VPN Fragen

[Anderswelt]

Hallo zusammen,

ich hab da mal ne Frage zu VPN.

Es geht darum, dass meine Frau von zu Hause arbeitet und jetzt einen Terminal Client bekommen soll, damit Sie von hier auf den Server im Büro zugreifen kann. Das Terminal hat keine Festplatte und verbindet sich beim Starten per Script über VPN mit dem Server.

Ich müsste das Terminal in mein Netzwerk einbinden und hätte aber keinerlei Möglichkeit, Einstellungen vorzunehmen, da mir die Rechte fehlen.

Inwieweit besteht jetzt die Gefahr, dass der Admin im Büro auf mein Netzwerk und die angeschlossenen Geräte Einfluß nehmen kann, oder ist das alles sicher?

Die andere Möglichkeit ist, dass ich einen VPN Client auf Ihrem vorhandenen Laptop installiere und Sie darüber dann auf den Server zugreifen kann. Hierbei bleibt die Kontrolle über den Laptop in meiner Hand. Gibts da auch die Möglichkeit auf meine Netzwerkressourcen zuzugreifen?

Welche Sicherheitseinstellungen müsste ich vornehmen (Firewalls, etc.), damit die Verbindung sicher ist und mein privates Netzwerk vom Firmennetzwerk unabhängig bleibt.

Würde es ausreichen den VPN Client in eine DMZ zu stellen und dann mit Software Furewall zu arbeiten?

Welches ist nun die sinnvollere Lösung für mich?

Vielen Dank schon einmal für die Antworten.

Anderswelt

[JackC]

Hallo, ist eigentlich alles eine Einstellungssache! Ich gehe mal bei den folgenden Beispielen davon aus das sich für dich ein Router ins Internt einwählen tut.

Zunächst ist eigentlich nur folgende Bedingung notwendig um von zuhause aus über Terminal ins Büro zuzugreifen:

RDP -> Outgoing Port 3389

Es kommt jetzt natürlich darauf an was für eine Firewall du verwendest! Um das Netzwerk zu sichern gibt es mehrer Möglichkeiten.

Dazu sollte man allerdings wissen was für eine FIrewall oder ROuter du verwendest! Je nach funktionalität des FIrewall sind dann bestimmte (verschärfte) Sicherheitseinstellungen möglich. Aber wie gesagt du brauchst nur RDP nach aussen freigeben und Anfragen die Incoming sind solltest du blocken. Insbesondere SMB.

Bei einer FIrewall wird alles geblockt was nicht erlaubt ist!

Bsp. für VPN Regel

Büro: Server IP 192.168.2.4

Heimterminal: 192.168.4.2

Regel: Allow RDP from 192.168.4.2 to 192.168.2.4

somit ist eine Verbindung nur von TErminal zu Server möglich und nicht zu anderen Geräten im Netzwerk.

Aber wie gesagt die Lösung ist Geräteabhängig!

Wenn du ein VPN Client auf deinem NOtebook installiert baust du kein BOVPN (Router zu Router) auf sondern ein MUVPN (Client zu Router). Diese Lösung wird normalerweise bei Aussenstellenmitarbeitern verwendet. Dein Notebook an sich (nicht dein Netzwerk) baut eine VPN verbindung zum Server auf. Somit ist ein Zugriff auf andere Geräte im Netzwerk nicht ohne weiteres möglich. Dennoch gilt auch hier, je nach Firewall Einstellungen, bestimmer Zugriff auf dein Notebook. -> DU brauchst nur RDP.

Weiteres:

MTU size sollte für RDP bei 1350 liegen, ist aber auch Geräteabhängig!

Ein VPN Verbindungsaufbau sollte nur von deinerseite aus zum Betrieb möglich sein und nicht andersrum!

[hades]

Die Installation/Konfiguration eines VPNClients auf dem Heimarbeitsplatz ist die beste Loesung.

Die Verbindung ist dann nur zwischen dem Heimarbeitsplatz und dem Firmennetzwerk moeglich.

Das restliche LAN, in dem der VPNClient ist, ist damit vom Firmennetzwerk aus nicht erreichbar.

Firewalleinstellungen:

Es ist abhaengig, welches Routermodell Du hast und wie der Terminal Server konfiguriert ist.

Pauschale Aussagen wie das Oeffnen des Standard RDP-Ports koennen, muessen aber nicht, zutreffen.

MTU:

Das hat nichts mit RDP zu tun. Es ist eine Einstellung fuer den genutzten Anschluss (analog, ISDN, ADSL, SDSL, ...) und wird oft vom Provider genannt.

[JackC]

MTU:

Das hat nichts mit RDP zu tun. Es ist eine Einstellung fuer den genutzten Anschluss (analog, ISDN, ADSL, SDSL, ...) und wird oft vom Provider genannt.

siehe WatchGuard Firewalls!

Bei falsch eingetragener MTU wird ein Aufbau einer RDP Session über VPN nicht möglich sein!

[hades]

Ich kenne Watchguard und dessen Produkte.

Zurueck zum eigentlichen Thema.

[Anderswelt]

Danke erst einmal für die Antworten.

Ich denke zumindest, dass ich den Terminal Client dann hier nicht einbinden werde, da mir wie gesagt lokale Zugriffe nicht möglich sind.

Die Softwarelösung mit VPN Client auf dem Notebook erscheint mir auch die sinnvollere, schließlich will ICH wissen, was passiert und nicht von einem Serveradmin im Büro abhängig sein. Ist schließlich meine Leitung

Muss jetzt natürlich abklären (vielleicht habt ihr da ja auch ein paar tipps), welchen VPN Client ich dann nutzen muss. Soweit ich weiss läuft auf dem Server im Büro Windows 2003 Server.

Zuhause hab ich momentan nen T-Com Router mit integrierter TK Anlage (kA genau, da wegen Häßlichkeit versteckt eingebaut ). Firewall ist auf Full-Block mit den Ausnahmen, die ich brauche für meine INet Zugriffe.

Weiterer Punkt ist bei der Verbindung zum Büro, dass dort keine feste IP vorhanden ist, und inwieweit dort per dyndns etc. die IP ersichtlich ist/sein wird für mich, ist auch noch nicht geklärt.

Gibts noch andere Möglichkeiten um die Verbindung aufzubauen? (MAC-Suche schließe ich mal aus, da dass doch wohl sehr lange dauern würde)

Danke im Voraus

Anderswelt

[hades]

Welches Modell hast Du als Firewall/Router?

Frag nach, auf welchem Wege VPN realisiert wird.

Moeglichkeiten:

- VPN-Server auf einem Windows Server

-- PPTP mit Routing and RAS

-- L2TP+IPsec mit Routing and RAS

-- Microsoft ISA Server (hier auch PPTP und L2TP+IPsec)

-- andere Software (z.B OpenVPN)

- Hardware-VPN-Server

-- oft auf IPsec basierend, mit eigenem Software-VPN-Client

Denn Deine Firewall-Konfiguration richtet sich nach den Geraeten und der verwendeten VPN-Technik.