Zugriff auf Firmennetzwerk von außerhalb

[flo20xe]

Nachdem hier ja auch so einige EDV-Spezis unterwegs sind, hätte ich mal eine Frage an die Experten hier:

Ausgangssituation:
Wir benötigen von unserer Werkstatt einen permanenten Zugriff auf das Netzwerk im Büro. Werkstatt und Büro sind räumlich voneinander getrennt und haben kein gemeinsames Netzwerk. Internetzugang jeweils über eine Fritzbox 7590 bzw. 7430, Leitung jeweils 50MBit
Der Server im Büro läuft auf Windows Server2019 und meine Vorstellung ist, dass man von den Rechnern in der Werkstatt (CNC und 2 AV-Arbeitsplätze) auf diesen mehr oder weniger so zugreifen kann, als wenn er im selben Netzwerk hängt.
Zusätzlich benötigt die Zeiterfassung unserer Branchensoftware (Erfassung per Tablets in der Werkstatt) Zugriff auf den Server im Büro. Dieser müsste nicht dauerhaft sein, aber zumindest 1x am Tag um die erfassten Zeiten in die Software einzulesen.

Was gibt es da für Möglichkeiten?

Ich hatte schon mal eine IT´ler da, aber aus seinem Angebot werde ich nicht so recht schlau.

Angeboten hat er eine Lösung mittels eines Sophos SD-RED in Kombi mit Sophos XG 115. Kostet in Summe ca. 3.000€ inkl. Lizenz für 3 Jahre. Angeblich ist die Performance von Extern damit mehr oder weniger so wie wenn man im Büronetzwerk arbeitet
Leider kann er mir nicht, für mich verständlich erklären, warum es genau diese Lösung sein soll bzw. ob es evtl. eine Alternative dazu gibt.

Mir gehts da gar nicht unbedingt ums Geld, wenn das vernünftig funktioniert, bin ich schon bereit eine entsprechende Summe dafür zu zahlen. Aber ich würde halt gerne verstehen, was ich da angeboten bekommen habe.

Was ist von der vorgeschlagenen Lösung zu halten oder habt ihr Alternativen die ihr empfehlen könnt?

Vielen Dank

Flo

 

[ernschd]

Hallo,

die einfachste Lösung in dem Fall wäre meiner Meinung nach eine direkte VPN-Verbindung zwischen den beiden Fritzboxen.
Hierfür gibt es von AVM auch eine recht gute Anleitung:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/
Bedingung dafür ist aber, dass mindestens ein Internetzugang eine feste IPv4-Adresse hat. Diese lässt sich bei den meisten Internetanbietern mehr oder weniger problemlos zu einem vorhandenen Tarif dazubuchen.

Zugriff erfolgt dann entweder direkt über die Netzwerkfreigaben, oder über Remotedesktop, etc.

Ich empfehle auch die VPN-Infoseite von AVM: https://avm.de/service/vpn/uebersicht/

 

[Gelöscht stwe]

Die Aussage mit "Performance wie beim Arbeiten im Büronetz" glaube ich nicht ganz.
Du musst bedenken, dass nicht die 50 Mbit im Download limitierend sind, sondern eher der Upload (angenommen ihr habt eine "normale" DSL Leitung). D.h. wenn der Server nur 10Mbit Upload hat, kann in der Werkstatt eine Datei auch nur mit 10Mbit heruntergeladen werden. Je nachdem, wie groß die Daten für die CNC sind kann das schonmal langer dauern. Als Vergleich: Die clients im Büronetzwerk, die direkt per Ethernetkabel an die Fritzbox angeschlossen sind, sind üblicherweise mit 1 Gbit (1000 Mbit) angeschlossen.

Heißt räumlich getrennt "So weit auseinander, dass das Verlegen eines Ethernetkabels keine Option ist"?

Nachtrag: Wenn du das mit der Dateigröße schon auf dem Schirm hast (im Ausgangspost habe ich das nicht rauslesen können), dann vergiss meinen Beitrag.

 

[VENEREA]

Wieviel Meter sind den Räumlich getrennt?
Wenn es irgendwie geht dann Kabel legen.

Gruß Sebastian

 

[christianarkadius]

Hallo Flo,

wie auch Stefan schon gefragt hat. Wie weit sind die 2 Räumlichkeiten auseinander, gibt es eventuell falls Kabel keine Option ist die Möglichkeit das die beiden Gebäude sich "sehen"? Die Sophos XG115 ist deutlich zu viel bei einer 50Mbit DSL Leitung, die schafft fast das 10 fache an Durchsatz. Da gibt es kleinere Modelle die deinen Geldbeutel nicht so stark belasten.

