mwiederkehr 373 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Hallo zusammen Derzeit mache ich gerade die Erfahrung, dass der VPN-Client von Windows 10 erstaunlich unbrauchbar ist. Die Einstellungen sind über die alte und neue Oberfläche verteilt, manches ist nur per PowerShell erreichbar und aussagekräftige Logs sind schwer bis unmöglich auffindbar. Vielleicht liegt der Fehler auf meiner Seite, ich mache VPN meist Site-to-Site, mit Mobile-VPN hatte ich schon länger nicht mehr zu tun. Der Kunde hat eine ZyWALL auf dem aktuellen Stand und möchte, dass sich ca. 10 Geräte von remote einwählen können. Die Geräte gehören der Firma und sind verwaltet, der Support hat also Zugriff darauf. Gewünscht ist eine Lösung mit Authentifizierung mittels Benutzername und Passwort. Falls zusätzlich ein vom Admin einmalig zu installierendes Zertifikat verwendet werden kann, ist das ein Vorteil. Ideal wäre MFA, aber auch das ist optional. Ich hätte es gerne mit dem Client von Windows konfiguriert, um die Installation zusätzlicher Software zu vermeiden. Der SSL-VPN-Client von Zyxel ist zudem nicht benutzerfreundlich, so muss man zum Beispiel bei jedem Verbinden den Server neu auswählen. Deren IPsec-Client ist besser, jedoch kostenpflichtig. Wobei nicht die Kosten das Problem sind, sondern der Aufwand für die Verwaltung der Aktivierungen, Lizenztransfers etc. Kurz: Idealerweise wäre es so einfach wie mit dem guten alten PPTP. Probiert habe ich es mit L2TP und IKEv2. Trotz Tutorials von Zyxel habe ich keine Verbindung zustande gebracht. Wobei Zyxel sich auf den Standpunkt stellt, der VPN-Client von Windows sei unbrauchbar, man solle ihren Client verwenden. Ist das so oder implementieren sie die Protokolle nicht sauber? Arbeitet ihr mit dem VPN-Client von Windows oder nehmt ihr immer die Software des Firewall-Herstellers? Vielen Dank für eure Erfahrungen! Zitieren Link zu diesem Kommentar
tesso 373 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Ich arbeite in den meisten Fällen mit Drittherstellern. Je nach Protokoll das benutzt werden soll. Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Hallo, ich hab mir abgewöhnt auf den VPN-Client von Windows zu setzen. Es gibt Software wie z.B. FritzVPN die Einstellungen am IPSec ändert und damit nicht übersichtlich ein Problem für den Windows VPN-Client verursacht. Auch ein Windows-Update hat diesen schon öfters nutzlos gemacht. Wenn es möglich ist setze ich auf die Clients der Hersteller, auch wenn's manchmal unpraktisch ist. Meist wird dort auch ein Logging geboten, um fehlerhafte Pre-Auths zu erkennen. Was ich empfehlen kann ist SSL-VPN. Die Appliances liefern mittlerweile gute Performance, ist leicht einzurichten und funktioniert in vielen Gast-Wlans einwandfrei. Auch wenn du aktuell andere Probleme damit hast, würde ich MFA nicht aus dem Auge verlieren wollen. Möglich das du den Weg beim Einrichten dafür mit bereiten kannst. 1 Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Hi, was ist denn das Ziel hinter dem VPN? Wäre evtl. ein Verzicht für VPN denkbar durch Implementierung von Remotedesktop Gateway und RD WebAccess oder entsprechender Alternativen wie bspw. Guacamole? Gruß Jan Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Zitat Deren IPsec-Client ist besser, jedoch kostenpflichtig. Wobei nicht die Kosten das Problem sind, sondern der Aufwand für die Verwaltung der Aktivierungen, Lizenztransfers etc. Wenn Du mit dem IPSec Client zufrieden bist dann ist meine klare Empfehlung diesen zu verwenden. Der Aufwand mit der Lizenzierung steht im keinen Verhältnis zum Aufwand für die Einrichtung eines Dritt-Anbieter-Clients bzw. Protokolls. Wir selber haben den Windows Client mit IKEv2/IPSec und einem OPNsense VPN Server im Einsatz. Wie Du richtig erkannt hast ist dies in der Ersteinrichtung sehr komplex. Ich habe auch einige Tage für die Konfiguration benötigt, vor allem da wir mit Benutzerzertifikaten und Windows NPS als Radius Server arbeiten. Aber danach ist die Einrichtung von Clients mit einem Powershell-Skript und ein paar Klicks im VPN Adapter kein Problem. Ich würde diesen Weg aber nicht empfehlen. Wir verwenden parallel noch OpenVPN mit dem Client von openvpn.net - die Clients sind hier mit der Konfigurationsdatei vom Server wesentlich schneller und komfortabler in der Einrichtung. Nach meinem Wissen unterstützt allerdings Zyxel OpenVPN nicht. Von PPTP würde ich Dir aus Sicherheitsgründen auf jeden Fall abraten - hierzu ein Artikel über VPN Protokolle. