VPN ? Verbindung von zu Hause ins Büro

VPN ? Verbindung von zu Hause ins Büro (37 Beiträge, 426 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo,

brauche bitte für folgende Situation euren Rat:

Ich bin dabei, mir ein Büro einzurichten, in dem mindestens 8 Arbeitsplätze geplant sind. Zusätzlich kommen ca. 4-5 Drucker dazu. Der Server steht dann auch noch irgendwo herum.
Verkabelung wird nicht das Thema sein, aber der Anschluss in die große weite Welt ...
Was brauch ich da alles? Bez. welcher Anbieter ist sinnvoll ..?

Von zu Hause wird natürlich auch teilweise von mir und meiner Frau gearbeitet, da die Daten aber alle am Server im Büro liegen, muss ich ja eine sichere Verbindung herstellen. Das funktioniert glaub ich doch über VPN?

Wenn ihr Profis mir ein bischen die Augen öffen könnt, worauf es hier ankommt, und wie das am sinvollsten gelöst werden kann, bin ich euch sehr dankbar

vielen Dank und lg

Ne Synchrone Leitung sollte es schon sein. (also zb 2048/2048 Down/Upload)

Anbieter, wir haben meist Silverserver und sind sehr zufrieden damit.

Wegen VPN musst halt mal drüber nachdenken wo dein tunnelendpunkt sein soll. Auf der vorgeschalteteten Hardware-Firewall (insofern sie das kann), am Server mit Routing und Ras oder eine andere Möglichkeit?

Greetz,

Maugrim

Ne Synchrone Leitung sollte es schon sein. (also zb 2048/2048
Down/Upload)

Also momentan hab ich chello/light daheim, damit wird es nicht funktinieren

oder eine andere Möglichkeit?

Ich habe leider keine Ahnung was der Tunnelendpunkt ist. Daheim habe ich einen Linksys WRT54GL geplant um Notebooks zu verwenden, im Büro kommt dann der Rest

so zB. die Hardware-Firewall, ein oder mehrere Server (Fileserver, verm. Exchangeserver und was halt benötigt wird). Wichtig ist halt die Datensicherheit, erstens wegen Datenklau und zweitens wegen Backup.

lg

Also mit Chello Light hast da den schlauch, nimm dir ne Synchrone Leitung (von wem auch immer).

Naja musst dir halt mal überlegen was der Tunnelendpunkt sein soll

Und mit Hardware-Firewall meine ich keinen Router*g*

zb ne Pix oder ne Firebox is für mich ne Hardwarefirewall

Greetz,

Maugrim

Also mit Chello Light hast da den schlauch, nimm dir ne Synchrone Leitung (von wem auch immer).

zb ne Pix oder ne Firebox is für mich ne Hardwarefirewall

Also für zuhause wird er mit Chello auskommen (wenn auch nicht unbedingt Light empfehlenswert ist wegen dem geringen Upload), aber eine Pix braucht er daheim sicher nicht

Logic free zone!
The use of logic will be met with uncomfortable silence.

Ich meinte auch für die Firma ned für Zuhaus.

Ja, aber er hat nach einer Lösung für zuhause gefragt

Logic free zone!
The use of logic will be met with uncomfortable silence.

Oh ok, dann öhm hab ich mich verlesen dachte er meint büro

Aba der Upload is kriminell bei Chello Light ^^

Jo......ich hab 2 MBit und da hätt ich manchmal sogar gern mehr.

Logic free zone!
The use of logic will be met with uncomfortable silence.

Jo wenn ich mir in der Firma was von zaus holen muss, denk ich mir das auch immer

Hier haben wir 4/4.

Also eine _Hardware_-Firewall hatte ich persönlich noch nie in Händen.
Das sind Teile mit einem Durchsatz von zig GBit - mit einer Firewalllösung, die in Hardware ausgeführt ist. Stichwort "reconfigurable logic devices". Und die sind nicht billig. Ganz und gar nicht. Und auch für nur ganz wenige Bereiche geeignet.

Eine Firebox (und dieses ganze andre Zeug) ist ja auch nur ein Rechner, wo Software drauf rennt, genauso wie alles, was ein Normalsterblicher zu im ganzen Leben zu Gesicht bekommt.

Nur so ein Denkanstoß...

Also ich hab bei jedem Kunden von uns entweder ne Pix, Netscreen ode rne Firebox (rack variante) im Einsatz und das Funktioniert sehr gut.

