Clients an Server anbinden (inkl. DNS)

[EUNES 0]

Hallo zusammen,

 

bin absoluter Neuling in dieser Materie und nun nach ca. 2 Wochen googeln und ausprobieren und nachdem der Server nun im RZ steht, komm ich einfach nicht weiter.

 

Hauptaufgabe ist es mehrere Clients an einen Server, der im RZ steht und somit eine feste öffentliche IP hat, anzubinden, so dass die Clients auf Dateifreigaben aufm Server zugreifen können. Hintergrund davon ist, dass die Datenbank einer Buchhaltungssoftware für mehrere Benutzer freigegeben werden kann; analog zu einem Büronetzwerk, nur eben übers Internet. Also recht kleine Datenfragmente.

 

Aktuell stehen im RZ 2 Server, da ich hier verschiedene Vorgehensweisen ausprobiert habe (mit keiner bin ich bisher zufrieden :-( )

 

Ein paar Hintergrundinformationen:

1GBit/s-Anbindung im Rechenzentrum, jeder Server hat 2 Netzwerkanschlüsse (je eine öffentliche und eine private IP[für ein internes Subnetz]), jeder Server ist mit Windows 2008 R2 ausgestattet, OS der Clients ist Win7, Anbindung der Clients variiert zw. 30 MBit/s und 100 MBit/s, im Moment wird alles an einem 100 MBit/s-Anschluss getestet

 

 

Vorgehensweise 1:

Server 1 wird mit openVPN versehen und eingerichtet. Benutzerkonten sind natürlich entsprechend angelegt. Verbindungen klappen auch einwandfrei, allerdings liefert der TAP-Adapter laut Anzeige im Task-Manager nur 10 MBit/s und ich komm auch auf keine guten Datenraten. Ich denke, dass hier openVPN doch zuviel "frisst", bzw. die Dateifragmente zu klein sind. Beim Transfer von großen Dateien läuft es "relativ" flüssig. Es wurde in diesem Szenario ein 2048-Schlüssel erstellt. Keine Ahnung, ob hier für die Performance ein 1024er besser ist. openVPN wurde deswegen herangezogen, da hier die Namensauflösung des Servers klappt. Ich muss also mit dieser Möglichkeit nicht immer die IP des Servers eingeben, sondern der Name (z.B. Office) reicht.

 

Vorgehensweise 2:

Server 2 wurde mit nem AD ausgestattet, weil hier in Zukunft eh einer aufgebaut werden soll. ;-)

Hier wurde ein VPN nach dieser Anleitung aufgebaut: http://marcowue.wordpress.com/2013/03/15/howto-sstp-vpn-verbindung-zu-windows-server-2008-r2-einrichten/

Hat soweit auch ganz gut funktioniert, mal mehr, mal weniger. Hier gibt es halt immer mal wieder Ärger mit den Zertifikaten, aber das kriegt man sicher in den Griff. Von diesem Szenario wurde nun allerdings wieder Abstand genommen, da hier die Namensauflösung einfach nicht funktionieren will und ich den Leuten nicht immer die Eingabe der IP zumuten möchte.

 

Naja.. und nun steh ich vor dem Rätsel, wie ich das am besten anstelle, dass der Server, also egal welcher ;-) , übers Internet erreichbar wäre, als stände er mitten im Büro. Dass hier die Anbindungen der jeweiligen Clients die Flaschenhälse sind ist mir durchaus bewusst, aber mit ner 100 MBit/s-Anbindung sollte es ja doch recht flüssig laufen.

 

Btw. die öffentliche IP-Adresse direkt im Explorer aufzurufen geht zwar, ist aber doch recht unsicher. ;-) Vielleicht kann man auch diesen Ansatz verfolgen.

 

Zumindest in meinem Kopf!!

 

Habt ihr Profis für mich Neuling vielleicht nen Tipp für mich?

 

LG

Dominik

 

P.S. Bitte sagt jetzt net, ich soll MCSE lernen. Da bin ich schon dabei.

bearbeitet 5. März 2014 von EUNES

[DocData 85]

Also grundsätzlich möchte ich dir dringend empfehlen dein Konzept zu überdenken. Eine Idee wäre es, die Server mit privaten IPs hinter einer Firewall zu erreichen, zu denen die Clients dann eine Verbindung aufbauen. Alles andere ist ein ziemlich gebastel und wirkt auf mich sehr naiv gedacht.

 

Hast du die Themen Datenschutz und Datensicherheit mal genauer beleuchtet? Immerhin geht es da u.a. um Buchhaltungsdaten.

[NorbertFe 1.799]

Und warum muss der Server in einem rz stehen? Dann sollte ggf. Auch ein Site 2 Site vpn existieren, ansonsten kann ich Doc Data nur zustimmen.

