Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN über einfachen Router auf zwei Server

Frage Netzwerke Router & Routing

Mitglied: nero2014

nero2014 (Level 1) - Jetzt verbinden

09.06.2014, aktualisiert 11.06.2014, 2536 Aufrufe, 9 Kommentare

Hallo zusammen, ich hab da mal eine Frage, was für den einen oder anderen sicherlich einfach zu lösen ist.

Folgender Sachverhalt: ein Kunde von uns hat folgende IT Software und Hardware im Bestand: Server 1 win sbs 2011, Server 2 win 2012. Router TP-Link TL-wdr3600 (ohne VPN). DSL Anbindung dynamische IP. DynDNS kann verwendet werden. Nun möchte der Kunde von Zuhause (Win 7) über eine VPN Lösung auf die Server zugreifen. (der einfachkeit halber über rdp)


Der Knackpunkt ist der Router, der ja nur die Portweiterleitung der gleichen Portnummer an EINEN Server hinterlegt werden kann. Wie kann das realisiert werden, dass der Kunde wählen kann, an welchen Server er sich verbinden kann.
Werden hier verschiedene Ports verwendet z.B. durch eine VPN Firewall Hardware Lösung z.B. Von Netgear VPN oder lässt sich das Problem mit der bestehenden Serversoftware lösen ?

Gibt es hier eine einfache Lösung, oder sollte der Router ausgetauscht werden (Mit VPN Lösung)


Vilen Dank für eure Antwort

Ernst V.
Mitglied: Dobby
LÖSUNG 09.06.2014, aktualisiert 11.06.2014
Hallo,

Der Knackpunkt ist der Router,
Jo, das sehe ich auch so!

Router TP-Link TL-wdr3600 (ohne VPN)
Tausch den einfach und gut ist es.

der ja nur die Portweiterleitung der gleichen Portnummer an EINEN
Server hinterlegt werden kann. Wie kann das realisiert werden, dass der > Kunde wählen kann, an welchen Server er sich verbinden kann.
Wenn man sich via IPSec VPN mit dem Router verbindet, steht
einem danach das gesamte dahinter liegende Netzwerk zur Verfügung!

Werden hier verschiedene Ports verwendet z.B. durch eine
VPN Firewall Hardware Lösung z.B.
Nein nur eben das man, wenn man denn erst einmal zu dem Router
bzw. der Firewall eine VPN Verbindung aufgebaut hat, kann man ja
auf das gesamte Netzwerk dahinter zugreifen, sofern nichts anderes
konfiguriert wurde und die Server haben ja unterschiedliche IP Adressen
und dann ist das eben schon klar worauf man zugreifen möchte.

Von Netgear VPN oder lässt sich das Problem mit der
bestehenden Serversoftware lösen ?
Warum sollte das denn nun der Netgear VPN Klient können?
Ich denke der Router ist ein TP-Link ohne VPN Funktion?

Gibt es hier eine einfache Lösung, oder sollte der Router
ausgetauscht werden (Mit VPN Lösung)
Ja genau so sehe ich das auch, man sollte den Router auf jeden Fall austauschen und zwar gegen ein Modell das VPN fähig ist und auch
ein paar Sicherheitsfunktionen mitbringt.

DSL Anbindung dynamische IP. DynDNS kann verwendet werden.
Man kann auch einen anderen Dienstanbieter nehmen kein Thema
nur funktionieren muss es eben.

Ich würde einfach mal bei LANCOM nachschauen die haben für jeden etwas im Programm.


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
09.06.2014 um 19:48 Uhr
Hi,
alternativ zu...
Tausch den einfach aus
http://linuxwelt.blogspot.de/2014/03/dd-wrt-vpn-verbindung-einrichten-w ...
Der Router ist mit DD-WRT, OpenVPN tauglich, was willst Du mehr.
Den Router von der original Firmware befreien und schon hast Du eine sichere Verbindung.
Den Rest hat Dir @aqui schon mundgerecht hingelegt....
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Gruß orcape
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 09.06.2014, aktualisiert 11.06.2014
Hallo,

Zitat von nero2014:
Folgender Sachverhalt: ein Kunde von uns
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?

