Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN / PcAnywhere zur Fernwartung einsetzen - aber wie anfangen?

Mitglied: Christian-77

Christian-77 (Level 1) - Jetzt verbinden

06.10.2006, aktualisiert 10.10.2006, 7067 Aufrufe, 12 Kommentare

Hallo zusammen !

Im Rahmen meines Praktikums soll ich mich mal schlau machen, in wie weit es möglich ist, per VPN eine Verbindung zu unseren Kunden aufzubauen. Dies wird bis jetzt noch über eine beim Kunden reservierte Telefonleitung (56kbit/s Modem) und dem Programm PCanywhere gemacht.

Da aber mittlerweile die Datenmengen so gross sind, (Diagnosebilder 5 – 30 MB) wird eine höhere Bandbreite benötigt. Die Kunden haben sicher alle eine Standleitung, und da achte ich an VPN. Bei Kunden VPN Server laufen lassen, auf eigenem Rechner eine VPN Client starten, PCAnywhere starten und los geht es. Ist das jetzt alles so einfach oder stehe ich vor nem riesigem Berg an Fragen / Problemen? Was für Vorraussetzungen müsste ich schaffen bzw. welche Infos aus dem eigenen Netzwerk / Kundennetzwerk müsste ich heranholen, um ein VPN sicher und nicht allzu kompliziert aufzubauen? Ein Problem könnte werden dass nicht jeder Kunde den gleichen Netzwerkaufbau hat oder reicht die nach aussen sichtbare IP immer aus?

Frage über Fragen…


Es wäre sehr nett, wenn mir jemand ein paar Tipps geben könnte.
Mitglied: RKO
06.10.2006 um 15:37 Uhr
Hi,

wenns schon vpn möglich ist könnte alles ganz einfach werden.
Du bauchst dann denn passenden Client. Am besten vom admin anforderen.
Der muss dich dann auch frei schalten. Meisten wird auch eine eigene statische ip benötigt.
DAs muss dir aber auch der admin sagen. Auch kommt oft ein sogenanter talken zum einsataz. Ist ein ID generatort.
ERgo wie es wirklich ist must du mit dem VPN Admin vom Kunden besprechen.

Der zugriff erfolgt dann auf den server oder client wieder via RDP.

Gruß
RKO
Bitte warten ..
Mitglied: markus0873
06.10.2006 um 15:38 Uhr
Hi Chistian,

hui, da hat man Dir für ein Praktikum aber schonmal ein anspruchsvolles Thema an die Hand gegeben. Ich stimme Dir zu: Da Du keine homogene Umgebung hast (jeder Kunde hat eigene Netzwerkstruktur), ist eine Lösung da auch nicht so mal eben aus dem Ärmel geschüttelt. Am Einfachsten wäre es natürlich, die Kunden alle mit einheitlichen VPN-fähigen Routern auszustatten, die dann oft auch einen Client mitbringen. Solche Szenarien sind ziemlich einfach zu konfigurieren, aber das dürfte für die genannte Situation eher schwierig werden.
Schau Dir dazu mal OpenVPN an (ask Google ). Die Konfiguration ist zwar nicht unbedingt trivial, aber das Produkt ist kostenlos und arbeitet mit sehr professionellen Verschlüsselungsverfahren. Zudem ist es für Linux- und Windowssysteme verfügbar. Und last but not least hast Du bei OpenVPN auch keine Probleme mit NAT (VPN-Passthrough ist zwar ein vielgelesenes Verkaufsargument, funktioniert bei vielen Low-Cost-Routern aber oft nicht oder zumindest nicht zuverlässig). Vielleicht setzt Du Dir z.B. mal zwei virtuelle Maschinen in Vmware als Testumgebung auf und probierst mal eine OpenVPN-Konfiguration.

Viel Erfolg,

Markus
Bitte warten ..
Mitglied: 27119
06.10.2006 um 15:49 Uhr
Jo, wenn VPN beim Kunden schon vorhanden ist müsstet ihr als Fernwarter nur einen entsprechenden VPN User Account beim Kunden bekommen und den passenden VPN Client einsetzen.
Falls ihr als Dienstleister immer die selbe IP bzw. einen bestimmten IP Range benutzt,
könnte der Kunde auch einfach für diesen Ip Range den Zugriff auf Port 3389 öffnen - und ihr könnt per Remote Desktop bequem auf nen Rechner in der firma zugreifen, von wo aus ihr auf die zu administrierenden Systeme zugreifen könnt. Das würde die Sicherheit nochmal erhöhen da dann nicht JEDER aus dem Internet auf port 3389 zugreifen könnte.
RDP ist auch verschlüsselt, RC4.
Bitte warten ..
Mitglied: Christian-77
06.10.2006 um 15:51 Uhr
Vielen Dank RKO und Markus0873

für die ersten Hilfen. Ich werde mich da übers WE mal genauer in OpenVPN und VPN allgemein einlesen und am Montag werde ich dann mal unseren Admin hier nerven.