Was evtl. sinnvoller ist für die Dateien auf allen Rechner einen Cloud Speicher dazwischenzuschalten, z.B: OneDrive oder ähnliches und dort alle Dateien reinlegt dann kann jeder mehr oder weniger gleichzeitig darauf zugreifen und du hast keine Permanente Verbindung dahin. Parallel hast du noch par kleinere Vorteile durch "Letzte Version" der Dateien falls jemand was überschreibt/löscht. Kostet par € pro Monat aber prüf mal ob ihr nicht eh schon 1-2 TB umsonst habt durch evtl. vorhandene Office Lizenzen.

Für die Zeiterfassung reicht ein einfaches "VPN" von der Werkstatt in die Zentrale. Das kann man Problemlos mit den Bordmitteln der Fritzbox lösen und das kostet auch nichts extra nur die Fähigkeit die VPN Verbindung zu starten. Feste IPv4 Adresse ist nicht zwingend erforderlich, hier reicht ein dynamischer DNS Anbieter (gibt es auch kostenlos).

Viele Grüße
Christian

 

[schwarzwaldholzer]

Hallo,
also wir sind auch mehrere hundert Meter getrennt. Bei uns wurde eine Richtfunkverbindung eingerichtet.
Somit unabhängig von Telekom etc.
Geschwindigkeit ist echt top.

 

[ChristophW]

Über DynDNS sollte das ganze auch ohne feste IP funktionieren, das sind doch alles Client-Server Anwendungen wenn ich deinen Setup richtig verstehe, wenn die Anwendungen das unterstützt könnte man sogar mit einer Simplen Portweiterleitung arbeiten anstelle von VPN, aber wie schon geschrieben unterstützt die Fritzbox das von Haus aus ich sehe da erstmal keine Notwendigkeit für 3000€ zusätzliche Hardware hinzustellen. Geschwindigkeit hängt wie auch schon geschrieben von der Leitung ab aber liest sich jetzt auch nicht als sollten da GB weise Daten drüber laufen.

 

[Gelöscht stwe]

Simplen Portweiterleitung arbeiten

Dann aber bitte nur mit richtiger Absicherung. Es hängen schon genügend ungeschützte Systeme einfach so am Internet

 

[Hermann82_94]

Hallo,
Also die Sophos ist "nur" eine Firewall zwischen denen vermutlich ein VPN Tunnel aufgebaut wird. Das ist auf alle Fälle die sicherste Variante. Es muss keine Sophos sein, da gibt es kleinere Lösungen.
Ich würde dir eine DYNDNS Adresse vorschlagen und dann einen VPN Tunnel zwischen den beiden Fritz Boxen. Entscheidend für die Geschwindigkeit ist der Upload auf der Serverseite.
Da allerdings die Adresse nichts kostet und die Einrichtung an der Fritz Box relativ schnell erledigt ist würde ich das probieren.


Gruß Hermann

 

[werists]

Zusätzlich benötigt die Zeiterfassung unserer Branchensoftware (Erfassung per Tablets in der Werkstatt) Zugriff auf den Server im Büro. Dieser müsste nicht dauerhaft sein, aber zumindest 1x am Tag um die erfassten Zeiten in die Software einzulesen.

Das Die vorliegende Angebot ist vollkommen "oversized" oder ein "Ich-will-den-Auftrag-nicht"-Angebot.
Was genau die für Dich richtige Lösung ist, kann ich aus der Ferne nicht eindeutig beurteilen aber eine VPN basierende Lösung wird es wohl sein.

Entweder per AVM Fritzboxen, per Software oder per Appliance (Box).

Die Lösung mit den Fritzboxen von AVM würde ich präferieren.
Die habe ich schon dafür genutzt und eingerichtet, bei mir in der Nähe würde ich das für <1k€ anbieten. (inkl. 1Jahr Support, Einweisung und Dokumentation) Falls die Boxen schon vorhanden sind natürlich billiger.

Bei vorhandenem Know-How zum Selbermachen:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/

AVM ist ein deutscher Anbieter und somit DSGVO konform.

Von eine simplen Portweiterleitung würde ich dringend abraten!

 

[Fredy65]

Hallo,

die einfachste Lösung in dem Fall wäre meiner Meinung nach eine direkte VPN-Verbindung zwischen den beiden Fritzboxen.
Hierfür gibt es von AVM auch eine recht gute Anleitung:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/
Bedingung dafür ist aber, dass mindestens ein Internetzugang eine feste IPv4-Adresse hat. Diese lässt sich bei den meisten Internetanbietern mehr oder weniger problemlos zu einem vorhandenen Tarif dazubuchen.

Zugriff erfolgt dann entweder direkt über die Netzwerkfreigaben, oder über Remotedesktop, etc.

