Brauche Hilfe beim einrichten eines VPNs

sers!

ich bin was vpn angeht bis jetzt noch ziemlich unerfahren möchte aber folgendes realisieren.

Ich möchte es ermöglichen einen heim arbeitsplatz einzurichten, also dass ich zb laufwerke auf nem entfernten rechner übers inet mappen kann, ein servergestüztes programm auf dem entfernten rechner laufen lassen kann welches dann auf den server im büro zugreifen kann etc. Was könnt ihr mir da an software empfehlen und was gibts zu beachten beim einrichten? plattform des servers ist win2003 server standard der über nen router/switch am DSL hängt. das ganze soll dann per dyndns oder so erreichbar sein.

Vielen Dank schonmal für eure Hilfe!

Moin!

Ich habe eine solche Lösung bei mir in Betrieb. Folgendes ist dabei zu beachten:

1. Welche Voraussetzungen bestehen in der Firma?
Firmen setzen häufig professionelle Router/Switches ein, die nicht jedes VPN-Protokoll / jeden VPN-Typen unterstützen. Dann bist Du gezwungen das Tool eines Herstellers einzusetzen (CISCO, NetScreen usw.). Das muss dann von Eurem Admin eingerichtet werden und ist nicht ganz trivial.
Mit Windoof XP / 2000 / 2003 ist ein VPN schnell eingerichtet. Leider scheitert es häufig daran, dass dieses (MS-) Protokoll nicht unterstützt wird.
Außerdem müsste der Router in der Lage sein das GRE-Protokoll auf dem Port 1723 durchzulassen.

2. Wie ist die Anbindung?
Mit DSL 1000/128 macht das Ganze keinen richtigen Spaß, da Du zum Mappen eines Netzlaufwerks ewig brauchst. Bei vielen Serveranwendungen dauert außerdem der Programmstart sehr lange, da häufig eine große .exe-Datei übers Netz gezogen werden muss.
Der Upstream ist hier entscheidend (kann man evtl. bei der Terrorkom erhöhen lassen).

Hier findest Du einige brauchbare Tipps: http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Ich wähle mich von außerhalb zuhause auf meinem Windows Server 2003 über eine Fritz!Box ein - geht wunderbar. Aber wie gesagt - ein RDP funktioniert noch ganz gut, aber Datenaustausch...

Gruß
JD

Hi,

ich administriere das komplette Unternehmsnetzwerk an drei Standorten über eine RDP-Verbindung. In der Firma steht ein PC als RDP-Server, ich gehe von zu Hause per Remotedesktop von XP Pro auf den RDP, authentifiziere mich an dem und habe das komplette Netzwerk vor mir. Von hier gehts per VNC auf die einzelnen Stationen. Selbst über nen popligen 64K ISDN Kanal läuft das recht gut. Für Wochenends mal eben was zu richten mehr als ausreichend. Allerdings um den ganzen Tag als Home Office zu arbeiten wärs dann doch zu langsam. Dann würd ich mir nen synchrones DSL schalten lassen. Über ne 256KBit schnelle sDSL Strecke kannst Du schon sehr sehr schnell arbeiten. Nachteil an dem ganzen RDP ist, das Du keinen Datentransfer zwischen deinem lokalen PC und dem entfernten Netzwerk machen kannst. Hier würde ich an deiner Stelle mal sehen ob ich irgendwie per FTP oder so was realisieren kann.


Suddeler

@suddeler:

Was meinst Du mit "keinen Datentransfer über RDP"?
Funktionell oder von der Performance?

Funktionell geht's nämlich:
Im RDP Client unter den Optionen > Kartenreiter "Lokale Ressourcen" > hier einen Haken bei Laufwerke machen und schon werden die Laufwerke des RDP-Clients auf dem Server gemappt.

Gruß
JD

@JD,

Funktionell funktioniert das, das gebe ich Dir recht, aber von der Performance her ists eher schnarchig. Aber pcAnywhere ist keine wahre Alternative da hier bei max 128K (zwei B-Kanäle) auch Schluß ist.
Was recht gut geht ist per FTP, da kann er dann die fast volle Bandbreite (je nach Gegebenheiten der Endstellen) ausnutzen. Aber auch das macht nur bis ca. 10MB und ner schnellen DSL-Anbindung richtig Spaß.
Aber zum Amininstrieren von zu Hause aus gbts nix besseres als RDP.Um einiges besser und schneller als z.B. pcAnywhere.


