Zum Inhalt springen
  • 0

die richtige VPN Software ?


FLipMode2k6

Frage

Hi Leute,

Ich suche gerade für meine Abschlussprüfung die passende VPN Software. Ich möchte nicht, dass ihr mir die gesamte Arbeit abnehmt, aber ein paar Anmerkungen könnten mir schon helfen.

Ich habe eine Firma mit ca 100 MAs, extern 70, intern 30. Die externen sollen auf ein Netzlaufwerk im internen Netz zugreifen können, per Notebook und per Android/Apple Gerät.

Die Frage nach Tunneling Protokollen und Authentifizierungsmaßnahmen lasse ich bewusst aussen vor. Mein größtes Problem ist nämlich zuzuordnen, in welchem Preissegment ich mich bewegen sollte.

 

Überall lese ich nur Dinge wie großer Server, kleiner Server, Freeware bei wenig MAs (OpenVPN), proprietäre bei vielen MAs. Aber nie ne vernünftige Angabe...

 

Gibt es da ne grobe Richtung in die ich mich bewegen sollte ? Die Sicherheit soll auf jeden fall den Standards entsprechen, muss aber IP Pakete nicht gleich 2mal verschlüsseln.

Einfach nur eine solide Lösung (Hard und Software)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Empfohlene Beiträge

  • 0

Da ist dann die Frage, was denn vorhanden ist (Windows Server, Linux/Unix Server?) und welche Software dafür überhaupt verfügbar ist, oder aber ob ein zusätzlicher Server davorgebaut werden soll, der nur für die VPN-Einwahl zuständig ist.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 13 Minuten schrieb SilentDemise:

Ganz ehrlich? Such dir ein Thema mit dem du dich auskennst für die Abschlussprüfung. Das muss nicht mega fancy sein, aber bei dem Thema nehmen Sie dich ganz offensichtlich auseinander.

Is lieb gemeint, aber der Punkt ist, dass ich mich mit Garnichts so richtig auskenne, meine Ausbildung hat mir keinen Schwerpunkt gelegt. Ich bin, bis jetzt, immer mit meinem eigenen Wissen weitergekommen. VPN mag jetzt noch nicht mein Thema sein, aber ich habe die Motivation mich genügend einzulesen um alles zu verstehen. Es gibt nur einzelne elementare Dinge, welche halt nicht einfach so beantwortet werden in Dokus. Deshalb habe ich hier gefragt...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Du fängst halt direkt an der völlig falschen stelle an zu graben. 

1. Ermittle doch erstmal welche VPN arten überhaupt in Frage kommen  - Du musst Notebooks (Windows?), Android und iOS unter einen Hut bringen.
2. Was für anwendungsfälle sollen mit dem VPN überhaupt abgebildet werden. Zugriff auf ein Fileshare? Mehr nicht? Warum dann VPN?
3. Was für Infrastruktur ist denn bisher im Einsatz? Was für Authentifizierungsprotokolle sollen denn zum Einsatz kommen? Was gibt es schon an ALG / Firewall Infrastruktur?

Stell doch mal ne Entscheidungsmatrix auf, was für Features Pflicht und was nice to have wäre, bevor du sinnlos irgendwelche Produkte anschaust. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Wenn nur der Zugriff auf ein Netzlaufwerk abgebildet werden soll, könnte man auch über eine Cloud nachdenken, in der dieses Laufwerk zur Verfügung gestellt wird und bei der die Verbindung dann verschlüsselt ist.

Gibt diverse Entscheidungen, die zu fällen wären.

  • VPN-Server auf Server oder auf Router, Firewall oder sonstigem Gerät
  • Software oder Hardware
  • Benötigte Bandbreite der Anbindung (dementsprechend muss das Gerät halt auch dimensioniert sein)
  • Falls Hardware, welcher Hersteller
  • Welche Verschlüsselung
  • Welcher Standard für Schlüsselaustausch
  • ...

Nur weil sie auf ein Netzlaufwerk zugreifen können sollen, sagt das noch absolut nichts darüber aus, ob sie nun ständig auf diesem Netzlaufwerk Daten speichern / lesen müssen, oder ob da eventuell nur die Timesheets landen sollen oder sonstige Minimale Datenmengen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Ich hab mal ne "kleine" Checkliste angefertigt, vielleicht kann mir der ein oder andere einen Tipp dafür geben :)

Welche Geräte werden genutzt: Notebooks mit Windows / Android / IOS

MA Anzahl: 100

Concurrent Sessions maximal: 100 MAs (davon maximal 60% per Tunnel [50% Extern, 10% Homeoffice])

VPN Nutzen: Sharelaufwerk, OWA (OWA sollte ja leicht realisierbar sein, wie ich das mit dem Laufwerk mache, weiss ich noch nicht...)