[lemeid 11]

Du hast im Haus und im RZ 100Mbit Up und Down?

[NeMiX 76]

Abgesehen davon das ich dein Konstrukt auch sehr gewagt finde (Server mit Buchhaltungsdaten direkt ans Internet), würde ich mir evtl. mal DirectAccess anschauen.

Unter Server 2012 benötigst du keinen TMG mehr und für die Benutzerfreundlichkeit ist das mit das beste was ich bisher gesehen habe. Keine 3rd Party Software für einen VPN Tunnel mehr und es funktioniert einfach für den Anwender.

Daniel hat da einen kurzen Artikel drüber: http://blogs.technet.com/b/sieben/archive/2009/02/09/direct-access-in-windows-7-immer-im-firmennetz.aspx

 

Generell solltest du vor deine Server eine Firewall stellen (zur Not eine kleine VM mit z.b. PFSense)

[Bastelwastel 0]

Also da kann ich nur zustimmen. Was du da "gebastelt" hast sollte nicht für produktive Daten herhalten bzw. eigentlich für gar nix. Besorg dir eine Firewall und machs ordentlich. Aus meiner Sicht sind die Sopos ehemals Astaro ASG 120 recht gut dafür geeignet. Da kannst du auch ordentlich VPN einrichten und wenns mal mehr werden soll bist du auf der sicheren Seite.

[EUNES 0]

Wow!!!!

Also erstmal vielen Dank für Eure Antworten, die mir Anhaltspunkte liefern. 

 

Natürlich mache ich mir Gedanken um Datensicherheit/Datenschutz.... Drum hab ich ja auch VPN gewählt, wenns auch vielleicht nicht die optimalste Lösung ist.

@NorbertFe: Der Server steht in nem RZ, da ich hier nen 1GBit-Uplink habe und der Bekannte für den ich das mache, keine zentrale Stelle mit entsprechender Anbindung hergibt.

@lemeid: Ich hab daheim nen 100MBit-Downstream, RZ 1GBit in beide Richtungen!

@NeMiX: Danke für den Ansatz. Werd ich mir gleich mal anschauen.

 

@All: Dass dieses "Konstrukt" absolut keine saubere Lösung ist, ist mir durchaus bekannt. Das mit der Firewall ist mir auch durchaus bekannt. Ich ging jetzt mal naiver Weise davon aus, dass die Windows-eigene Firewall in Verbindung mit der Benutzeranmeldung, evtl später mal nem AD für diese Lösung völlig ausreicht. 

Mein Bekannter möchte halt einfach ne Lösung, dass mehrere Benutzer an dieser Datenbank flüssig arbeiten können.

 

Und ich weiß, es ist mehr als nur gewagt und im Grunde auch nicht vertretbar, aber im Moment sind die Ordner per IP-/Dateifreigabe und Eingabe der Windows-Benutzeranmeldungsdaten erreichbar. Damit erreich ich zwar echt guten Speed, aber die Sicherheit ist halt völlig außen vor. Das System läuft auch noch nicht produktiv.

 

Ich habe auch noch einen Server hier (ebenso 2 Netzwerkanschlüsse), den ich zwar als Kontroll-Server laufen lassen wollte, aber den könnte ich auch als Firewall konfigurieren, oder eben eine kaufen.. ;-)

[TobiasNYSE 10]

Was idr. immer problemlos und komfortabel funktioniert ist PPTP inkl Domänenanmeldung über RAS, allerdings sind hier auch die eingeschränkten Sicherheitsaspekte zu beachten. 

 

Wie schon gesagt, Site to Site, Gateway to Gatewy über IPsec ist sicher eine handfeste Lösung, allerdings kein "Routercrap" kaufen wenn die Bandbreiten auch ausgenutzt werden sollen, sonst verhält sich das ähnlich wie mit der Softwarelösung...

 

daheim nen 100MBit-Downstream,

 

Wahnsinn, welches Übertragungsmedium hast du den da, ist ja beeindruckend FTTH oder VDSL Vec. etwa? Und wo, so in etwa  ;)

bearbeitet 5. März 2014 von TobiasNYSE

[EUNES 0]

pptp inkl. domänenanmeldung über ras... ist das nicht die "normale" VPN-Verbindung beim Server 2008 R2????

 

sorry, für die blöde frage

[DocData 85]

PPTP kann seit spätestens 2012 problemlos geknackt werden. Es ist grob fahrlässig heute noch auf PPTP zu setzen.

[TobiasNYSE 10]

pptp inkl. domänenanmeldung über ras... ist das nicht die "normale" VPN-Verbindung beim Server 2008 R2???? sorry, für die blöde frage

Quasi, nennt sich unter Srv.2k8 nur anders ..Netzwerkrichtlinien und ... NPS

 

PPTP kann seit spätestens 2012 problemlos geknackt werden. Es ist grob fahrlässig heute noch auf PPTP zu setzen.

