Ist eine VPN-Einrichtung lediglich über einen Router möglich?

[Mr. Bush*]

Hallo zusammen,

ich versuche mich gerade darin, eine VPN-Verbindung für das private Unternehmen meines Vaters aufzubauen (er möchte von zu Hause aus auf Infos zugreifen im Unternehmens-Netzwerk). Ich habe in dem Handbuch/PDF des Routers, welches in seinem Büro steht (CNB CH6640E) lediglich gelesen, dass VPN möglich ist, nicht jedoch, wie es einzustellen ist. Es existieren auch keine Einstellungsmöglichkeiten wenn ich die Einstellungen des Routers im Browser aufrufe.

Frage: Brauche ich sowas wie eine Fritzbox (Modem), neben dem Router oder gibt es noch eine andere Möglichkeit über den aktuellen Router auf VPN-Einstellungen zuzugreifen?

Danke und Gruß

 

[chris_2401]

Was du brauchst ist ein VPN-Server in der Firma, der von außen erreichbar ist.
Zuhause auf dem PC/Laptop/Handy muss dann ein VPN-Client eine Verbindung zum Server aufbauen (einen Tunnel aufbauen).

Der Server kann entweder der Router sein (wenn er denn die entsprechende Software hat) oder ein Server (ggf. auch ein Raspberry Pi [Pi-VPN]) sein, der in der Firma steht.

Nach dem was in der Anleitung des Routers steht, kann dieser nur VPN pass-through, also ein VPN durchreichen und kann nicht als VPN-Server fungieren.

Ist also die Frage, was so die Anforderungen sind, damit es sicher und zuverlässig funktioniert.

 

[R O G E R]

Hat das Unternehmensnetzwerk eine Feste-IP?
Wenn nicht dann brauchst du natürlich einen DynDNS dienst der von dem Installierten router gefüttert wird.
Sonst reicht eigentlich dann nur ein VPN-Server (OpenVPN, Wireguard) der als Port-Weiterleitung im Router eingetragen ist.

 

[Pandora]

Der Router kann es nicht, VPN Server kann auf dem Rechner auf den auch zugegriffen werden soll betrieben werden, aber ohne feste IP muss ein ddns her oder man klickt gleich einen VPN als VPS.

 

[eigs]

Dein Router kann nur die Ports für VPN weiterleiten aber stellt keinen VPN Endpunkt.
Als Server kannst du zum Beispiel einen Windows oder Linux Server, NAS, Hardware-Router oder Software-Router je nach Anforderung und Kenntnisse nehmen.

 

[Digitalzombie]

Vielleicht wäre eine Fernwartungssoftware einfacher? Teamviewer drauf un gut is

 

[PHuV]

Wenn das ordentlich von der Firma gemacht ist, brauchst Du bei Eurem Heimrouter gar nichts machen. Der VPN-Client wird am Firmennotebook gestartet, und er sollte eigentlich entsprechend vorkonfiguriert sein. Dein Vater sollte das über die Firmen-IT einstellen und prüfen lassen. Fernwartung wurde bereits angesprochen. An Deiner Stelle würde ich hier gar nichts machen, da es Hoheit der IT der Firma ist.

 

[Mr. Bush*]

Ich weiß leider nicht, wie ich herausfinden kann, ob eine feste IP vergeben ist? Habe über ipconfig lediglich die IPv4-Adresse finden können, soll ich die morgen nochmal überprüfen? Aber eine DDNS könnte ich ja z. b. über No-IP einrichten..

Und ich bin gerade etwas verwirrt, da ihr sagt, dass der VPN Server einerseits der eigentliche Rechner sein kann:

VPN Server kann auf dem Rechner auf den auch zugegriffen werden soll betrieben werden, aber ohne feste IP muss ein ddns her oder man klickt gleich einen VPN als VPS.

(also in diesem Fall müsste ich gar nichts am Router einstellen?)