Ich empfehle auch die VPN-Infoseite von AVM: https://avm.de/service/vpn/uebersicht/

Hallo Flo,
genau so funktioniert das bei uns sehr gut.
Gruß fredy

 

[flo20xe]

Vielen Dank schon mal für die Antworten die mich auch in meiner Vermutung bestätigt haben.

Ein Kabel legen geht leider nicht da die Werkstatt im Nachbarort ist, da bräuchte ich 5km Kabel.....

Ich habe bereits beide Fritzboxen über VPN verbunden und in der Benutzeroberfläche beider Boxen wird die Verbindung auch aktiv angezeigt. Das wars aber auch schon, mir wird in beiden Netzwerken das jeweilige andere Netzwerk nicht angezeigt.

Muss ich da noch irgendwo eine Portfreigabe oder so etwas machen?

Viele Grüße

 

[chrisik]

Wir haben es genauso eingerichtet. Im Netzwerk der Fritzbox wird mir das andere Netzwerk auch nicht angezeigt. Du gibst im Explorer (oder Browser je nach dem) einfach die IP-Adresse der Gegenstelle an, dann noch Benutzername und Passwort, und dann solltest du im anderen Netz unterwegs sein. Unter Windows haben wir mittels "ein Netzlaufwerk verbinden" der anderen Netz(gegenstelle) noch einen Laufwerksbuchstaben zugeordnet um direkt darauf zugreifen zu können. Das mal so als Laie, Gruß Christian.

 

[Mater1984]

Ich denke in jedem gewerblichen und Kaufmännischen Betrieb sollte sowas sauber von einer Fachfirma gemacht werden.
aber nicht für 3000 € sondern die beiden FRITZ!Boxen verbinden über VPN und dann entsprechend die Rechner einrichten. Ggf. Könntet Ihr über eine schnellere Leitung (falls möglich) am Serverstandort nachdenken.

 

[artibi]

Vielen Dank schon mal für die Antworten die mich auch in meiner Vermutung bestätigt haben.

Ein Kabel legen geht leider nicht da die Werkstatt im Nachbarort ist, da bräuchte ich 5km Kabel.....

Ich habe bereits beide Fritzboxen über VPN verbunden und in der Benutzeroberfläche beider Boxen wird die Verbindung auch aktiv angezeigt. Das wars aber auch schon, mir wird in beiden Netzwerken das jeweilige andere Netzwerk nicht angezeigt.

Muss ich da noch irgendwo eine Portfreigabe oder so etwas machen?

Viele Grüße

Was meinst du mit "das Netzwerk nicht angezeigt"? Mit der VPN-Verbindung hast du erstmal nur die Verbindung hergestellt. Jenachdem was du machen willst musst du jetzt ggf. noch Ports freischalten oder andere Dinge konfigurieren. Domain-Netzwerke lassen - je nach Konfiguration - auch keine direkte Verbindung von Netzlaufwerken zu. Da muss unter Umständen auch noch Konfiguration vorgenommen werden.

Für einen ersten Versuch kannst du mal versuchen, dich auf ein Netzlaufwerk zu verbinden und dann schaust mal, was passiert..Anmeldung muss meist vollqualifiziert sein, also <DOMAIN>\<User>

 

[ksyOnWW]

ich kenne ihr beschriebenes Produkt nicht aber die Verbindung von zwei Standorten wird limitert duch die Leistungsfähigkeit der Technik, die für die Verbindung benutzt wird bzw. durch den Verkehr, der dort herrscht. Das Tunnelproblem; viel Verkehr und es dauert. Und Tunnel ist zugleich ein Stichwort für eine Technik zum Sicheren Verbinden zweier Standort. Ein VPN Tunnel ist die IETF Standard Technologie. Man kann auch den von Firefox nutzen, nur betreibt man ihn halt selbst und hat keine Hotline. Und .. die Daten sind sehr sicher und der Nutzer merkt wenig Unterschieden zum lokalen Netz. Optimal ist eine Punkt zu Punkt Verbindung mit garantiert Bandbreite, die hat eine garantierte Abwortzeit für die Anwendung zur Folge - aber kostet Geld. Dies gibt es als IP-Verbindung über Kupfer oder auch über Glasfaser.

 

[WinfriedM]

Ist auch eine Frage, welcher VPN Lösung man wirklich traut. Im professionellen Umfeld ist eine Fritzbox nicht wirklich eine akzeptierte Technologie. Da findet man eher Sophos, Lancom oder Cisco. Wir setzen auf Lancom, da musst du für beide Seiten ungefähr mit 1000 Euro Hardwarekosten rechnen und nochmal 1000 Euro für die Einrichtung durch einen Profi.

Bisher gabs aber glaube ich noch keine bekannte Schwachstelle beim Fritzbox VPN. Kommt auch drauf an, wie sensibel deine Daten sind.

 

[pioneerfan]

Wäre da ne Cloudlösung nix für Euch?

 

[werists]

Bisher gabs aber glaube ich noch keine bekannte Schwachstelle beim Fritzbox VPN. Kommt auch drauf an, wie sensibel deine Daten sind.

Also bei sensiblen Daten vertraue ich AVM mit der Fritz!Box mehr als Cisco. Bei Cisco fanden sich schon Hintertürchen, bei AVM nicht.

 

[Peter Schiendzielorz]

Cloudlösung

Hallo,
ich weiß ja nicht, wie es in eurer Branche allgemein üblich ist. Aber in meiner Branche dürfte ich über eine Cloudlösung gar niemals nimmer nicht überhaupt nur nachdenken (Geheimhaltung technischer Neuentwicklungen). Da tut es eine simple Remote Desktop-Verbindung zum Kundennetzwerk. Und schon liegen alle Modalitäten und Risiken der Datensicherheit, Datenspionage, Datensicherung... in der Eigenverantwortung des Kunden.
Geht natürlich nur, wenn die benötigte Anwendungssoftware auf dem Rechner des Kunden installiert oder von dort aus online verfügbar ist.
Gruß

 

[Carola Rudolf]

Eventuell als Anlass nehmen mal das komplette Netzwerk auf dem Kopfzustellen. Sofern man einfache ethernet hubs hat macht es ggf. Sinn sowas dann gleich mit gegen managed hubs auszutauschen.

Gibt einiges im OpenSoruce Bereich z.B. PfSense.
Mittelweg wäre sowas wie Ubiquiti. Trivial genug das man ohne Kenntnisse eigentlich selbst einrichten kann und mehr Features als FritzBoxen.

 

[werists]

Hallo,
ich weiß ja nicht, wie es in eurer Branche allgemein üblich ist. Aber in meiner Branche dürfte ich über eine Cloudlösung gar niemals nimmer nicht überhaupt nur nachdenken (

Cloud und Geheimhaltung schließen sich nicht aus. Im Gegenteil, die Daten der meisten kleinen Betriebe sind auf deren eigenen so nebenbei betriebenen (auf YouTube-Anleitungsnieveau) Servern unsicherer als auf den professionell administrierten Cloud-Servern innerhalb der EU.

 

[pioneerfan]

Das Thema Datensicherheit sehe ich da auch nicht als riesen Problem an.
Man sollte halt nur die passenden Programme verwenden, die das dann für andere Nutzer unbrauchbar machen.
Wäre die einfachste und günstigste Lösung und man hat von überall Zugriff drauf.

 

[artibi]

Eine Cloud-Lösung mit vernünftiger Verschlüsselung als unsicher zu bezeichnen, aber dann Remote-Desktop-Verbindungen von Extern über WWW zuzulassen, genau mein Humor. Selbest Thema mit den Hobby-Servern die irgendwo unterm Schreibtisch stehen und dann gerne noch mit nem ewig alten WindowsXP. So unsicher kann keine Cloud der Welt sein...

Cisco und Co. wird zwar in KMUs häufiger eingesetzt, so rein sicherheitstechnisch ist Cisco aber ein absolutes Desaster..da gehen mal Private Keys verloren, derbe Sicherheitslücken in regelmäßigen Abständen..evtl. mal über Low-Budget-Hardware (zB Raspberry) und OpenVPN nachdenken. Das funktioniert recht gut und ist - sofern mal eine Minimal-Distro wählt, gar nicht mal so schlecht. Hab aber auch schon bei manchen Firmen ein VPN via Fritzbox eingerichtet, das funktioniert auch recht gut. Nächste Stufe wäre dann eine Hardwarelösung. Ob man das bracht hängt ein wenig davon ab, was alles so im Firmennetzwerk rumhuscht und wie sensibel die Daten potentiel sind.

Einzig bei der Verarbeitung personenbezogener Daten muss man etwas aufpassen, da ist die Rechtslage durch das gekippte Privacy Shield/Shrem2-Urteil momentan unklar. Bei Banken, Finanzdienstleistern und Co kann das zum Problem werden. Sofern ihr in eurer Tischlerei aber keine Wirtschaftsprüfer da habt sollte das nach individueller Risikoanalyse/Abwägung aber kein Thema sein.

 

[markusonlein]

Die Cloud-Lösung steht und fällt mit dem Vertrauen zum Anbieter. Sicher gegen Angriffe Dritter ist das schon, denke ich. Aber wie geht der Anbieter selbst mit den Daten um? Meine Bedenken dahingehend sind nicht fundiert, aber Google, MS und Co. sammeln ja Daten wo es nur geht - das macht eben dieses notwendige Vertrauen nicht gerade groß.