Vollwertiger Zugriff mit David-Client von extern per VPN

  • Hallo

    Bei mir hakt es momentan im Grundverständnis, sorry.
    Ich möchte mit einem Notebook von "irgendwo auf der Welt" mittels VPN auf den David-Server-PC und natürlich auch auf David zugreifen. Der David-Client soll also auf dem NB installiert und via VPN vollen Zugriff haben. Sollte sich das NB im lokalen Netz befinden, sollte das ohne Umstellungen ebenfalls funktionieren.
    Kann man das so realisieren?
    Leider habe ich zu VPN nichts gefunden.

    THX
    flic

  • Hallo!

    Natürlich geht das...je nach Verbindungsgeschwindigkeit ist es auch "erträglich". Das Thema hat aber eigentlich nichts mit Tobit zu tun, da sich dein Laptop über VPN genauso verhält, als wäre es im Firmen-LAN.
    Insofern also schon möglich, wenn VPN korrekt installiert ist.

    Gruß Thomas

  • du wirst damit wenig spass haben, die verbindungsqualität ist idr. zu schlecht um das halbwegs performant laufen zu lassen. das läuft meist auf terminalserver raus.

    Richtig. Das stimmt, wir machen es über Terminal Server. Da geht es ganz gut.

    Und VPN ist garnicht so schwer, im einfachsten Falle erst einmal eine FritzBox und VPN einrichten. Geht wirklich super einfach und Software Clients für dein Notebook gibt es auch.

  • Also eine Fritz!Box VPN-Verbindung würde ich im geschäftlichen Umfeld nie und nimmer zulassen, zumal es heutzutage auch für den schmalen Geldbeutel ganz passable Büchsen gibt, die neben einer VPN-Verbindung auch ganz einfach und komfortabel als Firewall, Spamfilter, Antivirus etc. genutzt werden können.


    Um nur die 2 kleinen Checkpoint Appliances zu nennen, die ich beide empfehlen kann:

    Für Kleinbetriebe:  
    Für mittlere Betriebe:

  • Die einfachsten Methoden, remote auf einen David Server zuzugreifen, sind die Webbox oder ein via Port 267 zugreifender David Client.
    Die Webbox sollte möglichst die Daten verschlüsselt übergeben. Dazu lässt sich mit David Bordmitteln eine SSL-Verschlüsselung (https) leicht einrichten.
    David via Port 267 nutzt Kerberos. Der Zugriff ist - im Gegensatz zu einer sehr leicht zu hackenden Remoteverbindung über Port 3389 - nur auf die David Archive möglich. Und auch dort nur auf die Archive, auf die der eingeloggte David-User Zugriffsgenehmigung hat.

    VPN ist aus Sicherheitsaspekten weitergehend: Die Datenkommunikation erfolgt getunnelt UND verschlüsselt. - Die Software-VPN Verbindungen, wie sie Lancom und Bintec, aber auch AVM anbieten, sind für normale Betriebsansprüche ausreichend sicher. Die Wahrscheinlichkeit, dass auf den Remoterechner via Trojaner ein unbefugter Zugriff erfolgt halte ich um mehr als den Faktor 100 höher als die Wahrscheinlichkeit, dass der VPN-Tunnel gehackt wird. Die Arbeitsgeschwindigkeit via RDP über VPN ist meist merklich höher als die über Port 267. - Bei den drei hier genannten Herstellern sind Sicherheitsrisiken der VPN-Software nicht bekannt, wenn die verfügbaren Firmware-Aktualisierungen (!) kurz nach Freigabe installiert werden.


    Noch höhere Sicherheit gegen Zugriff auf den Datenstrom bieten IP-SEC VPN-Verbindungen von Router zu Router. Die sind mit gängigen Mitteln bis dato nicht zu knacken. Das Hacken einer IP-SEC VPN Verbindung in weniger als einer Woche würde den Einsatz eines modernen Supercomputers aus der Cray XC Serie und speziell ausgebildetes Personal nötig machen. Der Angriff auf die VPN-Verbindung würde aber soviel Performance von der Leitung zu den VPN-Gateways wegnehmen, dass praktisch keine Datenübertragung mehr stattfindet. - Hardware-basierende IP-sec VPN-Verbindungen sind mit ganz wenigen Ausnahmen nicht für Notebooks oder Tabletts geeignet, die oft an unterschiedlichen Einsatzorten genutzt werden.

    Bezüglich der ursprünglichen Frage vonn Flicflac30 ist zunächst festzustellen, welche Art von Internet-Zugang (Kabel, DSL, Satellit) im Betrieb genutzt wird und welche Gateyway-Hardware zum EInsatz kommt. Denn davon hängt die einsetzbare Client-Software ab. Ist das Gateway nicht VPN-fähig (z.B. Speedport), dann muss entweder eine neue Hardware für den Internet-Zugang gekauft werden oder es muss eine der in David integrierten Remotezugangs-Varianten genutzt werden. Sofern die Daten in David nicht geschäftskritisch sind oder der Geheimhaltung unterliegen spricht nichts gegen die Nutzung der David-Features.

    Die Geschwindigkeit, mit der RemoteDeskTop (RDP) via VPN läuft, ist normalerweise in keiner Weise davon abhängig, ob ein Terminalserver läuft oder nicht. Maßgeblich sind nur die Geschwindigkeiten der Internetanbindung auf Serverseite und auf Client-Seite. Die meisten DSL-Internetanschlüsse laufen asymmetrisch (ADSL). Infolgedessen ist die beim Remotezugriff relevante Upload-Geschwindigkeit auf der Serverseite ~ um den Faktor 10 geringer als die maximal verfügbare Downloadgeschwindigkeit. - Eine Workstation, zum Beispiel mit Betriebssystem Windows 8.1, lässt immer nur einen zugreifenden User zu. Ist der Remote-user aktiv, dann ist jeder lokale User ausgeloggt. Ein Windows Server hingegen lässt den Remote-Zugriff von bis zu zwei Usern gleichzeitig zu. Voraussetzung ist nur, dass beide User Administrator-Rechte haben. Greifen lokal und remote User gleichen Namens nacheinander auf den Server zu, dann wird die Session des zuerst eingeloggten Users automatisch beendet.


    Nota bene:
    Für Behörden, Bearbeitung von Personaldaten großer Betriebe, geheime Daten aus der Produktentwicklung und MIL-Anwendungen sollten Remote-Zugänge grundsätzlich nur über VPN erfolgen, und die verwendeten Geräte sollten ausnahmslos CC EAL 4+ konform sein.

    20 Mal editiert, zuletzt von Arno (20. Mai 2015 um 22:34)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!