.zyxel.ch/de/products/zyxel-sbg3300-n/
http://www.bintec-elmeg.com/de/bintec-RS353jw-802.html
http://www.lancom.de/produkte/standortvernetzung/router-vpn-gateways/la ...

Was würdet Ihr davon am ehesten nehmen?

@wiesi200: Die Monowall ist sowas ähnlich wie das hier oder? Kannst du da was empfehlen? Würde man dann quasi einfach in das Netzwerk hinter der fritzbox reinnehmen und dann als VPN/DHCP/DNS-Server verwenden?
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
Mitglied: hugofrizzante
hugofrizzante 22.08.2014 um 16:26:50 Uhr
Goto Top
Mit dem WLAN meinte ich nur, dass alle entfernten Clients mindestens über eine DSL6000er-Leitung verfügen (Upstream ca. 1000kbit). Deshalb blenden wir mal bitte 3G aus face-smile

Anforderungen an die VPN-Anbindung:

5-6 User; Anmeldung an der Domäne, laden des Benutzerprofils, Einbinden der Netzlaufwerke

Die Dateimengen bzw größen sind nicht sonderlich hoch. Normaler Officebetrieb würde ich sagen.
Mitglied: wiesi200
wiesi200 22.08.2014 um 16:31:11 Uhr
Goto Top
Zitat von @hugofrizzante:

Mit dem WLAN meinte ich nur, dass alle entfernten Clients mindestens über eine DSL6000er-Leitung verfügen (Upstream ca.
1000kbit). Deshalb blenden wir mal bitte 3G aus face-smile

3G ausgeblendet. Trotzdem das ist sehr wahrscheinlich zu wenig.

Anforderungen an die VPN-Anbindung:

5-6 User; Anmeldung an der Domäne, laden des Benutzerprofils, Einbinden der Netzlaufwerke

Die Dateimengen bzw größen sind nicht sonderlich hoch. Normaler Officebetrieb würde ich sagen.

Das hat nicht's mit Anforderungen an VPN zu tun. VPN ist nur zur Absicherung.
Stell dir einen TS hin.
Mitglied: hugofrizzante
hugofrizzante 22.08.2014 um 16:41:14 Uhr
Goto Top
TS ist ausgeschlossen. Die kleinste Leitung die wir haben sind 16Mbit/2Mbit ... mit Hamachi VPN lief das bis jetzt ja einwandfrei. Der ist nur eben nicht kompatibel zum DC.

Also doch VPN. Nur welches von denen Geräten würdet Ihr für meine Anforderungen nehmen? Ich wäre auch bereit mich von der fritzbox zu trennen, wenn das mit der Monowall oder pfSense nicht klappt :D

VDSL (Annex J) und WLAN sind ein MUSS!
Mitglied: wiesi200
wiesi200 22.08.2014 um 16:49:29 Uhr
Goto Top
Ich werde jetzt auf keinen Fall eine Empfehlung zum rumpfuschen geben.

Geräte gibt's wie Sand am Meer und es ist hier auch schon oft genug besprochen worden. Nimm die Suchfunktion dann wird das schon.
Mitglied: keine-ahnung
keine-ahnung 22.08.2014 um 17:42:17 Uhr
Goto Top
Moin nochmal,
TS ist ausgeschlossen. Die kleinste Leitung die wir haben sind 16Mbit/2Mbit
ad hoc würde ich dann zur Briefpost raten face-wink. Ist auch relativ sicher und ähnlich schnell, zusätzlich sicherst Du noch Arbeitsplätze, die ab Januar mit dem Mindestlohn vergütet werden müssen!

LG, Thomas
Mitglied: Arch-Stanton
Arch-Stanton 22.08.2014 um 22:27:09 Uhr
Goto Top
Nun lasst ihn doch endlich eine Bruchlandung hinlegen, wenn er beratungsresistent ist. Frag mich bloß, warum er sich hier angemeldet hat...

Gruß, Arch Stanton
Mitglied: keine-ahnung
keine-ahnung 22.08.2014 um 22:59:31 Uhr
Goto Top
Moin,
wenn er beratungsresistent ist. Frag mich bloß, warum er sich hier angemeldet hat...
ooops. Wo muss ich die Löschung meines accounts beantragen face-wink?