Oder dass der VPN-Server z. B. ein Dienstleister sein kann:

Sonst reicht eigentlich dann nur ein VPN-Server (OpenVPN, Wireguard) der als Port-Weiterleitung im Router eingetragen ist.

Was würdet ihr empfehlen?

An Deiner Stelle würde ich hier gar nichts machen, da es Hoheit der IT der Firma ist.

Ja, ich weiß. Aber es ist wirklich keine große Firma (es arbeiten insgesamt drei Leute dort wovon zwei von zu Hause aus Zugriff bekommen sollen.) und er möchte einfach Sicherheit, da es hier um wichtige Kundendaten geht.

 

[Pandora]

Hast du eine dynamische IP (hast du zu 99% wenn du keinen Businesstarif hast) die sich regelmäßig ändert, brauchst du zwangsweise eine Gegenstelle im Internet die immer die selbe Adresse hat. Entweder wird hier regelmäßig die aktuelle IP hinterlegt (ddns) oder du betreibst den VPN dort und Firma und Heimarbeiter verbinden sich zu diesem als Client.

Was läuft denn in der Firma noch, irgendwo müssen die Daten ja drauf sein.

 

[PHuV]

Dann sollte trotzdem das VPN über die Firma laufen. Wenn Du eine 2-seitige VPN-Verbindung per Routerkopplung machen wolltest, brauchst Du dazu einige Infos aus der Firma, und die würde Dir jeder normale Admin für privat verweigern. Zudem Du bzw. Dein Vater dann auch haftet, wenn was schief läuft. Daher, VPN-Verbindung zur Firma über die Firma, und laß das dort jemanden machen.

Am einfachsten ist es, VPN beim Firmenrouter einstellen, und die Firmennotebooks mit Hilfe des VPN-Clients des Routeranbieters verbinden lassen. Damit brauchst Du Dich nicht weiter um feste IPs oder sonstwas kümmern.

 

[Digitalzombie]

Okay, jetzt mal alles sehr vereinfacht und zusammengefasst ...

Es gibt 2 Arten von VPNs:
1. Client (PC/Smartphone) <-> Netzwerk (Router)
Der Client hat ein Programm (z.B. OpenVPN) und verbindet sich mit dem Router der Firma. Der Router muss die Möglichkeit haben VPNs in den Einstellungen einzurichten. Können nicht viele normalen Router, Fritzboxen meist nur über Tricks. Stichworte "OpenVPN" oder auch "IPsec". Das sind die beiden meistgenutzten VPN Arten.

2. Netzwerk (Router) <-> Netzwerk (Router)
Dein Router verbindet sich mit dem Router der Firma. Hat den Vorteil das man nur eine Verbindung aufbauen muss obwohl ggf. mehrere Rechner von zu Hause aus auf die Firma zugreifen. Nachteil: Man brauch 2 Router die es unterstützen. Auch hier gilt OpenVPN und IPsec.


Lassen wir Punkt 2 weg und konzentrieren uns auf 1.

Du brauchst eine feste IP Adresse in der Firma. Mit dieser Adresse muss sich der Client verbinden. Ist diese nicht vorhanden (steht im Vertrag mit dem jeweiligen Internetanbieter, kostet meist Aufpreis also auch auf der Rechnung zu finden), kann man einen DynDNS Anbieter nutzen. Dieser stellt eine Adresse zur Verfügung (z.B. meinefirma.dyndns.de) die auf die wechselnde IP zeigt (da alle 24 Stunden neu verteilt wird). Dafür ist ein Programm im Firmennetzwerk nötig das dem Anbieter sagt "Hallo, da hat sich grad unsere Adresse geändert! Wenn uns jemand unter meinefirma.dyndns.de sucht, schick sie bitte jetzt HIER hin".

Der CNB CH6640E unterstützt allerdings nur VPN Passthrough, was übersetzt bedeutet:
Nein, man keine VPN Verbindung mit dem Router aufbauen. Aber es wird einem gestattet HINTER dem Router einen zweiten Router zu nutzen der VPN richtig unterstützt oder einen PC mit VPN Server.
EInige Router die von Anbietern geliefert werden erlauben nichtmal das.