Es wäre sehr nett, wenn ihr und auch andere, die mir helfen können, weiterhin ein bisschen auf diesen Beitrag schielen würden. Ich denke ich melde mich noch häufiger wieder )

Schon mal ein schönes WE an alle !
Bitte warten ..
Mitglied: 27119
06.10.2006 um 16:32 Uhr
Ob man nun nen VPN Tunnel einsetzt und durch den Tunnel RDP jagt oder nur RDP macht und beim Kunden den IP Range der per RDP zugreifen darf eingrenzt - da kommt so ziemlich das gleiche heraus, aus sicherheitstechnischer Sicht. RDP hat zwar gewisse theoretische Design-Schwächen - diese auszunutzen (Man in the Middle Attacke) beim Zugriff von extern ist jedoch schwieriger, als auf deinem Rechner einen Keylogger unterzubringen, der dein eingetipptes Passwort eh mitloggt.
Sicher sind hier nur Einmalpasswörter (RSA SecureID oder Smartcard) - egal ob RDP oder VPN eingesetzt wird. Auch der schönste VPN Tunnel nützt nix, wenn man sich mit langlebigem Passwort authentifiziert und ein Keylogger das Passwort erspäht.

VPN hat ferner den Nachteil (für den Kunden) dass durch VPN jegliche anderen Protokolle getunnelt werden können, also auch Netbios, Wurm-Angriffe von infizierten Remote-Rechnern usw.
VPN bietet also ein viel grösseres Einfallstor, als ihr für die Fernadministration benötigt.
Ich als Kunde würde einem externen Dienstleister jedenfalls keinen VPN Account geben - höchstens Citrix TerminalDienst Zugriff auf bestimmte Systeme, die zu betreuen sind.
Bitte warten ..
Mitglied: Christian-77
09.10.2006 um 17:27 Uhr
Puuh! RDP, RC4, Citrix, .... Mann Mann Mann, hier werd ich aber so richtig nett mit Abkürzungen, Protokollen und Fremdwörtern vollgepumpt.
Ich glaube, vorausgesetzt ihr habt lust dazu, müssen wir nen Gang rausnehmen und das Ganze noch ein wenig langsamer angehen.

Mittlerweile habe ich mich viel gelesen, ein Dokument fertig gebastelt und dies meinem Chef gezeigt / referiert. Darinerkläre ich halt kurz, dass man entweder PortForwarding in Verbindung mit PcAnywhere oder ein VPN mit Zeugs wie OpenVPN (Server bei Kunde, Client bei uns) machen kann.

Daraufhin kam die Sache auf, dass Windows XP eine VPN Gelegenheit mitbringt und warum wir nicht die benutzen können. Da hätten wir auch weniger Probleme, dass der Kunde Software wie OpenVPN oder PcAnywhere installieren muss. Leidergottes hatte ich da nicht wirklich ne Antwort drauf. Also die Theorie habe ich fürs erste. Wie ich es jetzt anfangen muss, dass es für "laien", per "netzwerkverbindung verbinden" geht noch nicht.

Ich hoffe ich kriege noch ne Runde Hilfe.

Ist es denn wichtig, was der ISP zu VPN sagt?
Was hat das mit den Routern auf sich? Ist das wirklich ein Problem die VPN-Tunnel da durch zu leiten? Fragen über Fragen .....


P.S.: Hab ich in der Hierarchie des Threads richtig geantwortet? Keinen Blassen wo ich meine "Antwort" schreiben soll. Naja, bis bald hoffentlich.
Bitte warten ..
Mitglied: 27119
09.10.2006 um 17:47 Uhr
Ja, das VPN Passthrough durch Router kann tatsächlich Probleme machen - je nach VPN Protokoll (meist IPSEC) und je nach Router.
RDP hat halt den grossen Vorteil, dass man nur EINEN Port braucht.
Die Verbindung per RDP ist verschlüsselt - hat aber theoretische Sicherheitsschwächen.
Vorteil von RDP: Du musst NIX installieren auf den Kunden Rechnern, da das XP und Server schon von Haus aus unterstützen. RDP ist einfach ein Genuss.
Bitte warten ..
Mitglied: markus0873
09.10.2006 um 18:50 Uhr
Huhu nochmal,

also wenn's Deinem Chef ausschliesslich um Fernwartung geht, dann gehe ich da mit Duno völlig konform: Ich administriere selbst mehrere System über das Standard-Windows-RDP und da ist man eigentlich einigermaßen auf der sicheren Seite. 100%ige Sicherheit kann man seriöserweise ohnehin niemandem versprechen, da hantiert man doch eher mit mehr oder weniger wahrscheinlichen Bedrohungsszenarien.
Wenn also nicht gerade das Pentagon zur Eurem Kundenkreis zählt , dann ist das Remote Desktop Protokoll da schon eine sinnvolle Möglichkeit. Nur damit Du nichts durcheinander bringst: RDP hat erstmal nichts mit VPN zu tun,sondern ist letztlich ein Protokoll für den Terminalserverzugriff. Windows 2000/2003 Server bringt in der Tat VPN-Funktionalität für die Protokolle IPsec/PPTP mit. Sofern für die geforderten Wartungsarbeiten - auch da gebe ich meinem Vorredner Recht - ein RDP-Zugriff ausreicht, wäre eine VPN-Verbindung nur unnötiger Aufwand für beide Seiten, der die Sicherheit des Zugriffs nicht wirklich verbessert.