Greetz,

Maugrim

Ist ja nichts dagegen einzuwenden. Habe solche Dinger auch in rauhen Mengen im Einsatz und sie sind gut.

Mir ging es nur um die falsche Verwendung des Ausdruckes "Hardware-Firewall".

ja Hardware firewall is für mich halt ein eigenes Kastl was rein nur Firewall ist.

Greetz,

Maugrim

Mir ging es nur um die falsche Verwendung des Ausdruckes "Hardware-Firewall

und was wäre deiner meinung nach der richtige begriff??

ich meine mit Software-Firewall z.b. nen ISA Server und mit Hardware-FW -so wie Maugrim - eine Pix
____________________________________________________________________

Im
Frieden begraben Söhne ihre Väter. Im Krieg begraben Väter ihre Söhne.

(Herodot von Halikarnassos)

Mich stört einfach nur der Zusatz "Hardware-" weils einfach falsch ist.

Vom Aufbau sind sowohl ISA als auch Pix Software, die auf einem Rechner (x86, PPC, ...) laufen.

Hardware-Firewalls haben - wie schon erwähnt - die Firewall-Logik in Hardware ausgeführt und sind dementsprechend rar wie teuer und auch nur für wenige Einsatzgebiete geeignet.

Du sagst ja auch nicht zu einer Personal Firewall "Software-Firewall" oder

Hi!

Also momentan hab ich chello/light daheim, damit wird es nicht funktinieren

Kommt auf die Art des Zugriffs in die Firma an

Wenn "daheim" nicht dort ist, wo auch Dein Büro sein wird, dann reicht das völlig aus. Ich hab auch nur 384 kBit Upload und wähle mich per VPN bei uns in der Firma ein. Dann eine Fernwartunngssession auf die Rechner und fertig.
Wenn Du aber wirklich die Datei als Datei bei Dir lokal am Rechner bearbeiten willst, dann empfiehlt sich schon etwas mehr Bandbreite für den Upload.

Ich habe leider keine Ahnung was der Tunnelendpunkt ist.

Das kann entweder a) Dein Router oder b) ein Laptop hinter dem Router sein. Beides hat Vor- und Nachteile.

- Vorteil Router: jedes Gerät dahinter kann über das VPN auf die Firmendaten zugreifen
- Nachteil Router: wenn ich mich recht erinnere, dann kann der nur mit OpenVPN umgehen - eine HW-Firewall könnte das nicht unterstützen

- Vorteil Laptop: gerade in Verbindung mit einer HW-Firewall hast Du einen VPN Client, der sicher funktioniert, Außderdem lässt sich festlegen, welches Gerät ins VPN darf und welches nicht (Client einfach nur auf erlaubten Geräten installieren)
- Nachteil Laptop: sollten mehrere Clients ins VPN können dürfen, dann muss die Gegenstelle (die Firewall) jede Session einzeln verwalten. Abhängig von der Firewall kann das zu Performanceproblemen führen.

Wichtig ist halt die Datensicherheit, erstens wegen Datenklau und zweitens wegen Backup.

Datenklau: Schnittstellen auf Clients abschalten, EFS am Server einsetzen
Datensicherheit: RAID 1 (besser RAID 5 wegen der Erweiterbarkeit), USV und ein vernünftiges Backup auf Bänder sollten drin sein. Wer hier spart beweist, dass ihm die Daten doch nicht so wichtig sind wie behauptet.

hth,

greetz

glockman

- Ich bin ein Geek und steh dazu -

It's a Thing...

You wouldn't understand.

08.05.2007, 15:57 Uhr - Editiert von Glockman, alte Version: hier

hallo glockmann,

danke für die erklärung

also büro daheim und büro in der firma wird räumlich getrennt sein, da brauch ich dann auf alle fälle "schnelleres" chello da auch große datenmengen hin- und hergeschickt werden.

tunnelendpunkt router: da ich hier einen pc und zwei notebooks habe die sich zur firma verbinden, ist das sicher die bessere lösung. aber wenn das die hw-firewall in der firma nicht unterstützt, bleibt ohnehin nur als tunnelendpunkt der pc oder notebook.
die performanceprobleme sind abhängig von den zugriffen? auch intern, also im büro?

datensicherung wird noch auf bänder vorgenommen? dachte immer das ein raid sicher ist?

lg

Na sicha Bänder

erst gestern nen neuen Bandwechsler für nen Kunden in Betrieb genommen 8-Fach Wechsler mit 200/400GB Bändern.

