vpn verbindung einrichten

    sali zäme


    ich habe die aufgabe bekommen unser kleines firmennetzwerk nach aussen hin via vpn zugänglich zu machen. im moment sieht es etwa folgendermassen aus:


    - wlan router der die verbindung ins internet herstellt
    - server mit windows server 2003 und allen daten
    - ca 10 clients


    dhcp, dns und wins sind auf dem server konfiguriert. der server hat nur eine netzwerkkarte.


    ich habe nun eine ziemlich detailierte anleitung auf http://www.gruppenrichtlinien.de/ gefunden, welche das einrichten einer vpn-verbindung bei ca unserem setup erklärt.


    da müsste man einiges einstellen/umstellen auf dem server selbst um es einigermassen sicher zu machen (mit zertifikaten und so) da im router ja die entsprechenden ports freigegeben werden müssten.


    meine frage nun: wäre es nicht einfacher einfach einen router zu kaufen der vpn bereits integriert hat? was hat das für vor- bzw. nachteile gegenüber port forwarding und entsprechenden einstellung auf dem server?


    wäre froh um ein paar tips :)



    grüsse

    Das schöne beim Windows VPN ist halt das du mit den Windows integrierten Bordmitteln ganz einfach VPN Verbindungen aufbauen kannst. Du musst keine Programme auf dem Client installieren.


    Ich denke L2TP mit PreShared Keys ist schon recht sicher. Mit Zertifikaten wird das ganze dann schon einiges komplexer (hast du ja sicher auch auf gruppenrichtlinien.de gesehen).


    Wenn du etwas mit Routern aufbauen willst wird das ganze natürlich ziemlich viel teurer. Aber wohl auch sicherer, schon nur weil die VPN nicht direkt auf den Server geht sondern auf den Router, somit ist der Server nicht direkt von Netz erreichbar.

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

    das ist eben ein grosses kriterium. auf client-seite sollte es so einfach wie nur möglich gehalten werden. desswegen tendiere ich auch eher auf eine router-lösung weil es auch vom konfigurieren her einfacher ist. und so teuer ist es ja nicht, wlan router mit vpn gibts bereits um 100.-. oder wäre so ein teil nicht geeignet?

    Nää, vergiss solche Billigkacke, das wird ersten nicht stabil, zweitens nicht schnell und drittens nicht sehr sicher sein. Da machst du besser die Lösung via Windows Routing und RAS.

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

    Wie wärs mit einer Firewall?


    Unser Netzwerktyp wird mir so eine ~250.-- CHF Sonicwall für VPN einrichten, sobald er Zeit hat.
    Da hättest du gerade noch ne gescheite Firewall dabei ;)


    Nur so als Input (genäueres weiss ich leider nicht..)

    Gaming: AMD Ryzen 5 2600X, MSI B450M, 32GB RAM, Sapphire RX6900XT Nitro+ SE, 4TB SSD, 10TB HDD, Win11, Samsung Odyssey G7 32" 1440p@165Hz
    Server: AMD Ryzen 5 3600, Gigabyte B450M4, Quadro P400, 16Gb RAM, 500GB SSD, Plex Encoder

    Storage: Intel i3 3220T, ASRock Z77 Pro4, 4Gb RAM, 111 TB Storage (Seagate Exos), Plex Storage

    im router ist ja eine firewall drin...


    interessant wäre noch zu wissen was denn ein gutes gerät für unsere anforderungen wäre? wie gesagt, es geht hier um ein netzwerk mit 10 clients von denen, wenns hoch kommt, 3 aufs mal von zuhause aus aufs netzwerk zugreifen möchten. muss von daher also keine hi-end lösung sein. es sollte einfach sicher und einfach zu bedienen/konfigurieren sein.

    ja schon, aber ich denke mal keine gute firewall?


    Ansonsten.. ein Kolleg hat den WRT610N von Linksys und geht so bei nem öffentlichen Wireless ins Netz. Die Performance stimmt meint er.


    Router:
    http://www.toppreise.ch/prod_144711.html


    Modifizierte Firmware:
    http://www.dd-wrt.com/site/index

    Gaming: AMD Ryzen 5 2600X, MSI B450M, 32GB RAM, Sapphire RX6900XT Nitro+ SE, 4TB SSD, 10TB HDD, Win11, Samsung Odyssey G7 32" 1440p@165Hz
    Server: AMD Ryzen 5 3600, Gigabyte B450M4, Quadro P400, 16Gb RAM, 500GB SSD, Plex Encoder

    Storage: Intel i3 3220T, ASRock Z77 Pro4, 4Gb RAM, 111 TB Storage (Seagate Exos), Plex Storage

    wie schon erwähnt:
    Mit m0n0wall (oder pfsense) geht das innert kurzer Zeit.
    Ein alter PC steht sicher herum, da noch eine zweite Firewall einbauen und diesen PC mit m0n0wall betreiben, schon hast du für 20.- oder so alles was du brauchst. Die Software ist gratis und sehr schnell installiert. Netzwerkkenntisse setze ich voraus, anstonsten würd ich sowieso gleich aufhören und lieber einen externen Dienstleister hinzuziehen, der das ganze dann sicher einrichtet. Unternehmensdaten sind nicht zum herumspielen da..