Gruß,

Markus
Bitte warten ..
Mitglied: Christian-77
09.10.2006 um 19:09 Uhr
RDP hat halt den grossen Vorteil, dass man
nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke, aber was meinst du hier mit EINEN? In der Verbindung von ich sag mal grob Deutschland nach nem Kunden in ich sach mal ausm Bauch heraus Belgien wird es schätzungsweise mehr als einen Router geben ...
Bitte warten ..
Mitglied: 27119
09.10.2006 um 20:18 Uhr
Um von einem PC über das Internet und einen Firmen-Router (zb. bei deienm Kunden) auf einen Windows-Rechner zuzugreifen, der sich im LAn des Kunden befindet, muss beim Kundenrouter bzw. seiner Firewall nur Port 3389 geöffnet werden. Oder - falls bespielsweise die Firewall sowiso auf Port 22 (SSH) offen sein sollte (um auf Linux Server zuzugreifen, was üblich ist), dann kann man der RDP Port auch auf Port 22 beispielsweise ummáppen, ist ein Registry Eintrag den man auf dem Kundenrechner ändern muss von 3389 auf 22 in dem Beispiel). Dann kann man per RDP auf den Kundenrechner auf Port 22 zugreifen.
Das ist alles. Die simpleste Lösung - und man muss weder was kaufen, noch esoterisches Wissen haben um es zu implementieren.
Die Frage ist nur, ob es dem Kunden gefällt, dass ihr ständig auf seine Rechner gehen könnt.
Denkbar wäre, an der Routerfirewall beim Kunden den Port nur dann zu öffnen, wenn er tatsächlich Support braucht, und anschliessend macht er wieder dicht - hängt halt davon ab, wie sehr er euch ins Herz geschlossen hat, bzw. ob er eine Öffnung von Port 3389 für bedenklich hält.
PCAnywhere macht auch nix gross anderes als VNC, Remotedesktop oder wie die ganzen Bildschirm-Ausgabe-Transfer-Programme heissen mögen. Transferieren ja nur die Ausgabe von Maus, Tastatur, MOnitor über das Netz auf einen anderen Client.

DeinPC----------------Kunden-RouterPort3389offen--------------KundenPC
Bitte warten ..
Mitglied: 27119
09.10.2006 um 20:25 Uhr

> RDP hat halt den grossen Vorteil, dass
man
> nur EINEN Port braucht.

Sorry dass ich nicht alles sofort blicke,
aber was meinst du hier mit EINEN? In der
Verbindung von ich sag mal grob Deutschland
nach nem Kunden in ich sach mal ausm Bauch
heraus Belgien wird es schätzungsweise
mehr als einen Router geben ...


Wieviele Internet Router dazwischen sind ist völlig wurst. Die schleifen doch eh alles durch was nach TCP/IP riecht. Wichtig ist nur, was der Router im Netz deines Kunden durchlässt.
EINEN Port bedeutet nur, dass RDP nur einen Port braucht, nämlich 3389. So wie auch beispielsweise ein Webserver nur einen Port braucht - nämlich 80.
Bitte warten ..
Mitglied: Abdelhalim
10.10.2006 um 15:32 Uhr
Hallo,

ich möchte meinen Senf dazugeben... Ich mein wenn es "nur" für adminstrative Zwecke erfüllen werden sollen, könnte man ein anderes Fernwartungstool anwenden, wie z.B. NETVIEWER (http://www.netviewer.de) oder Teamviewer (http://www.teamviewer.de/de/index.aspx). Bei Remotetools sind sehr sicher, aber kosten Geld.

Vorteil: Brauch keine Anpassung an Firewall und ist für hetrogene Netze geeignet.

Weiß nicht, ob das was hilft.

Mit freundlichen Grüßen

Abdel
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VPN - Welche Lösung einsetzen?
Frage von br00talNetzwerke12 Kommentare

Hallihallo :) Habe mich natürlich erst ein bisschen reingelesen und unter anderem auch diese Anleitung durchgelesen: Da würde mich ...

Weiterbildung
Wo soll ich anfangen?
gelöst Frage von OVONELWeiterbildung7 Kommentare

Hallo alle zusammen! Im September schließe ich meine Ausbildung zum Fachinformatiker - Systemintegration meine schulischen Noten sind soweit in ...

Utilities
Fernwartung verwalten
gelöst Frage von ukulele-7Utilities19 Kommentare

Wir möchten bei unseren Kunden Software (auf Windows) per Fernwartung administrieren können ohne das eine gesonderte Freigabe durch den ...

Microsoft Office

Werte in Spalten vergleichen und einsetzen

gelöst Frage von Inge88Microsoft Office4 Kommentare

Halihalo, ich bin neu hier und versuche eine Lösung zu finden, bzw. kompetente Excel-Kenner: Ich habe mehrere Spalten (A, ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 2 TagenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)10 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server21 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server18 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...