Raid ist nur ein Zusatz.

Ausserdem ein Raid kannst du nicht einfach so auf die Seite legen*g*

Zum Thema Tunnelendpunkt:
Gibts verschiedene Varianten:

ich hab auch einen Kunden mit 2 Räumlich getrennten Büros (Verbindung über VPN Firewall zu Firewall lösung von Netscreen)

Oder Kunden mit Tunnelendpunkten die auf einen W2K3 Server zeigen mit aktiviertem Routing und Ras.

Oder Kunden die sich direkt mit der Client-VPN Software auf die HW-Firewall connecten

gibt wie gesagt verschiedenste Methoden.

Geschwindigkeit:

zb: 2Mbit sind ungefähr ~200KB dh 1MB in etwa 5Sec (gilt für beide Richtungen)

Büro Intern 100/1000 Mbit (wobei 100 ausreichend ist (kommt natürlich wieder drauf an wie groß die Datenmengen sein sollen)

Verbindung Büro - Zuhause:

Da du ja große Datenmengen hin und her schaufelst, solltest du das halt gut genug Dimensionieren.

Download/Upload Erklärung (ich weis bled gschrieben ^^):
Wenn du was auf den Server kopierst, zählt natürlich dein Upload und der Download des Büros.
Wenn du etwas VOM Server kopierst, zählt natürlich dein Download und der Upload des Büros.

Greetz,

Maugrim

08.05.2007, 23:08 Uhr - Editiert von Maugrim, alte Version: hier

, ok dann wird es ein band, am falschen platz sparen hat wenig sinn

mit dem tunnelendpunkt bin ich mir noch nicht sicher, das mache ich aber ohnehin nicht selber ...
und von daheim gehts halt ein bissi langsamer, auch net so tragisch

Internet kannst dir ja noch immer nachträglich ein anderes beschaffen

Band ist gut und haltbar.

Greetz,

Maugrim

Band ist gut und haltbar.

Na ich weiß nicht.
Ich stoße eigentlich nur auf Bänder von denen nichts mehr zu restoren ist.
Vernudelt, und 5 und mehr Jahre alt.
Für EDV nur Anwender sind Bänder einfach nicht sehr brauchbar.
Sie können nicht einmal nachprüfen ob das Backup etwas aufs Band geschrieben hat, und vertrauen blind. Backup auf Band ist bei vielen KMU genauso wie auf /dev/null . Wahnsinn was da alles raufpasst.

Naja hin und wieder sollte man die Bänder halt austauschen, kommt natürlich alles auch auf die Lagerung an, ein Band kann ich auch mal weglegen.

Natürlich sollte man auch mal rücksichern um zu schaun ob alles klappt, blind zu vertrauen das "backup completed" kommt sollte man auch hier nicht.

Raid ist nur ein Zusatz zu alledem.

Sicherung auf Ext HDD? Zu Unsicher, DVD unsicher tja, viel bleibt dann kaum noch über ne Möglichkeit wäre auch ein Cluster von Servern zu erstellen, jedoch ist das auch sehr kostenintesiv.

Greetz,

Maugrim

Sie können nicht einmal nachprüfen ob das Backup etwas aufs Band geschrieben
hat

da gibts nen Punkt im ntbackup der heisst ,,daten überprüfen"
____________________________________________________________________

Im
Frieden begraben Söhne ihre Väter. Im Krieg begraben Väter ihre Söhne.

(Herodot von Halikarnassos)

Nur gibts im typischen KMU niemanden derein Backup händisch durchführen würde.
Das geht entweder ohne Fehler automatisch, oder es geht eben nicht.

aber wenn das die hw-firewall in der firma nicht unterstützt, bleibt ohnehin nur als tunnelendpunkt der pc oder notebook.

Wie gesagt, das ist eine Möglichkeit. Eine Cisco PIX unterstützt zB. VPN direkt, aber ein WRT54GL kann damit nix anfangen. Du könntest aber - nur so als Ansatz - das VPN sehr wohl über den Router laufen lassen, wenn Du in der Firma einen Server hinter der PIX stehen hättest, der dann den zweiten VPN-Endpunkt darstellt. Das wäre im Fall einer statischen IP Adresse daheim auch sicherheitstechnisch kein allzugroßer Beinbruch, da auf der PIX nur genau die eine IP zugelassen wird.

die performanceprobleme sind abhängig von den zugriffen? auch intern, also im büro?