Bandbreite: Hier bin ich noch vollkommen Ratlos, ich weiss nicht das berechnen soll.

Gateway: Der Router soll schon konfiguriert dort stehen, weiss aber noch nicht was für einer.

Expandierbar auf mehr MAs: Ja

VPN Software Anbieter (Standort): DE

Support des Herstellers: am besten 24/7 mit Wartungsvertrag

Regelmäßge Sicherheitsupdate: Ja

Mandantenfähigkeit: Sehr gerne aber erstmal nicht zwingend notwendig

Administration: Zentral

Zero Touch Clients: Sehr gerne, aber wohl nicht realisierbar, es sei denn ich kriege SSL unter den Bedingungen hin.

Tunnelprotokoll: IPsec oder SSL, wobei ich mehrmals gelesen habe, das IPsec besser für die Verbindung von 2 Netzwerken ist und nicht für Client > Server.

Verschlüsselung: 256bit AES sollte drin sein.

Authentifizierung: Token/PW, am besten beides

BSI Zertifikat: (evtl)

 

Was sagt ihr dazu ?

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 17 Stunden schrieb FLipMode2k6:

Ich hab mal ne "kleine" Checkliste angefertigt, vielleicht kann mir der ein oder andere einen Tipp dafür geben :)

Welche Geräte werden genutzt: Notebooks mit Windows / Android / IOS

MA Anzahl: 100

Concurrent Sessions maximal: 100 MAs (davon maximal 60% per Tunnel [50% Extern, 10% Homeoffice]) -> Jo, ist ja eig. egal.

VPN Nutzen: Sharelaufwerk, OWA (OWA sollte ja leicht realisierbar sein, wie ich das mit dem Laufwerk mache, weiss ich noch nicht...) -> Laufwerk kann gemappt werden, sobald eine Verbindung besteht.

Bandbreite: Hier bin ich noch vollkommen Ratlos, ich weiss nicht das berechnen soll. -> Dann schau mal weiter ;)

Gateway: Der Router soll schon konfiguriert dort stehen, weiss aber noch nicht was für einer. -> Wäre wichtig. Wem gehört der? Habt Ihr administrativen Zugriff?

Support des Herstellers: am besten 24/7 mit Wartungsvertrag -> Wirst Du mit z.B. pfSense nicht bekommen, da Open Source. Außerdem wäre das mega teuer. Cisco? Lancom? Ich bin davon ausgegangen, dass Du das administrieren möchtest.

Zero Touch Clients: Sehr gerne, aber wohl nicht realisierbar, es sei denn ich kriege SSL unter den Bedingungen hin. -> ?

Tunnelprotokoll: IPsec oder SSL, wobei ich mehrmals gelesen habe, das IPsec besser für die Verbindung von 2 Netzwerken ist und nicht für Client > Server. -> Wer sagt das? Sind bis jetzt mit beidem gut gefahren. Hatten aber PRobleme mit IPSec und einer Failoverleitung, daher OpenVPN.

Verschlüsselung: 256bit AES sollte drin sein. -> Jop.

Authentifizierung: Token/PW, am besten beides -> Token? PW? Wofür genau? Benutzeranmeldung oder innerhalb des Tunnels? Verstehe ich nicht ganz, was Du meinst.

BSI Zertifikat: (evtl) -> Das verstehe ich auch nicht. Das das Gerät oder der Hersteller nach BSI zertifiziert ist (ISO 27001?)

 

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Evtl. solltest du noch ein paar Informationen posten....

1. hat die Firma eine feste IP (klingt simpel aber ich kenne genug Firmen die keine haben, wie hast du vor dies ggf. zu umgehen)

2. Owa leicht realisierbar: dran gedacht wenn du via SSL verschlüsselst du zweimal den port 443 brauchst (eine wunderschöne Prüfungsfrage, so kannst du die prüfer evtl. überraschen wenn du diese direkt im Vortrag schon beantworten kannst)

3. Reicht die Geschwindigkeit der Leitung für das Sharelaufwerk (stell dir vor alle 60 MAs verschieben mal "schnell" eine 10 MB Datei aufs Share oder vom Share runter, dann werden Sie dich köpfen bei ner schwachen Leitung)

