Empfehlung VPN -> Netzwerk
 

möchte folgendes realisieren:

einige unserer mitarbeiter sind mit umts/hsdpa ausgestattet und wollen wenn sie unterwegs sind auf das firmennetzwerk zugreifen... dabei sollte ja auf jeden fall ein vpn tunnel eingesetzt werden...

jetzt stellt sich die frage welches der aktuellen produkte am markt dafür am besten geeignet ist? ich möchte eine fertige hardware/softwarevariante

welche empfehlungen könnt ihr mir dazu geben?

keine empfehlungen?

Kommt auf dein Budget an.
Lösungen von Cisco oder Bintec/Funkwerk sind empfehlenswert. Aber die Qualtität hat halt ihren Preis. Ausserdem wirst du vermutlich auch wen brauchen der dir das Konfiguriert. Das ist nämlich alles Andere als trivial.

ZyWall UTM ist mein absoluter favorit leicht zu konfigurieren, bis zu 100 VPN Tunnel simultan möglich und mit integrierter IDP...

Die 30er kostet so ca. 400 - 600 € soweit ich weiß, das ding ist echt sicher.

http://www.hamachi.cc/

funktioniert ziemlich gut, man muss nur aufpassen das ding öffnet ohne nachzufragen einen port auf dem router, der port kann aber auch händisch vergeben werden. ansonsten ist diese lösung sehr sicher und zudem wenn man keine spezialitäten benötigt gratis.

hamachi ist aber alles andere als ein sicherer zugang zum firmennetzwerk....

würd ich keinenfalls verwenden - grenzt an fahrlässigkeit...

am besten router der VPN-tunnel 'on board' bietet... gibts in jeder preisklasse...

lg, catch17

Bitte wie?
Wo hastn das her?

ähm. nur einmal so eine frage:
warum nicht ssh?

@chrisne

weil ssh eigentlich für anderes da ist ?
weil über ssh bereits das mappen eines smb shares mittelmässig schwer ist ?
weil sachen wie wins dann schon nur mehr umständlich sind ?

;)

ad.1 achso für was? port forward und los geht es
ad.2 scp?
ad.3 wer braucht wins bzw wer hat das noch in verwendung

ad1, genau. sag einem end-user mal locker von der leber weg "he, mach dein putty auf, und sag eam, das er localport 33389 auf den rechner xxx:3389 umlenken soll"

-> wetten, irgendwo fehlt eine zahl, und du darfst nachher raten, warum der remotedesktop nicht geht ? oder noch schlimmer, er nimmt bereits verwendete lokale ports und referenziert dann auf sich selbst... lustig.

ad2, ich kann per scp ein dokument aufmachen, und dann dorthin speichern ? nachverfolgen von änderungen an dokumenten ?

*LOL*

ad3, dann gibts keine netzwerkumgebung. verkraftbar, aber unnötig zu entbehren.



sonst noch irgendwas, was per ssh so super geht ? wenn das alles so toll wäre, stünde ja dem ssh-vpn nichts im wege...

wie haben eine sau teure checkpoint fw mit vpn bei uns in der firma.
trotzdem gehen die meisten bei uns mit ssh in die firma. gar kein problem. intranet, oracle server, cvs server usw.
mit ein bisschen mitdenken geht das. und für die ganze dummen, schickst einfach den putty eintrag ;)
cvs?
ähm. was hat wins mit der "netzwerkumgebung" zu tun?
ich dachte immer, dass der masterbrowser dafür veranwortlich ist :lol:
nur zu info: habe kein wins rennen und trotzdem eine netzwerkumgebung ;)
vielleicht solltest du einmal lesen: http://de.wikipedia.org/wiki/Wins
jeder soll das verwenden was er möchte.
ich habe ja nur gefragt warum nicht ssh, weil viele nicht wissen was damit alles möglich ist ;)
ich für meinen teil sehe keine nachteile im ssh

haben bei euch alle eine fixe IP, die von aussen kommen ?

oder schaltet ihr den SSH Zugang einfach für 0.0.0.0./24 frei ? :hammer:

aurgla, wins? das war schon zu nt zeiten so unnütz wie die netzwerkumgebung.

ja ssh ist bei uns offen.
ssh2 nur mit keys
und habe ein script geschrieben wenn einer sich mit ssh anmeldet, dass er ein email bekommt.
das secure logfile wird auch täglich per script ausgewertet.

wo das problem?

ich frage mich immer noch eines: ihr stellt euch eine checkpoint ( wohl keine soho ) hin, und dann machts ihr mühsam für jeden port und jede route forwardings ?

naja, klar kann mans so machen, natürlich gehts auch noch schwerer, und selbstverfreilich ist das auswerten der ssh-logs und verschicken von status-mails viel einfacher, als per vpn zu verbinden und fertig zu sein.

in der tat - jedem das seine.

cvs - hast du ein howto für word-dokumente und excel ? ist es wirklich sinnvoll, das für einzeldokumente und einzelne user einzuführen ?

outlook und ähnliche mailer - einzelne ports für imap ?

authentifizierung - domänen-authentifizierung oder ähnliches ?
wie man es auch dreht, das wird eine interessante liste an port forwardings, die sich nebenbei durchaus ändern kann, administrativ ein overkill... aber wenn mans so mag...

ein letztes:wieviele leute seid ihr ?


p.s.: wins wird teilweise immer noch verwendet, was solls.

vielleicht kommt das ein wenig falsch rüber.
wir haben eine checkpoint welche wir schon für vpn verwenden. nur die meisten gehen mit ssh hinein.
ich persönlich würde mir nie einen einen checkpoint vpn client bei mir daheim installieren. dann sitzen auch ein paar leute beim kunden wo sie nur über einen proxy raus kommen.
und dann haben wir ein paar leute die halt vpn verwenden.
und soviele ports sind das nicht. für email 2 ;) 25 und 143.
ausserdem brauchst das ganze auch nur einmal einstellen und abspeichern.

cvs? sinvoll? keine ahnung? wir verwenden cvs fast nur.

warum wird wins noch verwendet? wer braucht das?

wenns dir einfacher erscheint, eine verbindung mit hunderttausend regeln zu erstellen - statt einer einfachen einwahl ins zielnetz - bitte.

ich stelle mir halt solche sachen wie groupware, scannen und drucken, usw. schon langsam müssig vor, performant wirds auch nicht gerade sein... naja. aus einer notlösung kann man halt auch eine arbeitsgrundlage machen. mühsam wirds halt dann wirklich, wenn zum beispiel für den zugriff aufs intranet lauter exotische lokale ports verwendet werden - die tipperei ist ein krampf; oder umgekehrt legt man sich mit einer umleitung auf port80 gleich mal selbst ein ei. nix mehr mit internetzugang ;)

nur mal als denkbeispiel: ich hab auf 10.0.10.40 einen ssh-server, und dann die webserver 1,2 und 3. wie komme ich per link vom 1er auf den 2er und dann den 3er ?

richtig, mit 127.0.0.1: und den entsprechenden ports... unpraktikabel.

so, zu wins noch: netbios gibts ja auch noch, aber wenn wir schon von praxiswert der ssh-forwardings reden, wirds mühsam. es gibt aber dazu eh einen thread gleich nebenan :)

groupware -> geht übers intranet (openxchange)
drucken,scannen :confused: :confused:
hmmm. wenn ich per vpn oder ssh mich in die firma verbinde, dann bin ich meistens min. 30 kilometer weg und somit mein drucker und lan scanner auch :lol:

kann trotzdem sinnvoll sein, einen grösseren druckjob im vornherein in auftrag zu geben, aber das kommt auf den "beschränkten" einsatzzweck an.

wie machst du eigentlich folgendes: ich habe hier etwa ein dutzend webserver für tests, die auch teilweise untereinander verlinkt sind. das port forwarding der type 80->server1:80 (abgesehen davon, das es mir lokal das internet killt) geht ja statisch auf einen server, für alle anderen muss ich dann wohl extra ports belegen... und links gehen dann sowieso nicht.

ist das alles eigentlich nicht suboptimal ? mit einem proxy könnte man es sicher regeln, aber warum dann nicht gleich vpn ?