Also ich halte das für deutlich übertrieben, weil heise unter Laborbedingungen ms-chap geknackt hat glauben alle pptp wäre offen wie ein scheunentor. Es benötigt ja immer noch einen sog. mitm angriff, da musst du erstmal in die Infrastruktur einbrechen also quasi ins RZ oder bei einem tk Anbieter auf schalten, das erfordert schon erheblichen Aufwand und kriminelle energie.Als dax30 unternehmen sollte man sicherlich auf etwas anderes setzen aber selbst diese security solutions hackt dann die nsa - oder wie seht ihr das?

[NorbertFe 1.799]

Reicht doch die Infektion eines Clients der sich per pptp anmeldet. Und mit Heide hat das wenig zu tun, die haben darüber nur schon mehrfach berichtet.

[Alith Anar 38]

@TobiasNYSE
100 MBit Down hast du auch bei KD. 6 MBit Upstream. - Hab ich zu Hause - seitdem weis ich, das Powerlan doch einen ziehmlich hohen Verlust hat ;)

Da überlegt man echt, ob man eine Kopie der Daten erstellt für später oder doch lieber gleich neu läd ;)

[TobiasNYSE 10]

Reicht doch die Infektion eines Clients der sich per pptp anmeldet. Und mit Heide hat das wenig zu tun, die haben darüber nur schon mehrfach berichtet.

 

Richtig, aber dazu brauchts ja doch auch erstmal eine potenzielle Sicherheitslücke die ausgenutzt wird, und bei der Gelegenheit kann man ja auch gleich die Daten vor dem Tunnel abfangen, also auch PWs direkt auslesen oder die Zertifikate von IPSec, L2TP etc.

 

Der Heise Artikel wird aber gefunden und auch über wiki verlinkt, dementsprechend wird er oft als Argumentationsverstärker hergenommen. 

 

Was mich auch echt wundert, warum es hier noch kein PPTPv2 gibt quasi mit MS-CHAPv3...

 

100 MBit Down hast du auch bei KD. 6 MBit Upstream. 

 

Und das kommt auch wirklich an, die werben also nicht nur damit, von KD habe ich immer abgeraten, ist für mich son zweckentfremdetes Broadcastmedium was für den Zweck der beidseitigen DFÜ eigentlich nicht entwickelt wurde. Aber ich kenne nun doch vereinzelt welche die damit sehr zufrieden sind.

Ich hoffe ich bekomme nun endlich mal ein NGN mit VDSL-50 über VF, die kaufen sich ja nun wieder verstärkt über die Telekom ein, sieht ganz gut aus.  :)

bearbeitet 6. März 2014 von TobiasNYSE

[Dunkelmann 96]

Quasi, nennt sich unter Srv.2k8 nur anders ..Netzwerkrichtlinien und ... NPS

 

Also ich halte das für deutlich übertrieben, weil heise unter Laborbedingungen ms-chap geknackt hat glauben alle pptp wäre offen wie ein scheunentor. Es benötigt ja immer noch einen sog. mitm angriff, da musst du erstmal in die Infrastruktur einbrechen also quasi ins RZ oder bei einem tk Anbieter auf schalten, das erfordert schon erheblichen Aufwand und kriminelle energie. Als dax30 unternehmen sollte man sicherlich auf etwas anderes setzen aber selbst diese security solutions hackt dann die nsa - oder wie seht ihr das?

Entschuldigung für die deutlichen Worte, aber Deine Aussagen sind absoluter BS.

1. NPS ist ein Richtlinien Dienst und hat nichts mit dem genutzen VPN Protokoll zu tun
2. Jedes System mit Internet-Anbindung ist ein potentielles Ziel - unabhängig von der Unternehmensgröße.
3. Bei einem schlecht konfigurierten Hosterserver, wie ihn der TO betreibt oder betreiben will, ist es keine Frage ob, sondern nur wann er kompromittiert wird und fortan als C&C, Contenthost für fragwürdige Inhalte, Jumpbox etc. dient.

 

@EUNES:

Überdenke Deinen Ansatz nochmal komplett. Du möchtest einem Bekannten helfen; tust Du ihm damit wirklich einen Gefallen oder setzt Du ihm einem - für euch unbeherrschbarem - Risiko aus?

Vielleicht wären ein oder zwei Azure VMs die bessere Wahl. Mit einem virtuellen LAN Segment und VPN Zugang über den Provider-Gateway kannst Du Dir jede Menge Gebastel und potentiellen Ärger sparen.

Als Alternative könntest Du oder Dein Bekannter einen Dienstleister mit dem Projekt betrauen.