ComputerBase Menü
Aktuelles

Sicheres VPN mit Windows Server 2003 Bordmitteln möglich?

S

sinkpäd

Lt. Commander
Registriert
Aug. 2009
Beiträge
1.559
Um einer Kollegin das Arbeiten von zu Hause aus zu ermöglichen, soll ich auf unserem W2K3 Server ein VPN einrichten, mit dem sie sich dann mit einem Windows 8.1 Laptop über eine LTE-Verbindung von überall aus verbinden kann.

Bekanntlich ist in Windows Server 2003 bereits ein VPN-Dienst enthalten, allerdings zweifle ich daran, ob dieser die aktuellen Sicherheitsstandards erfüllt und ob es nicht besser wäre, Open VPN oder vergleichbare Software zu nutzen um den Server aufzusetzen da ich wegen der Sicherheit möglichst L2TP nutzen möchte.

Wie würdet Ihr vorgehen?
 
EOL haben wir im Auge und schauen uns auch schon nach einem neuen Server um. Das VPN benötigen wir allerdings schon bald.
 
Was für Router habt ihr denn? Im Heimbereich können Fritzboxen VPN. "Profi"-Router können das meist noch besser.
 
Einen Cisco/Linksys Router, der allerdings eher für den Heimgebrauch konzipiert ist und annähernd nichts kann. VPN kann er z.B. leider nicht.
 
Mit Bordmitteln kommst du nicht mehr weit, PPTP ist tot.

Deshalb: OpenVPN!

€dit: Welches Routermodell genau? Wenn OpenWrt, Tomato, DD-WRT oder Konsorten dafür verfügbar sind, bekommt man auch OpenVPN damit zum Laufen.
 
Es ist ein Linksys EA3500. VPN direkt im Router wäre natürlich perfekt. Nutze ich daheim mit der Fritzbox und komfortabler gehts nicht.
 
Auch der Server 2003 kann bereits sicheres VPN über L2TP mit IPSec.
http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Zertifikaten.49.0.html

Allerdings halte ich es wenig sinnvoll einen Server der bald aus dem Support raus ist noch auf irgendeine weise ins Internet zu stellen.

Du kriegst für Verhältnismäßig wenig Geld einen Lancom Router der die Aufgaben erledigt.
http://www.lancom.de/produkte/standortvernetzung/router-vpn-gateways/lancom-1631e/1631e-ueberblick/

Zudem sparst du dir die doppelte Einrichtung falls du deinen Server doch mal ersetzt.
 
Hm, bei dem ist’s mit alternativer Firmware Essig. Und von Haus aus kann er nur VPN-Passthrough. :/

Dann hau einen OpenVPN-Server auf den W2k3. €dit: xexex’ Vorschlag ist auch gut, wenn nicht sogar besser.
 
Zuletzt bearbeitet:
Leider scheint dein Linksys keine Unterstützung von DD-WRT und openWrt zu haben.

Wenn es eine "Router"-Lösung mit OpenWrt sein soll, kannst du dir den TP-Link WR1043ND ansehen. Für Ihn gibt es ein OpenWrt-Image.
Allerdings hat dieser Router KEIN internes Modem.

Ansonsten kannst du einen OpenVPN-Server virtuell aufsetzen und ihn dann nutzen.
Ggf. wenn Ihr auf Windows Server 2012 aufrüstet, ihn auch in der Hyper-V Umgebung laufen lassen.
Alles ist von eurer Netzwerkinfrastruktur bzw. dem Budget abhäng.
"Bastellösungen" sollten nach Möglichkeit immer vermieden werden und lieber auf Komplettprodukte ausweichen. Für diese gibt es dann auch entsprechenden Support ;)

EDIT:
Lancom ist auch eine Lösung....
 
Vielen Dank für die vielen Tipps! Die Lösung mit dem Lancom Router scheint tatsächlich die vernünftigste zu sein.

Dennoch: Was macht das Aufsetzen von Open VPN in einer VM sicherer als direkt im Server OS? Ich frage deshalb, weil ja schlussendlich ohnehin der gesamte Datenverkehr ins Netzwerk geleitet wird.
 
Eine Alternative hätt ich da auch noch, falls du deinen Router unbedingt behalten willst. Setzt aber einen vorhandenen ESXi Server voraus.
http://www.sonicwall.com/us/en/products/SSL-VPN-Virtual-Appliance.html#tab=features

Vorteil der Lösung ist, dass es für jegliche Systeme Clients dafür gibt. Vor Windows Phone über Windows 8 (Metro) bis zu iOS und Android. Kostenpunkt um die 400€, dafür musst du dann nur den Port 443 auf das Gateway weiterleiten.
 
VMs haben den Vorteil, dass sie ohne allzugroßen Aufwand umgezogen werden können und weitestgehend hardwareunabhänig sind.
Wenn du den physikalischen Server austauscht, können die VMs auf einem anderen Server laufen ohne dass du Unterbrechungen hast.

Vom Sicherheitsaspekt kannst du anführen, dass im schlimmsten Fall nur die VM auf einen älteren Snapshot zurückgesetzt werden muss und nicht der komplette physikalische Server neu aufgesetzt werden muss.
Aus Netzwerksicht gehen die Daten natürlich im selben Netzwerk ein und aus. Aber du könntest Sie über VLANs trennen.
 
bumbklaatt schrieb:
Dennoch: Was macht das Aufsetzen von Open VPN in einer VM sicherer als direkt im Server OS? Ich frage deshalb, weil ja schlussendlich ohnehin der gesamte Datenverkehr ins Netzwerk geleitet wird.
Zum Vergrößern anklicken....

Die Weiterleitung der Ports zu deinem Server! Schlimmstenfalls kann dein Router nicht mal einzelne Ports an deinen Server weiterleiten sondern unterstützt nur sogenannte (billig) DMZ Funktion (Exposed Host) die sämtlichen ankommenden Datenverkehr an deinen Server weiterleitet. Schwupps hast du ein grosses Sicherheitsproblem!
 
Danke für die Aufklärung. Ein schmales Linux Derivat wäre wohl am besten für open VPN oder?
 
Extra irgendwo Linux installieren um darauf einen VPN Endpunkt zu erstellen für eine Mitarbeiterin?
Ich würde einen entsprechenden Router nehmen.
 
0711 schrieb:
und warum sollte man pptp nutzen?
Zum Vergrößern anklicken....

Da es genuegend Mobile-Geraete gibt, deren OS nur PPTP sauber unterstuetzen. Teilweise gibt es auch Schwierigkeiten mit diversen G3/G4 Anbietern / Vertraege, die ebenfalls kein sauberes IPsec bzw. LT2P unterstuetzen.

Ergo es bleibt beim als unsicher geltenden PPTP oder SSL-VPN, beim letzteren ist dann der eventuell zum Einsatz kommende Java-Client im Browser ein Schwachpunkt bzgl. Sicherheit.

Ohne eine Klaerung im Vorfeld, auch bei Neuanschaffung (Datenblaetter neigen oefters zur Schoenigung) welche Hardware inkl. OS/OS-Version und Provider wer wie was kann, ansonsten ist zum Teil PPTP die einzig funktionierende Loesung.

MfG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz