Konzeption Netzwerk für einen Verein

[lampenschirm69]

Hallo zusammen,

nach dem Computerbase und das Forum nun schon seit Jahren zu meinen täglichen
Anlaufstationen im Web gehören, habe ich mich jetzt endlich mal hier angemeldet.
Natürlich nicht ohne Grund

Ich bin ehrenamtlich in einem, sagen wir mal Verein, tätig.
Dort betreue unter anderem den Bereich EDV.

Rahmenbedingungen:
Wir haben ca. 50 aktive Mitglieder von denen ca. 15 Funktionsträger sind.
von diesen 15 Funktionsträgern verwenden ca. 8-10 Personen unser momentanes "EDV-System"
Von diesen 8-10 Personen wiederum sind ca. 3-5 "Poweruser" d.h. nahezu täglich auf dem System unterwegs.
Unser aktuelles Datenvolumen liegt bei 80-100 GB. Im wesentlichen Bilder und Office Files.

Technische Ausgangssituation:
Wir haben in unserem Gebäude einen Büro, welches wiederum auch als Besprechungsraum dient.
Dort stehen im Moment:
- Fritzbox mit 20 Mbit Downstream und 3 Mbit Upstream Internetverbindung, Businessanschluss mit statischer IP
- Ein PC auf dem alle unsere Daten liegen (Backup per Acronis und externer Festplatte, gelagert in einem anderen Gebäude)
- Ein Drucker (Brother HL2030 SW-Laser) welcher per USB an die Fritzbox angeschlossen ist und im Netzwerk freigegeben
Außerdem haben wir noch ein Netbook.

Dass dies nicht mehr wirklich zeitgemäß ist steht außer Frage. Mein Budget dies zu ändern liegt bei 2000€.

Wir wollen die Daten auf ein NAS umziehen und dieses über das Internet erreichbar machen.
Für den Fernzugriff möchte ich gerne alles über Port 80 machen, da dieser auch von Firmennetzwerken zugänglich sein sollte.

Hierzu habe ich bereits ein QNAP TS-453 Pro mit 2 x 1TB WD Festplatten für 635,00 € komplett eingekauft.
Die Wahl viel auf dieses Modell, da später Virtualisierung in kleinem Rahmen benötigt werden wird.
Backup des NAS wird mit wieder mit externer Festplatte passieren.

Die Frage hier wäre jetzt, wie richte ich den Fernzugriff für den Anwender am bequemsten ein ?
Ich dachte daran an die QNAP Filestation. Mit der statischen IP und einer Portweiterleitung an der Fritzbox sollte das so möglich sein oder?
Wie steht es mit der Absicherung des Zugriffes?
Kann ich die Filestation auch aus dem internen Netz aufrufen ?

Ich würde dann jedem Funktionsträger einen User auf der QNAP einrichten, mit der er sich auf der Filestation anmelden kann.

Zusätzlich wird ein zweiter Office PC nach der Bauanleitung hier aus dem Forum für ca. 350€ beschafft.

Jetzt weiss ich nicht genau, wie ich das dann im internen Netz mit den Usern handhaben soll.
Wenn ich für jeden Funktionsträger auf beiden PCs einen Windows User ( identisch zu dem User auf der QNAP ) anlege, kann ich die Netzlaufwerke bequem über das Windows einbinden.
Allerdings muss ich dann je 15 User auf beiden PCs + Netbook händisch anlegen und verwalten
Gibt es von der QNAP eine Art Active Directory die ich hier verwenden könnte um alles zentral zu verwalten?

Von dem restlichen Budget wird ein kleiner Netzwerkschrank, Switch und Accesspoint sowie ein neuer Drucker gekauft.

Ich hoffe mal es ist so weit verständlich geschrieben, bin heute Grippe bedingt nicht so auf der Höhe -.-

Sollten weitere Angaben benötigt werden, immer raus damit. Ich versuche dann so schnell wie möglich zu liefern.

Vielen Dank und viele Grüße,

lampenschirm

 

[Raijin]

Zugriff von außen würde ich immer nur via VPN zulassen. Direkte Portweiterleitungen auf Endgeräte haben immer einen faden Beigeschmack. Je nach Dienst, der so erreichbar ist, entstehen zum Teil enorme Sicherheitsrisiken!

Das QNAP müsste bereits einen VPN-Server an Bord haben. Dann muss man im Router nur den/die Ports für das VPN weiterleiten und die Nutzer bekommen alle einen VPN-Client installiert nebst persönlichem Zertifikat. Verbindet man nun den Client von irgendwo auf der Welt mit dem VPN-Server auf dem NAS, kann man das NAS nutzen als wäre man im Vereinsheim im LAN. Wenn man einen OpenVPN-Server einrichtet, kann man den ohne Probleme auf weitestgehend ungeblockte Ports legen, zB 443 (https) oder auch 53 (DNS). Solche Ports sind in Netzwerken fast nie geblockt, weil ohne sie unter Umständen nicht richtig gesurft werden kann. Bei IPsec-VPN ist das evtl anders, da kann man nicht so einfach die Ports ändern, wenn ich richtig informiert bin. Ich habe selbst noch kein IPsec aufgesetzt, daher kenne ich mich damit nicht so aus. Diese Info ist also nicht 100%ig sicher. Bei OpenVPN dagegen schon, das habe ich selbst so im Einsatz, aber nicht auf einem NAS, sondern auf einem Ubuntu-Server. Das ist aber Jacke wie Hose.