Server 1 win sbs 2011
Bitte schön. Hier ist auch deine Lösung. VPN auf den SBS Aktivieren (machen die Asisstenten für dich), Protokoll GRE sowie TCP Port 1723 vom Router zu dein SBS weiterleiten, Kunde daheim wählt sich per sein W7 in sein VPN ein am SBS ein, und kann alles im netzwerk nutzen als sei er dort. RDP zu jedem Rechner möglich usw. Einziges manko, es ist ein PPTP. Da es als knackbar gilt (USD 200 in USA) wird dem PPTP eben ein NICHT sicher bescheinigt. Kennt zwar noch niemand dem ein PPTP geknackt wurde, aber es ist halt (Theoretisch) zu knacken.
Vorteil: fast alle OS haben ein PPTP Client onboard, selbst IOS usw. und daher brauchen keine Hersteller eigene Clients oder drittsoftware verwendet werden.

(der einfachkeit halber über rdp)
Ein absolutes NOGO und auch nicht nötig.

Der Knackpunkt ist der Router
Dann lass sein SBS dies handeln, wenn er absolut nicht in Hardware investieren will

Gibt es hier eine einfache Lösung, oder sollte der Router ausgetauscht werden (Mit VPN Lösung)
Wäre eindeutig der bessere weg.

Gruß,
Peter
Bitte warten ..
Mitglied: the-buccaneer
LÖSUNG 09.06.2014, aktualisiert 11.06.2014
Hi Nero2014!

Ist ja von meinen wie immer schnellen Vorrednern schon beinahe alles gesagt...

Um alle Rechner (Server) in deinem Netz zu erreichen musst du (dein Kunde) natürlich nur eine VPN Verbindung herstellen.

Völlig egal, ob das der Router oder ein Server macht.

PPTP: Gilt zwar als nicht mehr sicher, da gehackt, aber: Soweit ich mich entsinne, bedarf es eines Trafficmitschnitts des VPN-Traffics um den 200 $ Discount Service in Anspruch zu nehmen. Woher soll der kommen? Bleiben nur 1. Unsicheres WLAN oder 2. Man in the middle Attacke.
Auf ersteres hast Du Einfluss, zweiteres ist eher unwahrscheinlich. (Wenn auch nicht unmöglich)

Aber auch da erhöhen sich die Rechenzeiten ungemein, wenn ordentlich lange Keys eingesetzt werden.

Du kannst auf Windows Servern auch ein VPN als IPSec/L2TP einrichten. Das ist auch kein Hexenwerk und nach meinem Kenntnisstand mit ausreichendem Key auch sicher.

Anleitung z.B. da: http://www.elastichosts.com/support/tutorials/windows-l2tpipsec-vpn-ser ...

Meine Empfehlung für kleine Umgebungen ist aber mittlerweile die Fritbox, was das angeht. Die kann IPSec VPN, ist (relativ) einfach zu konfigurieren, AVM bietet einen guten Support und eine 2170 mit VPN kostet im Onlinehandel € 79,-

Der Client tut auch, was er soll und gut ists.

@Pjordorf: Hast du irgendeinen Link zu einer Quelle, die das Sicherheitsrisiko von RDP beschreibt? Ich habe die These "No-Go" auch lange vertreten, kann aber beim besten Willen nichts über gehackte Zugänge finden. MS hat da ja vor einiger Zeit mal nachgebessert... Abgesehen davon, dass ein 2 Stufen Konzept mit VPN und RDP NATÜRLICH mehr Sicherheit bietet. Wo ist da die Sicherheitlücke? (Ernsthafte Frage, evtl. für nen eigenen Thread )

Gruß

Bucko
Bitte warten ..
Mitglied: Pjordorf
10.06.2014 um 00:52 Uhr
Hallo,

Zitat von the-buccaneer:
Der Client tut auch, was er soll und gut ists.
Es gibt aber Clients wo eben diese Clientsoftware unerwünscht ist nicht zu bekommen ist. Daher mein hinweis zu PPTP.

