Brauche ich dafür ein VPN

  • Hi.
    Hallo erstmal. Ich bin neu hier.
    Nun komme ich sofort mit einer Frage:


    Folgendes Szenario:
    Ein Mann hat mehrere Tankstellen (TS1, TS2,...)
    TS1: PC mit WinXP
    TS2: PC mit Win XP
    TS3: PC mit Win XP und ein Server mit Win Server 2003.


    Nun möchte er, dass die PCs zum arbeiten nicht auf die internen Festplatten zugreifen, sondern allesamt auf Ordne des Servers, die den jeweiligen Tankstellen zugeteilt sind (auf den internen HDDs soll jeweils nur das Betriebssystem für den PC, Daten sollen zentral auf dem Server gespeichert werden).


    Alle Tankstellen haben eigene Internetanschlüsse mit dynamischen IPs.
    Ich würde nun dem Anschluss des Servers per DynDNS-Dienst eine statische Adresse zuweisen. Dann würde ich mittels Assistenten den Windows Server irgendwie in Richtung VPN konfigurieren. Ist das der Richtige Ansatz um des Szenario zu bewerkstelligen?
    Brauche ich für die PCs noch eine Client-Software?
    Komme ich mit den Bordmitteln von Windows Server 2003 aus?


    Ich habe schon viel "gegoogelt". Deswegen habe ich diesen Beitrag auch schon mehrmals editiert. Aber nun weis ich nicht mehr weiter.
    Deswegen hoffe ich hier auf Hilfe.


    Sanfte Grüße, ArtDent

  • Richtig...
    Da du einen Server hast, ist auch die Bereitstellung eines VPN Zugangs zu diesem Server kein Problem. Mehr Gedanken mache ich mir über die Datensicherheit/Firewall/Ausfallsicherheit, etc.
    Du braucht nicht unbedingt die PCs mit dem Server verbinden, sondern wenn da mehrere dahinter stecken geht auch die LAN-LAN-Verbindung. Müssen allerdings die Router können. Ansonsten ist das alles machbar mit Hausmitteln.
    Gruß
    Hap

  • Hi.
    Danke für die Antwort.
    Lan-Lan Verbindung??
    Bedeutet dass, dass die Router dauerhaft mit dem Server verbunden sind und die dahinter stehenden PCs so darauf Zugriff haben?
    Wie realisiere ich das? Wie kann ich an den vorhandenen Routern sehen, ob die dafür geeignet sind?
    Schließe ich den Server 2003 direkt ans Netz an und stelle über ihn die Internetverbindung her, oder stelle ich den Server hinter einen Router?


    Aber der Anfang sieht doch schon mal gut aus. Der Server ist noch per USV gegen Stromausfall gesichert. Was meinst Du mit der Datensicherheit? läuft bei dem VPN nicht alles über gesicherte Verbindungen?



    Sanfte Grüße, ArtDent

  • "ArtDent" schrieb:

    Hi.
    Danke für die Antwort.
    Lan-Lan Verbindung??
    Bedeutet dass, dass die Router dauerhaft mit dem Server verbunden sind und die dahinter stehenden PCs so darauf Zugriff haben?


    Nicht ganz, die Router sind miteinander verbunden und der Server ist im Netzwerk.
    Wenn du überall Fritzboxen hast, dann wäre es recht leicht zu bewerkstelligen.


    http://www.avm.de/de/Service/S…ep_by_step_fernzugang.php
    http://www.avm.de/de/Service/S…raxis_und_Tipps/15637.php


    "ArtDent" schrieb:

    Wie kann ich an den vorhandenen Routern sehen, ob die dafür geeignet sind?


    Das musst du selbst recherchieren. Unterschiedliche Router machen die Sache auch etwas komplizierer (wenn nicht gar unmöglich), daher kann man eh keine pauschale Antwort geben.


    "ArtDent" schrieb:

    Schließe ich den Server 2003 direkt ans Netz an und stelle über ihn die Internetverbindung her, oder stelle ich den Server hinter einen Router?


    Bei VPN braucht der Server keine Internetverbindung, sondern muss nur ordnungsgemäß im Netzwerk sein. Die Verbindung der Netze übers Internet übernehmen die Router.



    "ArtDent" schrieb:

    Aber der Anfang sieht doch schon mal gut aus. Der Server ist noch per USV gegen Stromausfall gesichert. Was meinst Du mit der Datensicherheit? läuft bei dem VPN nicht alles über gesicherte Verbindungen?


    Hap meinte damit (Datensicherheit/Firewall/Ausfallsicherheit) wahrscheinlich eher, was ist, wenn die Internetverbindung (der VPN-Tunnel) abbricht. Gesetzt den Fall du verwendest irgendwelche Softwaren mit Datenbanken, dann kann so etwas die Datenbank abschießen. Genauso anfällig sind normale Dateien wie Word-Dokumente ect. denn arbeitet ein Fern-PC einfach mit den Daten am entfernten Server und die Verbindung bricht ab, so kann man damit unter Umständen die Datei zerstören. Es müssen also Ausfallsicherheiten geschaffen werden. Als einfachste Sicherheit gilt das tägliche Backup des Servers mit allen relevanten Daten.



    Hap kann da aber nochmal ins Detail gehen, ich mutmaße nur ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Um es kurz zu fassen:


    1. Fritzboxen können max. 1 VPN Verbindung (zwar gehen mehr einzutragen, aber bei einer neuen Verbindung wird die alte immer wieder gekappt). Steht auch auf der AVM Seite, aber leider sehr versteckt.
    Normalerweise ist es kein Problem in der "Hauptzentrale" einen Router einzusetzen, der mehr als eine VPN Verbindung unterstützt. Z.B. LANCOM-Geräte (5 von Haus aus bei verschiedenen Geräten). Dann hängst du die Fritzboxen an die LANCOMs und schon kannst du die Verbindungen aufbauen.


    Hintergrund ist, dass alle PC/Server hinter einem Router in das komplette VPN Netz zugreifen können, wenn man das möchte. Also in der Hauptzentrale den Lancom an dem die beiden Fritzen hängen und eine ständige Verbindung haben (besser immer feste IP, aber auch Dyndns geht, wobei da oft unterbrechungen sind wegen Neueinwahl. (alle 24h). Daher empfehle ich zumindest in der Hauptzentrale einen Anschluss (Firmenanschluss) mit fester IP. Dann wählen die sich ein und alle PC/Server hinter den Routern haben Zugriff auf das andere Netz und somit auch auf den Server. Der Server stellt dann z.B. eine Domäne und Fileservice zur Verfügung. Die Einwahl auf einen Server mit VPN ist weitaus unsicherer, da dieser direkt mit dem Port am Router geöffnet werden muss, was bei LAN-LAN nicht gemacht werden muss. Was du meinst wäre SERVER-CLIENT Einwahl.
    Man sollte sich schon ein wenig damit beschäftigen und auf jeden Fall wissen was man tut. Nicht umsonst gibt es dafür Fachleute.


    Da kommen ein paar Sachen mehr auf dich zu. So einfach wie sich die Leute das vorstellen, ist das nicht immer. Zumindest "Hausfrauen-VPN" mit Tools ist zwar nett, klappt meistens, aber wenn es um gewisse Dinge geht ist dann auch Ende im Gelände. Ich mache das nun schon ein paar Jährchen und kann sagen, dass viele denken Sie können es und verzweifeln an manch kleinen Dingen. (Habe ich schon oft bei Kunden gehabt, die "mal eben" VPN einrichten wollten und es einfach nicht richtig klappt - z.B. alles Fritzboxen und wundern sich, warum die Verbindung oft abbricht).


    Soll dir keine Angst machen. Bei zwei Routern wäre das auch kein Ding, aber bei drei Routen und dann noch mit Server arbeiten ist eine Sache die man gut planen sollte, sonst steht man später wieder da.
    Zusätzlich kommen dann die Konfigurationen an Client, Netzwerk, Routing, Routern, Verschlüsselungsdateien, usw. auf einem zu, denn eine VPN Verbindung ist nur ein Teil davon. Man braucht unterschiedliche Netze, PCs die für die Domäne oder auch ohne Domäne konfiguriert sind. Wie sollen sich die User authentifizieren, wie soll der Dateiaustausch laufen, wie sollen die Zugriffe gewährleistet werden, wann sind Einwahlzeiten, wie ist die Backuplösung bei Ausfall der Leitung, usw. Soll ggf auch VoIP darüber laufen, wie sieht es mit Priorisierungen auf der Leitung aus (QoS), werden die Leitungen auch anderweitig genutzt usw.


    Hast du das alles bedacht, dann ist das kein Problem. Helfen können wir dir bedingt mit Tipps und Ratschlägen, aber ich warne immer davor, dass man dann anfängt und hier das Netz mit allen Konfigs usw vorbereitet haben möchte. Das geht leider nicht, daher der Appell. Lesen, gerne uns fragen (dafür sind wir ja da) und vorher TESTEN und nicht am scharfen SYSTEM !!!


    Gruß
    Hap

  • "HapHazard" schrieb:

    Um es kurz zu fassen:


    1. Fritzboxen können max. 1 VPN Verbindung (zwar gehen mehr einzutragen, aber bei einer neuen Verbindung wird die alte immer wieder gekappt). Steht auch auf der AVM Seite, aber leider sehr versteckt.


    Das würde doch aber dieser Anleitung widersprechen, oder?
    http://www.avm.de/de/Service/S…raxis_und_Tipps/15637.php



    ... obwohl, wen ich mir den letzten Satz durchlese


    Zitat

    Jetzt ist aus jedem FRITZ!Box-Netzwerk der Zugriff auf die jeweils anderen FRITZ!Box-Netzwerke möglich. Die VPN-Verbindung zwischen zwei FRITZ!Box-Geräten wird dabei automatisch hergestellt, sobald eine Anfrage an ein Netzwerkgerät im jeweils anderen Netzwerk gestellt wird.