Natürlich ist die Verbindung auch nicht von Haus aus abgesichert. So muss man sich auch erstmal entsprechende Sicherheitszertifikate erstellen, die dann genutzt werden um die User zu authentifizieren.


Bedeutet zusammengefasst .... NIMM TEAMVIEWER

 

[Mr. Bush*]

Ohje, ich habe meinem Vater eigentlich einen Gefallen tun und die VPN-Verbindung aufbauen wollen, aber es scheint doch reichlich komplexer zu sein, als ich gedacht habe. Und das wichtigste ist auf jeden Fall der Sicherheitsaspekt (Zertifikate usw.) und dafür verantwortlich zu sein, wenn ich nicht so viel von der Materie verstehe wie hier einige andere ist wohl doch etwas zu heikel... 😶Aber ich danke euch dennoch für die zahlreichen Antworten!

@Digitalzombie: Danke Dir für die ausführliche Antwort! TV verlangt aber doch, dass der Partner-Computer an ist? Es sind in letzter Zeit eben auch z. B. Telefonate abends zu führen, da kann keiner noch ins Büro und den Rechner anmachen. Aber ich werde es ihm dennoch mal vorschlagen.

 

[Digitalzombie]

Für seinen alten Herren kann man schonmal über ein paar Hürden springen.

PC einfach anlassen und dann per Teamviewer runterfahren
Hab bei meinen Kunden teilweise einen Timer (Windows Aufgabenverwaltung) zum runterfahren drin. Der PC bleibt nach Feierabend an, macht Backup und Updates und fährt dann runter. Dein Vater lässt die Kiste an und um 23:59 schaltet sie sich wieder ab. Zum Beispiel.

Mit WakeOnLan fangen wir jetzt besser nicht an.

 

[Raijin]

ich versuche mich gerade darin, eine VPN-Verbindung für das private Unternehmen meines Vaters aufzubauen

er möchte einfach Sicherheit, da es hier um wichtige Kundendaten geht.

Diese Aussagen kombiniert mit deinen eingeschränkten Kenntnissen - was keineswegs böse gemeint ist - deuten darauf hin, dass du tunlichst die Finger davon lassen solltest.

"Sicherheit" ist nichts was einfach irgendwo draufsteht und dann per Definition gilt. Je wichtiger die Daten umso eher sollte sich damit jemand auseinandersetzen, der sich damit auskennt. Und nein, das ist auch nicht der Kumpel von nebenan, der meint er hätte voll die Ahnung.

Was genau soll denn von daheim überhaupt genutzt werden? Nur eine Software auf einem der PCs? Soll sich eine Software von Heim-PC mit irgendwas in der Firma verbinden? Oder wird daheim der Laptop aus dem Büro genutzt?
Werden Daten von/zum NAS/Dateiserver runter- bzw hochgeladen? Apropos NAS: Gibt es eines bzw generell einen zentralen Datenspeicher/-server? Wenn NAS: Welches Modell? Wenn Server: Welches Betriebssystem?

Es gibt viele Szenarien einer Remoteverbindung in die Firma und jedes Szenario lässt sich mit unterschiedlichen Mitteln unterschiedlich gut bewerkstelligen. Beschreibe daher bitte möglichst genau was am Ende erreicht werden soll, ohne auf einen Lösungsweg einzugehen - meide bei der Beschreibung also Begriffe wie VPN, TeamViewer, etc..

 

[Mr. Bush*]

Es gibt viele Szenarien einer Remoteverbindung in die Firma und jedes Szenario lässt sich mit unterschiedlichen Mitteln unterschiedlich gut bewerkstelligen. Beschreibe daher bitte möglichst genau was am Ende erreicht werden soll

Ich glaube, dass hier der Hund begraben liegt. Die Analyse der Anforderungen ist nicht ganz klar. Ich werde das morgen so genau wie es geht mit ihm besprechen und mich nochmal melden.

Gute Nacht!