Suddeler

Ich fahre auch die Kombi RDP zum Server und VNC vom Server zu den Clients.
Halte es auch für die beste Lösung.
Habe lange mit PCAW rum experimentiert. Ist mir auch zu lahm und zu umständlich (und zu Symantec ;-) )

Gruß
JD

Momentan nutzen wir (Cheffe und ich) die Möglichkeit eigentlich nur am WE bzw. abends falls mal in der Produktion was klemmen sollte. Die arbeiten 24/7 und da klemmts dann doch hier da mal. Spooler weg aufm Citrix oder ne festgefahrene Session oder solche Dinge. Wie gesagt, dafür tuts das auch über ISDN. Fürn HO aber nur mit SDSL zu empfehlen.
PCAW ist zwar noch scharf, aber das ist eigentlich nur ein Backup für den RDP, falls dieser mal nicht erreichbar sein sollte, das ich mir über PCAW noch helfen kann.


Suddeler

hy!

danke für eure antworten.

also das ist kein hochprofessionelles netzwerk:
der server steht an nem ganz normalen kleinen smc router (son standard dsl dingens halt in nem netzwerk mit fixen ips.
die daten die über den vpn laufen sind nicht sensibel, also ich brauch nix mit ipsec undso. ich denke die windows bordmittel reichen für meine zwecke. die exe des programms muss nicht geladen werden da es auch eine client version gibt was die sache beschleunigen würde. wichtig ist laufwerksmapping, also auch daten hin und herschieben, und eben die benutzung des clients von dem programm mit dem die arbeiten.
ich hab mich jetzt mal ein bissel mit openvpn beschäftigt das sieht schonmal sehr nett aus das programm. aber ich glaub wie gesagt dass die windows bordmittel ausreichen, nur weiss ich da nicht wie man die konfiguriert bzw für sowas einrichtet, was man beachten muss wie zb portmapping etc. (mapping ist in dem router kein problem).

Wie man's konfiguriert findest Du unter meinem Link.
Schau halt ob der SMC das GRE Protokoll routen kann - das ist nicht selbstverständlich!
Dann einfach nach der Anleitung vorgehen.

Gruß
JD

@ Suddeler:
Du machst die RDP Verbindung zu den PCs schon über ne VPN Verbindung, oder? Ich glaube nicht, dass du die PC's direkt ins Internet bzw. in ne DMZ gestellt hast, oder?

@JohnDow: Das mit dem GRE Protokoll ist nur die halbe Wahrheit. VPN ist ja bekanntlich nicht gleich VPN. Wenn man PPTP (Point-to-Point Tunneling Protokoll) nutzt, dann ist das mit dem GRE Tunnel der Fall. Bei IPSec oder L2TP sieht der Fall schon wieder etwas anders aus.

Außerdem wurde auch noch gar nicht Clientless VPN beleuchtet, wie es u.a. von Cisco, NetScreen oder F5 angeboten wird. Mit Clientless VPN kannst du alles über HTTPs tunneln und brauchst keinen VPN Client (u.U. vielleicht mal ein kleines Java Applet).

Für daheim kann ich zwei Lösungen empfehlen: OpenVPN als Softwarelösung (nicht sehr performant, aber wenigstens ein IPSec Tunnel) oder ne einfache SSH (Secure Shell) Verbindung auf dein Network Device (bsp. Linksys WRT54-GS Router) oder auf einen Linux Server. Durch SSH kannst du jedes beliebige TCP oder UDP Protokoll tunneln. Als SSH-Client kann man beispielsweise Putty benutzen. Mit SSH hat man zudem die Möglichkeit der Public Key Authentication - d.H. zum connecten braucht man ein File UND ein Passwort --> zwei Faktor authentication. Das macht das System relativ sicher gegen Brute Force.

Hi,

klar geht das über ne VPN.


Suddeler

hy!

so ich hab jetzt den vpn unter windows eingerichtet da der dlink router dieses gre (oder wie das heisst) protokoll net durchlässt hab ich den server kurzerhand in die dmz gesetzt so scheints zu gehn. jetzt gehts weiter. um auf freigegebene ordner/pladden im netzwerk zugreifen zu können muss ich diese doch mappen oder? wie mach ich das? vielen dank schonmal für eure hilfe!

hmmm .... den Server ohne Schutz durch eine Firewall in die DMZ stellen? Das ist nicht dein ernst, oder?

ich weiss dass das net optimal ist aber was will man machen wenn dieses gre protokoll net durchgelassen wird? ist ja bis jetzt auch nur testweise. evtl muss ich halt auf openvpn umsteigen da das über udp arbeitet.

hi ho,

ich habe hier auch mal damit rumgespielt. habe 2 router von smc mit vpn tunnel verbunden. und das hat soweit funktioniert.war nur langsam(1024/128 Dsl) ansonsten mit mehr upload bestimmt eine lohnenswerte überlegung. hab bei vpn die maximale verschlüsselung genohmen und hatte zwischen 6-8Kbyte/sek. transfer geschwindigkeit. um mit doc und exel dateien die nicht gross sind und nur mit text sind geht das ja noch aber mehr auch nicht. rdp ging auch ist dan aber doppelt gemoppelt und deswegen noch langsamer asl direkt über inet.

mfg
borg2378