Unter Umständen, ja.
Die VPN Verschlüsselung muss von der Firewall vorgenommen werden, und wenn da recht viele Sessions laufen, dann kann das schon mal ein wenig die Performance drücken, abhängig davon, was sie sonst noch so alles machen muss (viele Regeln, NAT, Stateful Packet Inspection und ähnliches).
Bei Deiner Größenordnung wird das aber wohl kein Thema sein, das schafft eine PIX auch im Halbschlaf

datensicherung wird noch auf bänder vorgenommen? dachte immer das ein raid sicher ist?

Datensicherung wird nur auf Bändern vorgenommen.

Ein RAID-System ist kein Backup, es schütz maximal vor momentanem Datenverlust durch einen Hardwareschaden.
Der Sinn von RAID 1,5 und höher ist, einer defekten Festplatte den Schrecken zu nehmen, aber mehr auch schon nicht.
Ohne RAID hast Du bei einer kaputten Platte Stillstand und Datenverlust - Du musst die Platte ersetzen, neu installieren, und weil es ja kein Backup gibt sind die Nutzdaten auch gleich weg.

Bei einem RAID-System ohne Backup gibt es unter Umständen nur eine kurze Standzeit, aber keinen Datenverlust, da die Daten bei RAID 1 gespiegelt sind und bei RAID 5 aus den Paritätsbits wiederhergestellt werden. RAID 5 hat außerdem den Vorteil, recht "sparsam" mit dem verschwendeten Plattenplatz umzugehen. Mit 3 Platten (dem Minimum für RAID 5) bekommst Du n-1 Festplattenkapazität. Also aus 3x 500GB wird 1TB Speicherplatz mit Fehlertoleranz. Erweiterst Du das Array jetzt um nochmal 500GB gibt es 1,5TB, bei gleicher Fehlertoleranz.
Ein weiterer Vorteil vom RAID 5 ist, dass die Daten beim Lesevorgang verifiziert werden - tritt ein Fehler auf, dann kann über die Paritätsbits der Fehler korrigiert werden.

Bei RAID 1 kannst Du nur 2x 500 GB nehmen und hast auch nur 500 GB Speicherplatz.
Um hier auf 1TB zu kommen müsstest Du RAID 0 (Striping) mit RAID 1 (Mirroring) verbinden - 4 Platten, und dennoch weniger Platz als am RAID 5.
Hier gibt es auch keine Partätsbits oder Fehlertoleranz.

Bei diesen beiden gebräuchlichen RAID-Leveln kann jeweils eine Platte eingehen, die Daten sind nicht gefährdet. Die meisten besseren RAID Controller beherrschen RAID 5 direkt am Controller und müssen dazu nicht die System-CPU verwenden.
Einen Schritt weiter gehen zB. die Storage Systeme von HP: da ist der RAID Controller fix verbaut und dort wird ein ADG (Advanced Data Guarding) verwendet, bei dem auch mehr als eine Platte defekt werden darf.
Eine gute Übersicht zum Thema RAID gibt es unter http://www.acnc.com/04_00.html

Wenn Du jetzt meinst, dass dank RAID niemals Datenverlust auftritt, stelle Dir folgendes vor:
Du löschst irrtümlich ein File, dann wird das bei einem RAID 1-System sofort auf beiden Platten gelöscht; weg ist weg.
Auch das RAID 5 System wird aktualisiert, der Controller gibt brav den Befehl, Datei und Paritätsbits zu löschen. Auch hier ist die Daten verloren.

Hast Du jetzt aber ein Backup auf Band, dann kannst Du von dem Band die Datei wiederherstellen - und wenn das System halbwegs durchdacht war auch die Version von gestern, vorgestern, letzter Woche oder letztem Monat.
Erweitere das Szenario jetzt um andere Schreckensbilder - der Server brennt ab, der RAID Controller geht ein, ein echtes Desaster - da hilft kein RAID der Welt was. Nur Bänder, die den Datenbestand enthalten sind die letzte Rettung in solchen fällen. Und idealer Weise werden die nicht direkt am Server geparkt, sondern im Safe verwahrt. Und die Monatsbänder überhaupt extern gelagert.

greetz

glockman

- Ich bin ein Geek und steh dazu -

It's a Thing...