    Gut, hab auch ich wieder etwas dazugelernt. Ich dachte, es geht. ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • hm...
    Da ich wohl nicht mit Fritzen und Lancomen rechnen darf, werde ich nun erst mal auf einem alten Rechner, den ich hier zu Hause noch rumfliegen habe, einen Windows Server 2003 aufsetzen. Dann werde ich mal alle nötigen Einstellungen vornehmen und testen ob ich das hin bekomme.
    Ich werde weiter berichten, ob ich es wirklich kapiert habe.


    Ich bedanke mich zumindest bei Euch für Eure wertvolle Hilfe. Natürlich bin ich auch weiterhin für alle Tipps dankbar.


    Sanfte Grüße, ArtDent

  • Hi.
    Ich bin leider noch zu nichts gekommen, mache mir aber weiterhin Gedanken über mein Projekt.
    Da ich ja den Testserver, wie auch später den normalen Server hinter einem Router betreiben werde, muss ich doch sicher im Router eine Portweiterleitung einrichten.


    Welchen Port muss ich denn zum Server weiterleiten?


    Und, ich finde nur Anleitungen, einen Port an einer FritzBox (habe ich zu Hause vor dem Testserver) FREIZUGEBEN: Ist das denn das gleiche wie einen Port WEITERZULEITEN?
    Ich glaube doch nicht. Im Menü meiner FritzBox finde ich aber auch nur ein Menü zur PortFREIGABE.
    Wie komme ich zur PortWEITERLEITUNG?


    Sanfte Grüße, ArtDent

  • Zwei Links in meiner Antwort, die alles bezüglich VPN an einer Fritzbox erklären.


    http://www.pc-special.net/post97999.html#p97999


    Zudem hatte Hap doch schon festgestellt, dass eine Fritzbox kein Mehrfach-VPN zulässt, sondern nur einen VPN-Tunnel und dann bei einer zweiten Anfrage den ersten Tunnel trennt. Aslo ist eine Fritzbox ungeeignet für dein Projekt, denn du willst mindestens 2 Verbindungen gleichzeitig erreichen.


    Port-Weiterleitung ist bei VPN falsch. Damit gibt man den Weg in einem Netzwerk zu einem bestimmten PC an, um direkt auf diesen zuzugreifen. Z.B. bei einer Fernwartung. Eine Portweiterleitung kommt nur bei einer Terminal-Sitzung zum tragen.


    Was willst du denn nun machen? Willst du auf Daten eines entfernten Netzes zugreifen oder willst du auf einem Terminal-Server im entfernten Netz arbeiten?


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Hi,
    die FritzBox steht nur bei mir zu Hause. Da, wo der Server realisiert werden soll, da steht irgend ein andere Router.


    Der Server ist lediglich dazu da, Daten zentral vor zu halten. Die Clients arbeiten von ihren Rechnern aus über das VPN auf den Dateien, die auf dem Server liegen.


    Sanfte Grüße, ArtDent

  • Dann brauchst du kein Portforwarding.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Huhu...
    also die externen User/PC die sich auf deinem Server einwählen brauchen, benötigen keine Portfreigaben.
    Du, der den Server hostet, der von außen erreichbar sein soll, muss sowohl Port-Forwarding für deine Dienste und auch für die Einwahl freigegeben werden. Ferner brauchst du eine feste IP oder zumindest dyndns, damit die User sich auf den fixen Punkt verbinden können.
    Dein Router muss ja wissen, wenn eine Anfrage kommt, wohin er diese mit dem speziellen Port weiterleiten soll.


    Je nachdem wie groß die Dateien sind, sollte deine Internetleitung über eine gewisse Bandbreite verfügen, damit die User nicht ewig warten müssen. Recht gut ist VDSL 50/10 oder KabelInternet mit 100/6, 32/4 usw. Normales ADSL (z.B. bringt dir 16 MBit Leitung fast nichts, weil der Upload zu niedrig ist).


    Das solltest du ebenfalls beachten, da du die Leitung doch recht stark belastest, wenn du zwei VPN Verindungen auf deiner Leitung hast und du dazu auch noch normale Arbeiten durchführst.
    Wenn nun die VPNs Priorität haben sollen, dann muss man über QoS nachdenken, dabei ist wiederrum zu beachten, dass ALLE Geräte QoS auf der Strecke nutzen, was du leider nicht beeinflussen kannst. Dafür gibt es spezielle Tarife von den Anbietern, dass sie dir die Kapazität garantieren.


    Ferner solltest du schauen wie du die Einwahl auf deinem Server einschränkst, denn sonst kann rein theoretisch jeder zu deinem Server kommen !


    Gruß
    Hap