4
Windows Server 2012 VPN Server
Hallo zusammen
Ich habe mich in den letzten paar Tagen etwas mit VPN auseinander gesetzt, was mir hier auch bereits von Dobby ans Herz gelegt wurde.
Nun habe ich jedoch mehrere aussagen im Internet gefunden, und möchte mal von euch die bevorzugte Variante hören.
Grob gesagt geht es darum, ob man den VPN Server direkt auf dem DC Installieren soll, auf einem dafür ausgelegten VM oder in einer Firewall oder OpenVPN
Überall findet man für alles vor und nachteile. Folgende Punkte fand ich bisher am meisten:
- VPN Server kann problemlos direkt auf dem DC sein
- Für den VPN lieber eine VM installieren
- Lieber OpenVPN anstelle des Windows VPN Server
- und zum Schluss lieber eine Firewall nehmen die ein VPN Server bereit stellt.
Was ist nach euch zu bevorzugen?
Bei uns ist die Struktur so, dass es ein Server gibt als DC, bei dem auch die AD läuft sowie alle Festplatten des Systems verwaltet. Zusätzlich gibt es eine weitere Station (kein VM) der für die Entwicklung und Backups ausgelegt ist. Auf dem wird per Remotedesktop gearbeitet. Daher auch die Überlegung für den VPN.
Gruss und danke an alle
Koda
Ich habe mich in den letzten paar Tagen etwas mit VPN auseinander gesetzt, was mir hier auch bereits von Dobby ans Herz gelegt wurde.
Nun habe ich jedoch mehrere aussagen im Internet gefunden, und möchte mal von euch die bevorzugte Variante hören.
Grob gesagt geht es darum, ob man den VPN Server direkt auf dem DC Installieren soll, auf einem dafür ausgelegten VM oder in einer Firewall oder OpenVPN
Überall findet man für alles vor und nachteile. Folgende Punkte fand ich bisher am meisten:
- VPN Server kann problemlos direkt auf dem DC sein
- Für den VPN lieber eine VM installieren
- Lieber OpenVPN anstelle des Windows VPN Server
- und zum Schluss lieber eine Firewall nehmen die ein VPN Server bereit stellt.
Was ist nach euch zu bevorzugen?
Bei uns ist die Struktur so, dass es ein Server gibt als DC, bei dem auch die AD läuft sowie alle Festplatten des Systems verwaltet. Zusätzlich gibt es eine weitere Station (kein VM) der für die Entwicklung und Backups ausgelegt ist. Auf dem wird per Remotedesktop gearbeitet. Daher auch die Überlegung für den VPN.
Gruss und danke an alle
Koda
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 216312
Url: https://administrator.de/contentid/216312
Printed on: April 19, 2024 at 00:04 o'clock
4 Comments
Latest comment
Hallo Koda,
bzw. realisieren muss oder will.
- Anzahl der VPN Nutzer
- Ausgewählte Methode
- Angebotene Dienste
- VPN Wahl (IPSec, PTPP, L2TP, SSL-VPN,..)
wollen, denn der VPN Server sollte dann schon in der DMZ stehen und oder ein OS haben was man auch härten
kann und/oder eine möglichst kleine Angriffsfläche liefert.
> - Lieber OpenVPN anstelle des Windows VPN Server
Ist auch eine Möglichkeit aber kommt eben auch auf die Klientgeräte an und/oder der benötigten Leistung.
und die benutzten Protokolle so wie der benötigten Bandbreite.
1. VPN an der Firewall terminieren
Ist finde ich zumindest am sichersten
2. Eigenen VPN Server aufsetzen mit spezieller Hardware (HSM)
Wenn es richtig dicke kommen soll und man Bandbreite satt hat und auch solch einen Durchsatz benötigt
kommt man fast nicht mehr um so etwas herum, die nächste Stufe wäre dann wohl schon "Carrier grade".
Wenn es nur etwas schlichtes und einfaches sein soll würde ich zu dieser Karte tendieren wollen
die hat Intel Hardware verbaut und zusätzlich auf einigen Karten noch ein HSM von Exar (ehemals HiFn)
damit kann man dann schon einen sehr kräftigen VPn Server bauen und der fackelt dann auch eine ganze
Menge an Benutzern ab.
Bei richtig großen Projekten kommt man dann aber auch nicht um ein richtiges HSM drum herum
hier einmal zwei Beispiele dazu.
Beispiel 1
Beispiel 2
Also wenn es nichts spezielles ist und auch die Anforderungen nicht all zu hoch sind, kann man das aber auch mit bezahlbarer Standard Hardware leisten, ist eben an Dir einmal mehr zu erzählen was alles benötigt und gewünscht wird.
Draytek Vigor 3900 VPN Konzentrator
Alles hat immer irgend wie Vor- und Nachteile, das ist aber auch immer abhängig davon was Du wie erledigen
willst bzw. musst und da ist die Lösung mit der Standard Hardware immer die einfachste Lösung und die mit
der Firewall oder so einem VPN Router wie dem Draytek Vigor 3900 die sicherste, denn dann muss man
keine Ports vorne an der Firewall öffnen, was ja auch nicht unbedingt ungefährlich ist.
Gruß und viel Erfolg
Dobby
Ich habe mich in den letzten paar Tagen etwas mit VPN auseinander gesetzt, was mir hier auch bereits von Dobby ans Herz gelegt wurde.
Danke für die Rosen Eure Lordschaft!Nun habe ich jedoch mehrere aussagen im Internet gefunden, und möchte mal von euch die bevorzugte Variante hören.
Wäre auch schlimm wenn nicht, denn es kommt auch immer ein wenig darauf an was, wer, wie und für wen machtbzw. realisieren muss oder will.
- Anzahl der VPN Nutzer
- Ausgewählte Methode
- Angebotene Dienste
- VPN Wahl (IPSec, PTPP, L2TP, SSL-VPN,..)
- VPN Server kann problemlos direkt auf dem DC sein
Dann steht dieser aber eigentlich "nackt" im Internet und das würde ich mit einem Windows Server nicht machenwollen, denn der VPN Server sollte dann schon in der DMZ stehen und oder ein OS haben was man auch härten
kann und/oder eine möglichst kleine Angriffsfläche liefert.
- Für den VPN lieber eine VM installieren
Ist wohl eher eine Budgetlösung> - Lieber OpenVPN anstelle des Windows VPN Server
Ist auch eine Möglichkeit aber kommt eben auch auf die Klientgeräte an und/oder der benötigten Leistung.
- und zum Schluss lieber eine Firewall nehmen die ein VPN Server bereit stellt.
Die kann auch nur bis zu einer bestimmten Anzahl an Benutzern abarbeiten und dann ist gut!Was ist nach euch zu bevorzugen?
Das kommt immer daruf für wie viele Leute das reichen muss, die angebotenen Diensteund die benutzten Protokolle so wie der benötigten Bandbreite.
1. VPN an der Firewall terminieren
Ist finde ich zumindest am sichersten
2. Eigenen VPN Server aufsetzen mit spezieller Hardware (HSM)
Wenn es richtig dicke kommen soll und man Bandbreite satt hat und auch solch einen Durchsatz benötigt
kommt man fast nicht mehr um so etwas herum, die nächste Stufe wäre dann wohl schon "Carrier grade".
Wenn es nur etwas schlichtes und einfaches sein soll würde ich zu dieser Karte tendieren wollen
die hat Intel Hardware verbaut und zusätzlich auf einigen Karten noch ein HSM von Exar (ehemals HiFn)
damit kann man dann schon einen sehr kräftigen VPn Server bauen und der fackelt dann auch eine ganze
Menge an Benutzern ab.