Is doch eh Freitag in der Arbeitswelt ...

LG, Thomas
Mitglied: 108012
Lösung 108012 22.08.2014, aktualisiert am 25.08.2014 um 19:25:46 Uhr
Goto Top
Hallo,

Gerne würde ich jetzt entfernte Clients (Laptops per 3G oder
Eher nicht mit der AVM FB sndern eher über SSL VPN.

PCs in anderen Niederlassungen) an die Domäne anbinden
Über IPSec VPN das kann auch die AVM FB.

Bis jetzt läuft das lokal mit den 10 Clients sehr gut
Was läuft gut? Das Anmelden der PCs im LAN, sollte ja nich das Problem sein,
oder melden die sich schon via VPN an?

Jetzt die Frage: Wie kann ich am SINNVOLLSTEN die entfernten Clients
SSL VPN

bzw. Niederlassungen anbinden?
IPSec VPN

Ergo nimm einen Router der das kann und zwar beides.
Negtear FVS336Gv2/v3
LANCOM VPN Router (Vigor3900)
UBNT EdgeMax light oder PoE Router
MikroTik RB435G. RB800, RB2011 Serie, RB1100AHx2, CCR1009, CCR1016, CCR1036 oder CCR1072
Alix APU Board mit pfSense und WLAN Karte
Soekris net6501 mit pfSense, IPFire oder OpenWRT und WLAN Karte
VPN fähiger Router mit DD-WRT und WLAN

Gruß
Dobby
Mitglied: hugofrizzante
hugofrizzante 25.08.2014 um 19:40:45 Uhr
Goto Top
Danke für die ausführliche Antwort. Der Kenndaten vom Netgear FVS336Gv2/v3 sehen doch ganz gut aus. Weis jemand zufällig, ob der in Kombination mit der FritzBox (als Modem funktioniert) oder brauche ich ein extra VDSL-Modem?

@Arch-Stanton @keine-ahnung: Vielen vielen Dank zu Eurem Lösungsbeitrag.
Mitglied: 108012
108012 25.08.2014 um 19:52:38 Uhr
Goto Top
Der Kenndaten vom Netgear FVS336Gv2/v3 sehen doch ganz gut aus.
Ja aber es wäre jetzt wirklich hilfreich wenn Du uns mal auflisten könntest
wie viele Leute via VPN auf die Firma zugreifen.

Weis jemand zufällig, ob der in Kombination mit der FritzBox (als Modem funktioniert)
Es funktioniert sicherlich nur meist mehr schlecht als recht und einen Router vor
einer Firewall die eventuell noch eine DMZ hat ist nicht so der "Bringer".

oder brauche ich ein extra VDSL-Modem?
Dazu würde ich raten wollen, muss aber nicht unbedingt sein.

Gruß
Dobby
Mitglied: hugofrizzante
hugofrizzante 26.08.2014 um 13:38:58 Uhr
Goto Top
Zu den Eckdaten noch des VPN: Es werden vier Niederlassungen mit jeweils zwei Arbeitsplätzen per VPN IPsec angeschlossen. Dazu noch vier Clients ohne festen Standort.

D.h. ich nehme den Bintec Elmeg RS353jw (nur ~300€ netto) dann hab ich die eierlegende Wollmichsau (DynDNS, WLAN, VDSL-Modem, VPN IPsec für Niederlassungen, VPN SSL für Clients), korrekt?

PS: Keine Sorge, die Installation mache nicht ich face-smile))
Mitglied: 108012
108012 26.08.2014 um 13:52:37 Uhr
Goto Top
D.h. ich nehme den Bintec Elmeg RS353jw (nur ~300€ netto) dann hab ich die eierlegende
Wollmichsau (DynDNS, WLAN, VDSL-Modem, VPN IPsec für Niederlassungen, VPN SSL für
Clients), korrekt?
Jo das wäre natürlich eine Lösung die alles abdeckt.


Gruß
Dobby