kann aber beim besten Willen nichts über gehackte Zugänge finden.
Hab ich ja auch nicht behauptet Stell dir Server nur RDP ins Internet und einen mit PPTP VPN. Beim RDP hat irgendeiner nach kurzer Zeit das benutzerkonto in sein Wörterbuch gefunden und durch mehrmaliges fehlerhaftes anmelden dann endlich "gesperrt". Und, dein Server wir pausenlos mit RDP anfragen bombardiert. Bei VPN geben die meisten schell auf weil es doch eher unwahrscheinlich ist dort etwas an schaden (Konto sperren etc) anzurichten. RDP in sich ist ja auch verschlüsselt damit eben keine Daten in klartext mitgelesen werden können. Wer aber seinen Server liebt der nutzt einen Hardware VPN Server davor.

Wo ist da die Sicherheitlücke?
Blöd wenn dein benutzeraccount per RDP gesperrt wird Es ist ein unterschied ob nur der VPN Zugang gerade nicht geht oder das ganze AD Konto gesperrt ist -)

Und wer Unternehmensdaten per Internet nutzen muss, sollte auch den Griff zu einer UTM oder einer NG Firewall überlegen. Die Angriffe werden nicht weniger, aber immer rafinierter so das ein einfaches "du kommst hier ned rein" nicht mehr wirklich ausreichend sind. Und ein SBS bietet nun doch einiges an Angriffsmöglichkeiten, eben durch seine Zahlreichen Features die ja einfach nur mitlaufen und erreichbar sind.....

daher, sekbst eine Fritzbox schützt schon mehr und bietet auch VPN ala IPSec.

Just my 1 euro cent.

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2014 um 08:49 Uhr
Zitat von Pjordorf:

Hallo,

> Zitat von nero2014:
> Folgender Sachverhalt: ein Kunde von uns
Dann solltet ihr als Dinetleister doch wissen wie VPN gemacht werden kann oder das man RDP nicht offen ins Inet stellt, oder?

Nicht jeder Dienstleister muß alles können. Aber man muß wissen, wann und welchen "Kollegen" man zu Rate zieht, ohne selbst da rumzupfischen. Natürlich ist das ein potentieller Konkurrent, aber wenn man klare Abmachungen trifft und sich den Kollegen gut aussucht, kann da braucht man sich keine Sorgen machen.

ich werde auch öfter mal von dem örtlichen Kollegen zu Hilfe gerufen, wenn er mal etwas außerhalb seiner "Windows-Welt" braucht. obwohl der als 20-Mann-Unternehmen mehr Mitarbeiter ha, als mein 1-mann-Unternehmen.

lks
Bitte warten ..
Mitglied: the-buccaneer
10.06.2014 um 18:28 Uhr
Nicht jeder Dienstleister muß alles können. Aber man muß wissen, wann und welchen "Kollegen" man zu
Rate zieht, ohne selbst da rumzupfischen.

Sehe ich auch so, und genau das hat er gemacht. Er fragt die Kollegen im Forum, die immer alles (besser) wissen.

@Pjordorf Das mit den Windows-Accounts ist ein Argument, das muss man neidlos zugeben.

Ich denke, jetzt hat nero2014 einige Meinungen und Tipps bekommen, mit denen er weiterkommt. Vielleicht meldet er sich ja nochmal?

gruß
buc
Bitte warten ..
Mitglied: nero2014
10.06.2014 um 19:48 Uhr
Hallo alle zusammen,

erst mal vielen Dank für eure schnelle Antwort.
Finde es Klasse, dass hier so zahlreich sachliche Lösungen und Vorschläge erfolgt sind.

Was unsere Dienstleistungen für unsere Kunden betrifft, bieten wir keine IT-Leistungen im klassischen Sinne an. Daher die Frage nach der VPN Lösung.
Ich werde einen neuen Router mit VPN besorgen, und diesen wie von euch vorgeschlagen konfigurieren.

nochmals vielen Dank für eure Antworten.

Ernst V.
Bitte warten ..
Mitglied: Dobby
LÖSUNG 10.06.2014, aktualisiert 11.06.2014
nochmals vielen Dank für eure Antworten.
Wenn es das dann war bitte noch ein Beitrag ist gelöst hinten dran und gut Danke!


Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...