*edit: Die Fritzbox hat im übrigen auch einen VPN-Server. Wenn ich mich nicht irre, ist das aber IPsec-only.

 

[lampenschirm69]

Hallo Raijin,

danke für deinen Rückmeldung!
Okay direkte Portweiterleitungen sind gestorben.

Alternativ wäre eine Weboberfläche ala Sharepoint oder Owncloud für den Zugriff von extern möglich?
Das würde ausreichend sein für die Benutzer und ein Owncloud Plugin gibt es ja meines Wissens für die QNAP.
Müsste dann natürlich auch über SSL abgesichert werden.

Viele Grüße,

lampenschirm

 

[Raijin]

Https ist natürlich auch eine Option. Ich bevorzuge aber dennoch VPN, weil der Sicherheitsaspekt und der Zugriffsmechanismus dabei auf grundsätzlich unabhängig von den genutzten Diensten sind. Das heißt man kann zB auch Drucker nutzen - wenn es sinnvoll ist - oder andere Dinge tun, die prinzipiell nicht für externen Zugriff gedacht sind.

 

[lampenschirm69]

Hallo,
also wäre quasi

VPN:
Vorteil -> höhere Sicherheit + mehr Features ( z.B. Drucker nutzen)
Nachteil -> VPN Clients müssen bei den Leuten installiert werden.

Zugriff via HTTPS und Weboberfläche:
Vorteil -> Zugriff auch aus einem Firmennetz her (sehr wahrscheinlich) möglich
Nachteil -> Drucken nicht möglich und Sicherheitsaspekte

Ich denke ich werde trotzdem zu einer Lösung über HTTPS und Weboberfläche tendieren.
Druck wird von Remote eh nicht wirklich benötigt und die Möglichkeit in der Mittagspause mal schnell noch ein paar Sachen
zu erledigen, ist für die Anwender wichtiger.

Viele Grüße

 

[Raijin]

Drucken war nur ein bildhaftes Beispiel für einen Dienst, der ursprünglich nicht für die Nutzung von außen vorgesehen war/ist. Ersetze das durch irgendeine andere LAN-interne Funktion - beispielsweise Netzlaufwerke. Netzlaufwerke sollte man nämlich nicht direkt aus dem Internet erreichbar machen.


Der Vorteil, den du für HTTPS aufführst, ist aber keiner. Man kann zB ein OpenVPN wie bereits erwähnt problemlos auf UDP/TCP 443 laufen lassen und der vermeintliche Vorteil von HTTPS wird zum Gleichstand.

Die Lösung via HTTPS wird spätestens dann anecken, wenn du mehr willst als nur die Weboberfläche aufzurufen - beispielsweise die erwähnten Netzlaufwerke. Die gehen nämlich über die separate SMB-Ports und lassen sich nicht über https nutzen. Man muss also etwaige Up-/Downloads zum/vom NAS über das Webinterface durchführen und kann nicht einfach von Laufwerk C: auf Laufwerk Z: schieben..

Die "Speichern unter"-Funktion einer Anwendung funktioniert zB nicht mit Webinterface-Uploads.

 

[lampenschirm69]

Hallo Raijin,

bleibt bei OpenVPN, oder was auch immer man als VPN Lösung verwendet, immer noch das Problem, dass ich auf jedem (privaten) Notebook der Anwender einen VPN Client installieren und konfigurieren muss, da diese das in der Regel nicht können.
Was den administrativen Aufwand von meiner Seite sehr hoch macht.

Dass die Weboberfläche weniger Komfort bietet als eine Bedienung ala Netzlaufwerk ist klar und dies gilt es abzuwägen.

Ich werde mir noch mal Gedanken über das ganze Thema machen und danke dir für deinen (vor allem auch den kritischen) Input!

 

[h00bi]

Wird denn aktuell schon remote auf der Kiste gearbeitet? Weil 3 Mbit Upstream sind bei 3-5 Powerusern schon extrem mager.
Das nächste ist: BRAUCHST du wirklich von unterwegs Zugriff auf alle Daten. Viele denken dass sie das brauchen und finden das dann auch 2 Tage ganz toll. Danach wirds nicht mehr benutzt.
Ein Bekannter von mir hat da, trotz Warnung, erst kürzlich 1500€ verbrannt.

Wer arbeitet denn tatsächlich in-house und wer und warum soll Fernzugriff bekommen?

 

[Raijin]

Klar, der Installationsaufwand ist vorhanden, keine Frage. Das ist aber nicht so schlimm wie man anfangs vermutet - zumindest auf einem PC. Man installiert den Client (setup.exe, ein paar Mal weiter, Ok, Ok, ja, bin sicher, echt jetzt, ganz wirklich, ok) und kopiert die zuvor erstellte Konfigurationsdatei inkl. Zertifikat auf den PC. Anschließend noch ein Shortcut auf den Desktop und/oder ins Startmenü (oder auch eine VPN-GUI) und fertig ist die Laube.

Bei Smartphones kann das schon etwas mehr Aufwand bedeuten, weil man unter Umständen Root benötigt.

Ich gebe dir also insofern Recht, dass der Initialaufwand höher ist.


Es hat alles Vor- und Nachteile. Man muss abwägen was einem am Ende am wichtigsten ist.