You wouldn't understand.

Wobei heute zunehmend die USB Festplatten die Bänder verdrängen.
Zumindest in den KMUs

bitte nicht so viele fremdwörter

was sind denn KMUs

Klein- und Mittelunternehmen s

... klingt interessant, wobei ich erstmal nach einer "pix" google, hab keine ahnung was das is ...

eine statische ip wird ja nicht das große problem darstellen (für chello), das wäre ein ansatz für daheim.

Bei Deiner Größenordnung wird das aber wohl kein
Thema sein, das schafft eine PIX auch im Halbschlaf

wie gesagt, muss erst googeln

datensicherheit wird auf alle fälle - wie auch maugrim geschrieben - mit band gelöst, und raid 5 gefällt mir persönlich als lösung besser, ich hab jetzt keine preise verglichen aber raid 5 ist vermutlich teurer. bei einer speicherplatzerweiterung vermutlich aber nicht mehr, da bei raid 1 doch immer 2 hdd eingebaut werden müssen?

gibt es eigentlich eine empfehlung welche lösung preiswert und sicher ist, bez. hersteller?

lg

http://en.wikipedia.org/wiki/Cisco_PIX
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/index.html

ich hab jetzt keine preise verglichen aber raid 5 ist vermutlich teurer.

Der Controller - wahrscheinlich.
Die Platten - Du brauchst 3 gleich große und schmeist quasi eine wieder weg.

bei einer speicherplatzerweiterung vermutlich aber nicht mehr, da bei raid 1 doch immer 2 hdd eingebaut werden müssen?

Und da ist genau der Knackpunkt: ein RAID 1 lässt sich als RAID 1 nicht erweitern, da brauchst Du eben ein RAID 0+1 = 4 Platten.
Im Normalfall nimmt man ein RAID 1 auch nur für das System und ein RAID 5 dann für die Nutzdaten.
Was auch verlockend klingt: JBOD. Dabei nimmt der Controller alle Platten die er findet und baut eine große draus. Die Größen spielen keine Rolle, Du kannst also 100GB, 160GB und 300GB zusammenhängen und hättest dann 560GB Speicherplatz.
Nur dabei gibt es überhaupt keine Fehlertoleranz, also Finger weg davon.

gibt es eigentlich eine empfehlung welche lösung preiswert und sicher ist, bez. hersteller?

Das lässt sich so nicht sagen - es kommt auf Deinen Preisrahmen und Deine Bedürfnisse an. Es bringt nix, Dir zB. ein HP MSA1000 zu empfehlen, wenn ein kleiner PCI RAID Controller für 4 S-ATA Platten völlig ausreicht.
Ich bin auch nicht wirklich so der Hardware-Experte, jede Empfehlung meinerseits wäre auf dem Gebiet von dem geprägt, was wir selbst verwenden.

Hoffe, das hilft dennoch ein wenig.

greetz

glockman

- Ich bin ein Geek und steh dazu -

It's a Thing...

You wouldn't understand.

chello/light daheim

Im Büro sollte es schneller sein !

Nur so als Tipp:

Je nachdem, wie diese Arbeit aussieht, auf welche Daten man Zugriff haben muß, wie oft man im Büro durch Abwesenheit glänzt, etc. etc. klappt das auch mit den guten alten Offlinedateien und regelmäßigem Synchronisieren. Hat den Vorteil, daß man dann auch wirklich offline arbeiten kann, wenn mal eine VPN-Verbindung nicht möglich ist (Messen, Roadshows, Kundenbesuche, etc.).
--
Das Gegenteil von "gut" ist "gut gemeint".

Also als erstes solltest du überlegen, ob du wirklich zwei Netze verbinden willst, oder ob dir in Wirklichkeit nicht auch ein Roadwarrier Setup reicht.

Danach ist die Frage, was in der Firma schon an Infrastruktur da ist.
Vorher kann man kaum vernünftig raten.

Die einfachsten Sachen sind jedenfalls Roadwarriorsetups, mit einem Tunnelendpunkt direkt am Server, und dem anderen direkt am Client PC.

Schau mal hier:

http://www.sil.at/produkte/internet/silversdsl/
http://www.sil.at/produkte/network/networkvpn/

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung