9
VPN Lösung zu Terminal Server bei Server-Hosting in RZ
Liebe Gemeinde,
leider bin ich unbedarft was VPN angeht und brauche deshalb mal euren fachmännischen Rat.
Ausgangslage:
Wir haben bei einem Hoster einen Windows Server 2012, der als Terminal Server betrieben wird, ohne Domänencontroller. Feste IP beim Hoster ist vorhanden.
Von unserem Büro arbeiten wir zu fünft darauf mit Remote Desktop. Verbindung läuft über eine VDSL mit einer Fritzbox 7130.
Auf Dauer ist uns das zu unsicher.
Ich habe mal das Programm Fritz Fernzugang auf dem Server getestet, aber das gefällt mir nicht. Zum einen muss ich als User angemeldet bleiben und zum anderen scheint das mir von wie "von hinten durch die Brust ins Auge".
Daher meine Frage:
Wie können wir simpel und gerne mit Hardware eine gute Site to Site VPN Lösung realisieren? Hardware geht natürlich nur bei uns, beim Hoster können wir nur den Server administrieren, wie er ist.
Die Fritzbox würden wir gerne belassen. Aber wir hätten nichts gegen einen VPN Router dahinter. Welche Software (als Dienst) wäre für den Server brauchbar bzw notwendig?
Besten Dank schonmal im Voraus - ich hoffe, meine Angaben reichen aus für hilfreiche Antworten!
VG
Christian
leider bin ich unbedarft was VPN angeht und brauche deshalb mal euren fachmännischen Rat.
Ausgangslage:
Wir haben bei einem Hoster einen Windows Server 2012, der als Terminal Server betrieben wird, ohne Domänencontroller. Feste IP beim Hoster ist vorhanden.
Von unserem Büro arbeiten wir zu fünft darauf mit Remote Desktop. Verbindung läuft über eine VDSL mit einer Fritzbox 7130.
Auf Dauer ist uns das zu unsicher.
Ich habe mal das Programm Fritz Fernzugang auf dem Server getestet, aber das gefällt mir nicht. Zum einen muss ich als User angemeldet bleiben und zum anderen scheint das mir von wie "von hinten durch die Brust ins Auge".
Daher meine Frage:
Wie können wir simpel und gerne mit Hardware eine gute Site to Site VPN Lösung realisieren? Hardware geht natürlich nur bei uns, beim Hoster können wir nur den Server administrieren, wie er ist.
Die Fritzbox würden wir gerne belassen. Aber wir hätten nichts gegen einen VPN Router dahinter. Welche Software (als Dienst) wäre für den Server brauchbar bzw notwendig?
Besten Dank schonmal im Voraus - ich hoffe, meine Angaben reichen aus für hilfreiche Antworten!
VG
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297045
Url: https://administrator.de/contentid/297045
Printed on: April 24, 2024 at 07:04 o'clock
9 Comments
Latest comment
Servus,
einen Windows Server im offenem Internet betreiben? Das grenzt schon an grobe Fahrlässigkeit und hat mit Datenschutz überhaupt nichts mehr zu tun!
Am besten: auf beiden Seiten einen Router installieren und darüber dann eine IPSec Verbindung aufbauen!
PS: Nein, ein Windows Server, mit einem VPN Client bringt nichts, da er trotzdem im Internet ist.
Du kannst aber gerne ein Vernünftiges Angebot für's Hosting von mir haben, bei Interesse inkl. Firewall.
lG,
Stefan
einen Windows Server im offenem Internet betreiben? Das grenzt schon an grobe Fahrlässigkeit und hat mit Datenschutz überhaupt nichts mehr zu tun!
Am besten: auf beiden Seiten einen Router installieren und darüber dann eine IPSec Verbindung aufbauen!
PS: Nein, ein Windows Server, mit einem VPN Client bringt nichts, da er trotzdem im Internet ist.
Du kannst aber gerne ein Vernünftiges Angebot für's Hosting von mir haben, bei Interesse inkl. Firewall.
lG,
Stefan
Ich setze auch einen Windows Server ein. Habe per Firewall alle öffentlichen Verbindungen blockiert und per DynVPN ein kleines VPN Netz aufgebaut in dem meine Rechner und der Server verbunden sind sodass ich per RDP zugreifen kann.
Die Lösung ist eigentlich kinderleicht. Wenn du auf der Serverseite keinerlei Option auf Hardware hast dann setze dort den kostenfreien IPsec Client Shrew ein: https://www.shrew.net
Auf der Clientseite nimmst du einen VPN fähigen Router oder eine kleine Firewall die IPsec als VPN Protokoll unterstützt.
Einen guten Überblick gibt dir das hiesige IPsec Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Damit stellt der Server dann eine permanente IPsec VPN Verbindung mit deinem Client LAN her und die Clients können so auf dem Server arbeiten als wäre er lokal im Netz...der tiefere Sinn eines VPN eben
Bei kommerziellen Router oder Firewall Lösungen wie Lancom, Bintec, Zyxel, Cisco usw. ist meist auch immer ein VPN Client dabei.
Eine weitere sinnvolle Alternative ist statt IPsec OpenVPN einzusetzen. Auch hier hast du einen kostenfreien Client für den Server: https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI
Und Anleitungen für Router, Firewalls oder die Installation auf einem zusätzlichen Serverrechner auf Clientseite gibt es zuhauf wie auch hier im Forum:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit ist die Installation in ein paar Minuten erledigt.
OpenVPN ist ein SSL basiertes VPN was im Protokoll Handling (NAT etc.) etwas einfacher ist als IPsec
Beide Protokolle gelten als hinreichend sicher derzeit.
Bei deinem sehr einfachen und banalen Design ist das alles kein Hexenwerk und in 10 Minuten erledigt.
Auf der Clientseite nimmst du einen VPN fähigen Router oder eine kleine Firewall die IPsec als VPN Protokoll unterstützt.
Einen guten Überblick gibt dir das hiesige IPsec Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Damit stellt der Server dann eine permanente IPsec VPN Verbindung mit deinem Client LAN her und die Clients können so auf dem Server arbeiten als wäre er lokal im Netz...der tiefere Sinn eines VPN eben
Bei kommerziellen Router oder Firewall Lösungen wie Lancom, Bintec, Zyxel, Cisco usw. ist meist auch immer ein VPN Client dabei.
Eine weitere sinnvolle Alternative ist statt IPsec OpenVPN einzusetzen. Auch hier hast du einen kostenfreien Client für den Server: https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI
Und Anleitungen für Router, Firewalls oder die Installation auf einem zusätzlichen Serverrechner auf Clientseite gibt es zuhauf wie auch hier im Forum:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit ist die Installation in ein paar Minuten erledigt.
OpenVPN ist ein SSL basiertes VPN was im Protokoll Handling (NAT etc.) etwas einfacher ist als IPsec
Beide Protokolle gelten als hinreichend sicher derzeit.
Bei deinem sehr einfachen und banalen Design ist das alles kein Hexenwerk und in 10 Minuten erledigt.
Zitat von @aqui:
Bei deinem sehr einfachen und banalen Design ist das alles kein Hexenwerk und in 10 Minuten erledigt.
Bei deinem sehr einfachen und banalen Design ist das alles kein Hexenwerk und in 10 Minuten erledigt.
Also als Firma möchte ich sowas nicht betreiben, das wird nämlich mit ziemlicher Sicherheit dem Datenschutzbeauftragten nicht gefallen
So so...was würde deinem Datenschutzbeauftragten denn als Alternative gefallen wenn man es nicht mit IPsec oder SSL absichert ? Das dürfte sehr spannend sein für die Community hier ?
z.B. Inhouse Lösung und wenn im RZ, dann mit Management und nicht von nem Typen der meint einen "Windows Server im RZ aufsetzen zu können",
wir sind uns doch wohl einig (zumindest hast Du das schon öfter geschrieben) dass ein Windows direkt im Internet nicht das wahre ist
wir sind uns doch wohl einig (zumindest hast Du das schon öfter geschrieben) dass ein Windows direkt im Internet nicht das wahre ist
Nee, klar, da hast du natürlich Recht. Deshalb ist das was der TO aktuell macht ja auch tödlich ohne VPN, denn die ganze Welt kann jetzt seine Daten mitlesen unddas wäre in der Tat eine Steilvorlage für den Datenschützer, wenn nicht schon der Supergau. Vom Exponieren eines Winblows OS im Internet jetzt noch gar nicht mal geredet, was an sich schon schlimm genug ist.
Wenn er aber den vermutlich bei einem öffentlichen Hoster gehostetem Server nun per lokaler Firewall sicher macht und nur SSH, und IPsec passieren lässt zur Administration bw. VPN und den Server so per VPN Tunnel fest an seinen Router oder Firewall anbindet an dem Netz wo seine Clients sind, dann hat er schon fast ein Maximalmaß an Sicherheit wie er es will.
Der DS sollte dann auch wieder ruhig schlafen können
Wenn er aber den vermutlich bei einem öffentlichen Hoster gehostetem Server nun per lokaler Firewall sicher macht und nur SSH, und IPsec passieren lässt zur Administration bw. VPN und den Server so per VPN Tunnel fest an seinen Router oder Firewall anbindet an dem Netz wo seine Clients sind, dann hat er schon fast ein Maximalmaß an Sicherheit wie er es will.
Der DS sollte dann auch wieder ruhig schlafen können
Hallo aqui,
meinen besten Dank für Deine Lösungsvorschläge. Das sollte ich hinbekommen.
Um die Diskussion zum Thema Datenschutzbeauftragten nicht weiter anheizen zu wollen, würde ich dies an dieser Stelle nicht weiter kommentieren wollen.
Viele Grüße und frohes Arbeiten,
Christian
meinen besten Dank für Deine Lösungsvorschläge. Das sollte ich hinbekommen.
Um die Diskussion zum Thema Datenschutzbeauftragten nicht weiter anheizen zu wollen, würde ich dies an dieser Stelle nicht weiter kommentieren wollen.
Viele Grüße und frohes Arbeiten,
Christian
würde ich dies an dieser Stelle nicht weiter kommentieren wollen.
...ist auch besser so 
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen.