4. du schreibst: Überall lese ich nur Dinge wie großer Server, kleiner Server, Freeware bei wenig MAs (OpenVPN), proprietäre bei vielen MAs. Aber nie ne vernünftige Angabe...

wir können dir nur unsere Erfahrungen nennen, der eine arbeitet mit pfsense, der nächste mit Lancom, der übernächste mit Sophos in den unterschiedlichsten Umgebungen / Größen (vom 5 Mann Betrieb bis zum Großunternehmen)...bei allen gibt es was zu Meckern aber auch eine Menge Lob für diese (sonst hätten wir keine Erfahrungen mit diesen gemacht :D ). Im Endeffekt muss du dir die Anforderungen genaustens selbst überlegen um ein für dich passendes Produkt zu finden. (z.B. der 24/7 Support, willst du alle Geräte einrichten oder ein vorbereitetes Installationspaket zur Verfügung stellen, leicht zu administrieren, Hardware FW oder "nur" ne VM .......)

5. solltest du das Projekt so vorstellen (40 MA inhouse, 60 extern) wird der Prüfer dich definitiv fragen wieso eine Terminalserver Umgebung nicht in Erwägung gezogen wurde (schont die Leitung siehe Punkt 3).

 

Lieben Gruß t0pi

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 20 Stunden schrieb FLipMode2k6:

[...]

VPN Nutzen: Sharelaufwerk, OWA (OWA sollte ja leicht realisierbar sein, wie ich das mit dem Laufwerk mache, weiss ich noch nicht...)

Bandbreite: Hier bin ich noch vollkommen Ratlos, ich weiss nicht das berechnen soll.

Bei der Bandbreite kommt es halt drauf an, welche Bandbreite sie für die zu erledigenden Arbeiten benötigen und welche Bandbreite nach außen generell zur Verfügung steht. Für OWA reicht z.B. meist schon 1MBit/s eigentlich aus.
Muss man aber z.B. dauernd große Dateien vom Netzlaufwerk öffnen oder drauf speichern, dann sollte man die mögliche Bandbreite pro User schon erhöhen. Auf welchen Wert hängt halt von diversen Faktoren ab (Budget, Dateigrößen, zusätzliche Anwendungen, ob Minimalanforderung erfüllt werden soll, oder aber schnelleres Arbeiten möglich sein muss/soll, User in Domain?,  ...)
 

vor 20 Stunden schrieb FLipMode2k6:

Gateway: Der Router soll schon konfiguriert dort stehen, weiss aber noch nicht was für einer.

Da wäre halt dann die Frage, ob das VPN auf diesem Router terminieren soll, oder aber auf einem Server, der dahintersteht oder auf einer zusätzlichen Appliance. Wichtig wäre auch, ob ihr den Router konfigurieren könnt (evtl. Ports weiterleiten oder nach außen hin freigeben).

Was halt auch noch wichtig wäre, ist die IPV6-Fähigkeit - ob sie benötigt wird, oder ob nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Also erstmal vielen Dank für die ausführliche Hilfe :)

@t0pi

1. Ja, eine feste IP hat die Firma

2. Danke schonmal für den Tipp ;)

3. Der Abruf von Dokumenten sollte reichen. Die Nutzer brauchen eigentlich nur Leserechte wenn sie sich per VPN einwählen

4. Da hab ich nicht richtig nachgedacht, also die Administration soll schon über mich geschehen.

5. Danke für den Tipp, ich will bei VPN bleiben und mir nen guten Grund dafür suchen :)

@Crash2001

IPv6 ist nicht notwendig und VPN Soll nicht auf dem Router, sondern auf dem Server laufen :)

Wieviel Bandbreite ich benötige, werde ich noch herausfinden :D

 

Gruß,

 

FLip

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

OK,ich würde jetzt also den TS Dienst auf meinem Windows Server 2008 einrichten (IIS und RDP miteinbegriffen).

In die Domäne, nehme ich dann alle benutzer auf und konfiguriere meine Hardwarefirewall vernünftig.

 

Dann müsste ich doch theoretisch mit jedem Client (egal ob Android, Windows, Linux, IOS) über den Webbrowser auf die freigeschalteten Daten des Servers, sowie den Exchange zugreifen können oder ? Ich könnte mich ja auf Clientside dann per Domänennutzer anmelden können, oder ?

Als Tunneling Protokoll würde ich TLS benutzen.

 

Für mich steht dann nur noch offen, wie ich das mit den Zertifikaten regel (will keine Antwort,lese mich noch ein) und wie ich die Firewall richtig konfigugiere.

