Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Standortvernetzung ohne feste IP-Adressen ?

Frage Sicherheit Firewall

Mitglied: Heurazio

Heurazio (Level 1) - Jetzt verbinden

12.07.2011 um 06:19 Uhr, 5726 Aufrufe, 15 Kommentare

Erst mal Hallo an alle,

dann gleich zu meiner Frage / meinem Problem. Ich möchte zwei Standorte miteinander verbinden und kenne mich mit der Thematik kurzum noch garnicht aus. Nach längerem lesen bin ich soweit das ich wohl ein VPN zwischen Zentrale und Aúßenstelle einrichten muss. Meine erste überlegung war an beiden Enden eine Firewall (mit VPN-Funktion) zu verwenden und der Zentrale eine feste IP-Adresse zuweisen zu lassen (Transitnetz: Internet). Nun ist meine Frage ob dies auch anders geht.
Gibt es eine Möglichkeit Zentrale und Außenstelle zu verbinden OHNE das es nötig ist das einer der beiden Standorte eine feste IP zugewiesen bekommt bzw. im Internet "sichtbar" wird ? Von Softwareseitigen Lösungen wie Hamatchi etc. bin ich abgekommen. Die Leistung ist viel zu niedrig.

Über eine Antwort würde ich mich freuen.
Mfg Heurazio
Mitglied: brammer
12.07.2011 um 06:26 Uhr
Hallo,

an VPN wirst du im Entdefekt nicht vorbei kommen.
Es gibt ja auch hierfür verschiedene Lösungsansätze und auch Möglichkeiten ohne Feste IP.
Verbunden mit dem Internet müssen in jedem Falle beide Standorte sein.
Was für Dienste die Standorte nach aussen haben kann man ja freigeben, oder sperren.

Mach doch erst mal eine Bestandaufnahme der Hardware die du hast und schau ob die vorhandene HArdware
evtl. schon VPN fähig ist.
Dann können wir wieter überlegen.

brammer
Bitte warten ..
Mitglied: Heurazio
12.07.2011 um 06:34 Uhr
Die Außenstelle existiert bist jetzt noch nicht und muss neu geschaffen werden. Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden. Für die Zentrale dachte ich an ein LANCOM 7100 VPN und für die Außenstelle bin ich im Moment noch unentschlossen. Wichtig ist das die Zentrale selbst gut geschützt ist gegen eindringen und Extrahieren von sensiblen Daten. Über "man-in-the-middle" muss ich mir im Moment keine Gedanken machen.
Bitte warten ..
Mitglied: brammer
12.07.2011 um 07:53 Uhr
Hallo,

Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden

heißt in der Praxis?
Selbst eine Fritzbox oder ein Speedport können mit VPN umgehen...

MitM Attacken ist eine Frage des verwendeten Schlüssels und des Austauschweges des Schlüssels oder der verwendeten Zerifikaste

Ein Lancom Router ist keine Schlechte Wahl

brammer
Bitte warten ..
Mitglied: NoHopeNoFear
12.07.2011 um 08:35 Uhr
Moin,

ein Lancom 7100 für die Vernetzung von 2 Standorten ist aber mit (großkalibirgen) Kanonen auf Spatzen geschossen.
Da reicht auch ein 1611+, also der billigste VPN fähige Lancom, für beide Standorte. In Sachen Firewall geben sich beide nichts, lediglich der Datendurchsatz und die max. Anzahl der VPNs unterscheiden sich sowie die Anzahl der konfigurierbaren WAN Ports, der Rest ist im wesentlichen gleich.

VPN mit dynamischen IPs geht problemlos wenn du auf beiden Seiten Lancom Geräte hast.
Bitte warten ..
Mitglied: kopie0123
12.07.2011 um 09:53 Uhr
Hey,

richte DynDns Aderssen ein und dein VPN läuft.

Wir nutzen IPCop, ist umsonst,bringt alles mit was du brauchst. DynDns Client konfigurieren und Zertifikatsbasiertes IPSec nutzen. Für dich kannst Du dann noch einen OpenVPN Zugang fürs HomeOffice einrichten. Oder um Nachts die Server zu warten

Gruß
Bitte warten ..
Mitglied: aqui
12.07.2011 um 10:55 Uhr
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Mit 2 simplen VPN Routern bist du also bestens bedient und kannst das im Handumdrehen umsetzen !
Bitte warten ..
Mitglied: kleini0502
12.07.2011 um 15:27 Uhr
Hi Heurazio!

Eine sehr gute und einfache Lösung, jedoch nicht ganz billig, ist auch Astaro Security Gateway. Funktioniert auch einwandfrei mit DynDNS. Kosten sind natürlich abhängig von der Größe Deines Unternehmens (Benutzeranzahl) und welche ASG Du dort benötigst.

Gruß Kleini
Bitte warten ..
Mitglied: Heurazio
12.07.2011 um 21:55 Uhr
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...
Bitte warten ..
Mitglied: kleini0502
12.07.2011 um 22:21 Uhr
Hey!

Astaro Security Gateway bietet mehrere Features:

- Basis- Firewall
- Network Security
- Web Security
- Mail Security
- Wireless Security
- Web Aplication Security

U.a. sind dort auch Antivirenengines involviert (2 Stück). Proxy- Funktionen HTTP/HTTPS, FTP, MAIL etc.