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 20. Mai 2022 Autor Melden Teilen Geschrieben 20. Mai 2022 Vielen Dank für eure Antworten! Dann geht es wohl Richtung Drittanbieter-Client. Die ZyWALL scheint bezüglich Mobile-VPN auch nicht das ideale Produkt zu sein: Die Clients sind entweder nicht benutzerfreundlich oder kostenpflichtig und die Implementation von MFA kann ich einem Endbenutzer nicht zumuten. Man kann den Tunnel ganz normal verbinden, aber es geht kein Traffic durch, bis man auf einen Link in einer E-Mail klickt. Bei Cisco AnyConnect habe ich bis jetzt die beste Lösung gesehen: Login mit Benutzername und Passwort, danach ein zweiter Dialog, in welchen man das per SMS erhaltene Passwort einträgt. vor einer Stunde schrieb MurdocX: Was ich empfehlen kann ist SSL-VPN. Die Appliances liefern mittlerweile gute Performance, ist leicht einzurichten und funktioniert in vielen Gast-Wlans einwandfrei. Eine Appliance wäre eine Möglichkeit, wenn es mit der ZyWALL nicht zufriedenstellend funktioniert. Hast Du eine Empfehlung? OPNsense? Dort scheint die Einrichtung von OpenVPN recht komfortabel zu funktionieren, inkl. TOTP. vor 51 Minuten schrieb testperson: Wäre evtl. ein Verzicht für VPN denkbar durch Implementierung von Remotedesktop Gateway und RD WebAccess oder entsprechender Alternativen wie bspw. Guacamole? Remotedesktop war mein erster Vorschlag und das läuft seit ein paar Jahren so. Es funktioniert ganz gut, um von unterwegs mit Office und dem ERP zu arbeiten, aber leider benötigen viele Benutzer CAD und auch sonst sind die Ansprüche gestiegen (Teams...). Da jetzt eine Gigabit-Leitung zur Verfügung steht, ist der Wunsch nach direktem Zugriff auf die Daten entstanden. vor 33 Minuten schrieb winmadness: Wir verwenden parallel noch OpenVPN mit dem Client von openvpn.net - die Clients sind hier mit der Konfigurationsdatei vom Server wesentlich schneller und komfortabler in der Einrichtung. OpenVPN sieht gut aus. Betreibt ihr das über die OPNsense oder direkt, also ohne Web-GUI? Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Zitat OpenVPN sieht gut aus. Betreibt ihr das über die OPNsense oder direkt, also ohne Web-GUI? Die Einrichtung und Verwaltung von OpenVPN wird vollständig über die Web-GUI von OPNsense durchgeführt. Kann ich nur empfehlen. Mit der vom Server exportieren Konfigurationsdatei und dem Client von openvpn.net ist die Einrichtung des Clients ein Kinderspiel. Auch auf anderen Betriebssystemen wie z.B. iOS kein Problem. Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 20. Mai 2022 Melden Teilen Geschrieben 20. Mai 2022 Hi, noch ein Ansatz, da die Devices ja alle verwaltet sind. Wäre ggfs. Direct Access eine Option? Wobei da die Zukunft ja auch ungeklärt scheint bzw. ob es da nur noch in Richtung Always On VPN geht. Gruß Jan Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 23. Mai 2022 Autor Melden Teilen Geschrieben 23. Mai 2022 DirectAccess scheitert an der nicht vorhandenen Enterprise-Lizenz für Windows. (Aber es wäre auch sonst wohl zu komplex für zehn Clients.) Ich habe jetzt OPNsense installiert. Damit hatte ich zum letzten Mal zu tun, als es noch m0n0wall hiess und man es auf WRAP-Boards von PC Engines betrieben hat. OpenVPN läuft super und ist sehr einfach zu verwalten, inkl. MFA mit TOTP. Routing in mehrere Netze funktioniert, ebenso die Übergabe des DNS-Servers und -Suffixes. Einziger kleiner Nachteil ist, dass man das Einmalpasswort im normalen Passwortfeld vor dem Passwort eingeben muss und es kein zusätzliches Feld dafür gibt. Aber das ist eine Frage der Schulung. Besten Dank für eure Tipps! Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 23. Mai 2022 Melden Teilen Geschrieben 23. Mai 2022 Für IPSEC liefert die Fa. wohl die besten Lösungen: https://www.ncp-e.com/de/produkte/zentral-gemanagte-vpn-loesung/managed-clients/ Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 24. Mai 2022 Autor Melden Teilen Geschrieben 24. Mai 2022 Besten Dank für den Tipp, zahni! Habe mir die Seite gespeichert, der Client scheint wirklich vielseitig zu sein. Besonders die Möglichkeit, allen Verkehr über das VPN zu leiten, aber gewisse Anwendungen davon auszuschliessen, habe ich noch nirgends gesehen. Zitieren Link zu diesem Kommentar
Squire 260 Geschrieben 31. August 2022 Melden Teilen Geschrieben 31. August 2022 (bearbeitet) Guck Dir mal das hier an ... ist von Veeam und kostenlos. Ich hatte das mal ganz kurz letztes Jahr angeschaut ... https://www.veeam.com/de/powered-network.html?ad=downloads was NCP angeht ... hatten wir in der alten Firma. War zuverlässig. Ich hab auf meinem Samsung den NCP Mobile Client wenn ich mal schnell auf meine Fritzbox will ... oh Mist ... nicht auf das Post-Datum geschaut ... Mai ist schon etwas länger her bearbeitet 31. August 2022 von Squire Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.