Bei richtig großen Projekten kommt man dann aber auch nicht um ein richtiges HSM drum herum
hier einmal zwei Beispiele dazu.
Beispiel 1
Beispiel 2
Also wenn es nichts spezielles ist und auch die Anforderungen nicht all zu hoch sind, kann man das aber auch mit bezahlbarer Standard Hardware leisten, ist eben an Dir einmal mehr zu erzählen was alles benötigt und gewünscht wird.
Draytek Vigor 3900 VPN Konzentrator
Alles hat immer irgend wie Vor- und Nachteile, das ist aber auch immer abhängig davon was Du wie erledigen
willst bzw. musst und da ist die Lösung mit der Standard Hardware immer die einfachste Lösung und die mit
der Firewall oder so einem VPN Router wie dem Draytek Vigor 3900 die sicherste, denn dann muss man
keine Ports vorne an der Firewall öffnen, was ja auch nicht unbedingt ungefährlich ist.
Gruß und viel Erfolg
Dobby
Guten Abend
Vielen Dank. Dann werde ich mir mal die Firewalls ansehen, da vorerst maximal 2 oder 3 Benutzer den VPN nutzen würden. Das wird sich die mächsten 2-5 Jahren auch nicht ändern. Habe auch schonmal die zyxel Geräte angeschaut da diese hier in den Geschäften sehr verbreitet sind.
Gruss
Koda
Vielen Dank. Dann werde ich mir mal die Firewalls ansehen, da vorerst maximal 2 oder 3 Benutzer den VPN nutzen würden. Das wird sich die mächsten 2-5 Jahren auch nicht ändern. Habe auch schonmal die zyxel Geräte angeschaut da diese hier in den Geschäften sehr verbreitet sind.
Gruss
Koda
Also bei zwei bis drei Benutzern würde ich mal pauschal die Aussage treffen wollen das so etwas eben
fast alle Router mehr oder minder unterstützen die oberhalb einer Firtz!Box angesiedelt sind!
Aber ich würde bei einer Neuanschaffung dann auch schon eher auf ein Modell "schielen" das
alle 4 Haupt VPN Methoden bietet und auch sonst diverse Routingeigenschaften bietet.
- PPTP
- L2TP
- IPSec
- SSL-VPN
dann ist man flexibler was die Endgeräte und auch die VPN Methoden angeht,
was habt Ihr denn bis jetzt für eine Firewall oder für einen Router?
Gruß
Dobby
fast alle Router mehr oder minder unterstützen die oberhalb einer Firtz!Box angesiedelt sind!
Aber ich würde bei einer Neuanschaffung dann auch schon eher auf ein Modell "schielen" das
alle 4 Haupt VPN Methoden bietet und auch sonst diverse Routingeigenschaften bietet.
- PPTP
- L2TP
- IPSec
- SSL-VPN
dann ist man flexibler was die Endgeräte und auch die VPN Methoden angeht,
was habt Ihr denn bis jetzt für eine Firewall oder für einen Router?
Gruß
Dobby
Guten Abend Dobby
Als router haben wir bisher die von unserem Provider. Das kann nicht wirklich viel. Unser Händler des Vertrauens hat eigentlich die gängigsten Marken und Geräte im Sortiment. Zyxel fällt nur auf weil dort die Geräte ausgestellt sind. Die Marke spielt mir sonst keine Rolle. Firewall haben wir aktuell keine mehr da eine alte ohne gross Funktionen ausgestiegen ist.
Gruss
Koda
Als router haben wir bisher die von unserem Provider. Das kann nicht wirklich viel. Unser Händler des Vertrauens hat eigentlich die gängigsten Marken und Geräte im Sortiment. Zyxel fällt nur auf weil dort die Geräte ausgestellt sind. Die Marke spielt mir sonst keine Rolle. Firewall haben wir aktuell keine mehr da eine alte ohne gross Funktionen ausgestiegen ist.
Gruss
Koda