Man kann schon sehr viel damit machen und vor allen ist es um einiges einfacher zu konfigurieren als Lancom (klar, ist ansichtssache...). Aber ich habe meine Kunden weitestgehend auf Astaro "umgeswitcht".

Nachteil bei Astaro sind wie oben schon erwähnt die Preise.

Gruß
Kleini

PS: Bei Astaro ist es auch ohne Probleme möglich VPN aufzubauen, wenn z.B. nur der Hauptstandort eine feste IP hat. Grundsätzlich brauch dieser diese auch bzw. DynDNS.
Bitte warten ..
Mitglied: jsysde
12.07.2011 um 22:21 Uhr
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Das ist zwar technisch richtig, sich für den geschäftlichen Bedarf auf die Verfügbarkeit eines externen Dienstleisters verlassen zu müssen, halte ich aber für sehr riskant. Wenn DynDNS, dann die Bezahlvariante.

@Heurazio:
Sinnvoller wäre es allerdings, zumindest der Zentrale eine statische, öffentliche IP zu verpassen - das macht sogar die Telekom, wenn man ein Business-Produkt bucht. Das kostet ein paar Euro mehr, hat aber auch entsprechend schnelleren Support. Vergleich: Privat-Anschluss bis zu 24 Stunden Reaktionszeit, Business max. 8. Wenn du es dir leisten kannst, dass dein Business > 24 Stunden auf dem Bauch liegt, bloss um ein paar Euro Gebühren im Monat zu sparen, nur zu.

Cheers,
jsysde
Bitte warten ..
Mitglied: NoHopeNoFear
13.07.2011 um 09:07 Uhr
Zitat von Heurazio:
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen
eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet
für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen
IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas
nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...

wenn du an beiden Standorten ISDN für den Router bereitstellen kannst geht es auch ohne DynDNS (Wir realisieren dass allerdings idr. via DynDNS). Bei 10 mbit/s in beide Richtungen könnte der Lancom 1711+ auch noch genügen, schau dir mal das Datenblatt an.
Die LC Geräte sind natürlich mit Astaro und ähnlichen Herstellern nicht vergleichbar. Sind halt reine Gateways/Router und keine UTM Systeme.
Bitte warten ..
Mitglied: brammer
14.07.2011 um 06:20 Uhr
Hallo,

DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

Natürlich ist eine Verbindung nach aussen immer angreifbar.
Da wirst du aber nicht drum herum kommen dieses Risiko einzugehen, und entsprechende Schutzmassnahmen ergreifen müssen.
Nur, ohne eine Verbindng nach aussen wirst du keine Verbindung zwischen den beiden Standorten hinbekommen.

Wir betreiben mehrere Hundert Tunnel (weltweit!) und haben bisher keinen Einbruch gehabt, allerdings arbeiten wir nur mit IPSec Tunnel oder SSL Tunneln, bei SSL allerdings nur mit Cisco Routern.

brammer
Bitte warten ..
Mitglied: jsysde
14.07.2011 um 21:12 Uhr
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
Das gibt keinen Sinn - du bist immer "angreifbar", wenn du im Internet bist.

Cheers,
jsysde
Bitte warten ..
Mitglied: Heurazio
15.07.2011 um 01:49 Uhr
Das ich immer angreifbar bin ist mir auch bewust. Aber dank dynamischer IP-Adressen wird das Risiko zumindest minimal gehemmt. Bei statischen Adressen bleibt einem Angreifer natürlich alle Zeit der Welt den Angriff in Ruhe vorzubereiten.

NoHopeNoFear: Danke, dann schau ich mir den mal genauer an.
Bitte warten ..
Mitglied: jsysde
15.07.2011 um 19:36 Uhr
Sorry, da muss ich widersprechen. Portscanner, die man für solche Angriffe verwendet, interessieren sich nen Sch... für DNS-Adressen, die scannen einfach IP-Ranges von a bis z und wo sie einen Ansatzpunkt finden, greifen sie an oder halt auch nicht. Oder andersherum formuliert: Ob deine externe, öffentlich sichtbare IP-Adresse einen oder mehrere zugehörige DNS-Einträge aufweist, hat keinerlei Einfluss auf die Sicherheit.

Cheers,
jsysde
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Feste IP-Adressen und DHCP
Frage von Rennfloh2Netzwerkmanagement6 Kommentare

Hallo, stehe vor folgender Fragestellung: ich möchte mich mittels VPN ins Firmennetzwerk für "Mobiles Arbeiten" von zuhause einloggen. Dazu ...

Server
Feste Öffentliche IP Adresse
gelöst Frage von Bass2000Server9 Kommentare

Hallo zusammen, Ich habe mir mein altes Samsung Galaxy Young asl mobilen FTP-Server eingerichtet mit einer App. Ich kann ...

LAN, WAN, Wireless
Verbindungsabbrüche bei fester IP-Adresse
Frage von chris-99LAN, WAN, Wireless1 Kommentar

Wir haben eine Internetleitung über Unitymedia mit einer FritzBox. Außerdem gibt es eine feste IP-Adresse die per MAC-Adresse unserer ...

Windows 10
APIPA-Adresse zusätzlich zur festen IP-Adresse
Frage von slanskyWindows 1010 Kommentare

Hallo, ich habe einen Rechner welcher immer zusätzlich zur seiner festen IP-Adresse eine APIPA-Adresse bekommt. Wie kann das sein? ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...