 

Die Administration soll komplett von mir erledigt werden und über Kosten im Bezug auf externe Software müsste ich mir auch keine Gedanken mehr machen...

 

was haltet ihr davon ? Ich habe mich zum Thema TS etwas eingelesen und habe keine Nachteile die diese Struktur betreffen gefunden...

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

TLS ist auch nur ein Protokoll was dir dabei behilflich ist.

Der Betrieb eines Terminalservers ist das eine. Das hat aber nichts mit VPN zu tun. Da reicht es auch nicht das Wort TLS zu gebrauchen :)

Momentan ist es so, dass der Prüfungsausschuss dich denke ich regelrecht zerpflücken "kann", wenn du diese "Basics" deines Themas nicht kennst. Das könnte echt ein Problem werden :/

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 4 Stunden schrieb Nopp:

TLS ist auch nur ein Protokoll was dir dabei behilflich ist.

Der Betrieb eines Terminalservers ist das eine. Das hat aber nichts mit VPN zu tun. Da reicht es auch nicht das Wort TLS zu gebrauchen :)

Momentan ist es so, dass der Prüfungsausschuss dich denke ich regelrecht zerpflücken "kann", wenn du diese "Basics" deines Themas nicht kennst. Das könnte echt ein Problem werden :/

Das sehe ich genau so, nicht das du denkst, dass ich hier in meiner Traumwelt lebe. Ich muss und werde einfach noch mehr zeit investieren. Es ist leider relativ schwer eine Quelle zu finden, die mein Thema so gut aufgreift und als Grundvorraussetzung nur Basics hat.

 

Ich bin froh wenn ich mit 60-70% aus der mündlichen rausgehe und dafür werde ich natürlich noch einiges tun.

 

Und wie schon erwähnt, gibt es keine richtigen Alternativen. Ich kann leider nichts, ich bin in keinem Thema festgefahren und könnte es super rüberbringen...das war leider nicht Teil meiner Ausbildung und die Eigeninitiative habe ich leider nicht ergriffen und mich mal richtig mit einem Thema beschäftigt...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

.... ob das Thema aber dann das richtige ist, wenn du keine wirkliche Ahnung davon hast bisher, frage ich mich dann aber schon. VPN ist ein doch sehr komplexes Thema und vor allem kann man da gaaaaaaanz viele Fragen stellen, die man nur beantworten kann, wenn man sich WIRKLICH damit auskennt. Darüber solltest du dir zumindest schon im Voraus bewusst sein, falls du es dennoch versuchen willst mit diesem Thema.

Dann solltest du dir auf jeden Fall Verbindungsaufbau und alternative Konfigurationen vorher mal gründlich anschauen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Also, ich habe mich weiter mit dem Thema befasst und bin atm auf diesem Stand hier:

 

4 Server

1. DC/DHCP/DNS/AD/CA Sub

2.Exchange

3.VPN Administration

4.CA Root

 

1. Router

Firewall/Port Forwarding

Die Frage (ja, schon wieder eine) ist jetzt, wie ich das Tunneling mache. OpenVPN wäre eine Idee, aber Windows 2008 R2 kriegt das ja auch so hin. Ich habe mich weiter eingelesen und leider bis jetzt keinen Grund gefunden, eins von beidem, der anderen Methode vorzuziehen. (das sollte ich schon begründen können)

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Zudem unterstützt Windows Server 2008 SR2 von Haus aus z.B. afaik kein IPSec.

Somit solltest du erst einmal festlegen, was für ein Protokoll du nutzen willst (das die entsprechenden Clients auch alle unterstützen, oder für das es entsprechende Clientprogramme für die Clients gibt) und dann entscheiden, wie du es umsetzen kannst.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Also, die Vorstellung meines Projektes ist schonmal ganz gut gelaufen.

 

Externer Client -> Firewallrouter (nur port forwarding ) -> Exchange | DC AD DHCP DNS | VPN Admin

Als Protokoll benutze ich AEP-TLS und zur Konfig benutze ich OpenVPN (hab noch nen CA Root der nicht am Netz hängt)

 

Jetzt muss ich nur noch dafür sorgen, dass folgende Dinge von den Clients abgerufen werden können: SAP / Exchange / Netzlaufwerk

Exchange und Netzlaufwerk können beide per Exchange und Fileserver per Browser abgerufen werden und SAP sollte direkt darüber funktionieren oder ?

 

Ich stelle mir vor, dass sich der Nutzer einmal per OpenVPN Clienttool einwählt und dann ein weiteres mal für den zu Benutzenden Dienst.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...