    Zitat

    Original von manitou
    Unternehmensdaten sind nicht zum herumspielen da..


    naja, dann würd ich das ganze aber nie und nimmer auf ner alten Kiste installieren.. ist gut für zuhause aber son altes ding noch einsetzen.. und dann wahrscheinlich noch im serverraum..


    Ich würde ansonsten als prima alternative ein alix board nehmen http://www.pcengines.ch

    Einmal editiert, zuletzt von Peter Craft ()

    Zitat

    Original von 1984
    naja, dann würd ich das ganze aber nie und nimmer auf ner alten Kiste installieren..


    wegen ausfallsicherheit oder brandgefahr?
    brandgefahr ist meiner meinung nach ähnlich hoch ob neu oder alt (vorausgesetzt da bläst zwischendurch mal jemand den staub heraus..)


    ausfallsicherheit kommt sehr auf die qualität der komponenten an, bei defekten tft sind z.b. bei 80% nur die kondensatoren im netzteil defekt. dies passiert, weil ein paar bwl-fuzzies einfach den allerbilligsten ramsch einkaufen, welcher die spezifikation dann nicht erreicht. neue einlöten und läuft wieder...


    Zitat

    Original von 1984
    Ich würde ansonsten als prima alternative ein alix board nehmen http://www.pcengines.ch


    ja alix-boards sind natürlich deluxe, aber ich nehm mal an, es darf mal wieder nichts kosten.. günstig sind sie ja schon nicht gerade, ich such schon lange eins für mich zuhause.

    ja. ok.. War vielleicht übertrieben wenn man sich in etwa ausmalen kann wie die IT in der Firma so aussieht. Denke kaum das da überhaupt ein professioneller Serverraum vorhanden ist..


    So ganz spontan könntest du das auch über ein SSH Tunnel lösen. (z.B. mit putty)


    Jedoch wie schon angetönt von jmd. weiter oben; je nach Funktion in der du für dieses Unternehmen tätig bist, würde ich mir im Zweifelsfalle professionelle Unterstützung holen, oder halt eine vertretbare "Out-of-the-Box" Lösung.

    Kauf einfach einen Zywall USG100 und das VPN Problem ist in nullkomanichts gelöst.


    Die normalen Router haben keine Firewall, NAT und mehr nicht.
    Und das ist keine "Firewall".


    Ich kann die USG100 wärmstens empfehlen, läuft sehr stabil, lässt sich alles damit konfigurieren und ist sehr sicher.
    Kostet nicht alle Welt so eine USG100.


    Wir setzen für den Enterprise-Bereich eigentlich nur Zywalls und Juinipers ein und haben bis jetzt nur gute Erfahrungen gemacht.
    Das schöne bei Zywall ist jedoch der super Support von Studerus, die helfen dir "schnell" eine VPN Verbindung zu machen, dazu kommt auch noch die relativ gute und aktuelle Knowlegebase.


    Natürlich kommt bei einer USG mehr als nur die VPN-Verbindung dazu, Policen etc. gibts dann natürlich auch noch, aber eben, dann hast du wenigstens eine Firewall.

    wir haben uns nun soweit entschieden, dass wir eine hardware-lösung bevorzugen. die konfiguration auf dem server bleibt also gleich.


    so eine firewall (USG100) ersetzt ja den router nicht nehm ich an? müssen denn da am router auch noch einstellungen vorgenommen werden (z.b. bestimmte ports öffnen)? die firewall würde ja dann zwischen router und netzwerk stehen nehm ich an. oder gibt es kombi-geräte die router und entsprechende firewall in einem gerät vereinen?


    und wie sieht es denn auf der client-seite aus? ich habe gehört dass auch der client dann einen vpn-fähigen router haben muss um die verbindung aufzubauen.


    grüsse

    Die USG100 ist eine Firewall mit Router Funktion, euren Router braucht ihr danach nicht mehr.


    Ja es müssen Ports geöffnet und weitergeleitet werden, dies macht man mit den Policen und Rules auf der USG100.


    Der Client braucht gar nichts, wenn ihr IPsec von Zyxell verwendet ist es ihm eigentlich komplett egal, wo hinter dass er sitzt.
    Ausser bestimmte standard-Ports währen zu, dann funktioniert es nicht.

    das tönt doch schonmal super. was dann noch fehlt ist unser wlan, dies müsste wohl über einen seperaten access point realisert werden? unser momentaner router hat wlan integriert.


    edit: hab grad gesehen dass wir den router wohl doch nicht eliminieren können damit. der USG100 hat 5 LAN und 2 WAN ports. wir haben adsl, da bräuchte ich ja einen line-port um das telefonkabel direkt anschliessen zu können oder ich müsste noch ein seperates modem haben.

    Ohne dir auf die Füsse treten zu wollen, aber wenn schon solches Basiswissen (ADSL-Router im Bridge-Mode, Portforwarding,...) fehlt, wäre es vielleicht gut, die Konfiguration einem Fachmann zu überlassen.. Nur so im Interesse der Datensicherheit eures Unternehmens..