Remote access til WinServ. 03 (VPN?) - hjælp/råd søges

Software d.  08. maj. 2014, skrevet af 1EaR
Vist: 4182 gange.

1EaR
 
Elitebruger
Tilføjet:
08-05-2014 12:56:17
Svar/Indlæg:
5750/124
Hej Folkens.

Da vi fornuligt har været udsat for hardware nedbrud, resulterende i at chefen ikke kan komme til vores server udefra, søger jeg lidt hjælp til at sætte noget nyt op igen.

Den gamle løsning har meget sandsynligt manglet sikkerhed i stor stil, hvorfor en bedre løsning vil være at foretrække. Den gamle løsning har været remote desktop til serveren, men uden der har været en forudgående firewall (Zyxell modem -> switch -> Server).

Den løsning jeg tænker vil være bedre, vil være at sætte en VPN op i stedet, som chefen skal logge på, førend han kan logge på med Remote Desktop. Men da jeg ikke er den person med mest erfaring i opsætning af netværk, samt Windows Server 2003, søger jeg lidt assistance her, særligt hvis der er nogen som kender til faldgrupper og gode guides til at få det sat op. Jeg ved godt at det er et gammelt styresystem der ligger på serveren, men en udskiftning af denne vil nok være uden for perspektivet for dens brug (den er filserver, udover at den benyttes til C5 afvikling).

Det skal lige siges, at jeg er klar over der skal sættes en router op, som kan fungere som firewall efter det nye "modem" (router/modem tingy fra telenor som er sat til at køre GlobalIP alene).

Jeg har givet denne her guide et hurtigt kig:
http://www.techrepublic.com/ar...

-1EaR
Monberg75
 
Moderator
Tilføjet:
08-05-2014 13:09:22
Svar/Indlæg:
1194/156
Teamviewer er nemt at bruge, kræver ikke det vilde, og kører over krypteret forbindelse.

Det forbinder til Teamviewer's server, så man skal ikke åbne router, og der findes server versioner, som er decideret til remote desktop only.


1EaR
 
Elitebruger
Tilføjet:
08-05-2014 13:17:07
Svar/Indlæg:
5750/124
#1 Men hvor stort overhead har det ift. internet forbindelsen? Da hans almindelige remote desktop har kørt i et ganske habilt tempo, men jeg frygter at med 5Mbit/s upload (hvis ikke det er mindre), at det så kan komme til at køre forholdsvist langsomt 😕

Men det er da helt klart et rigtigt godt bud, som jeg vil undersøge lidt nærmere 🙂


1EaR
 
Elitebruger
Tilføjet:
08-05-2014 13:23:47
Svar/Indlæg:
5750/124
#1 Jeg kan se at det vil koste over 3700kr at købe en licens til, og det er måske nok liiiiiige at strække den lidt til det formål her.


@ngler
 
Redaktør
Tilføjet:
08-05-2014 16:56:03
Svar/Indlæg:
4033/364
nu spørger jeg sikkert totalt dumt..

men er der andet end serveren han skal have fat i?

for en VPN er groft sagt en software baseret forlænger kabel (med kryptering) til netværket.. det betyder:

1) Det er som at være på lokalt netværket , dvs. at f.eks. Internettet kører nu igennem firmaets Internet (ergo hvis han lige skal downloade Ubuntu ISO filen, så vil han tage båndbredde fra virksomheden)

2) Der vil være noget mere lag, da al trafik sendes via VPNen (det kan også give problemer hvis han skal åbne porte til sin PC).

3) han vil ikke være på lokalt netværket hjemme (kan give lidt bøvl hvis han han har en netværksprinter hjemme)

4) I skal være noget mere strikse med sikkerheden, da alt skidt han får ind, kan potentielt ende på netværket. (underordnet hvis han alligevel plugger den i væggen når han kommer på arbejde)

så sikkerhedsmæssigt giver det måske noget, men hvis han kun skal have fat i serveren som han ellers remoter (terminal server?) så vil performance være dårligere..

det vil nok give mere mening at han så kørte C5 og hvad han ellers skal lokalt - og så fik data connection via VPNen.. men det vil nok køre langsommere.


Monberg75
 
Moderator
Tilføjet:
08-05-2014 17:39:50
Svar/Indlæg:
1194/156
#3
Det kan jeg godt se, det er måske lige i overkanten, nu det skal bruges til erhvervsbrug..

Hvis det ikke skal bruges til erhverv, så er det jo gratis at bruge. :)


1EaR
 
Elitebruger
Tilføjet:
08-05-2014 18:56:01
Svar/Indlæg:
5750/124
#4 Han sidder i dag med samme maskine lokalt på firmaets netværk, så alt det snavs der ligger på hans maskine kommer alligevel på netværket. Han logger i dag også på med remote desktop lokalt på netværket (det kan han ikke længere hjemmefra, eller hvor i verden han nu er, hvilket er det vigtigste for ham).

Sikkerhedsmæssigt (og båndbredde i firmaet) så er der maksimalt en anden bruger af båndbredden, som surfer lidt rundt. Ingen af dem henter noget tung eller lign.

Jeg er helt med på at han igennem VPN logisk vil være på firmaets netværk (han kan jo sagtens koble sig af VPN når han er hjemme, og skal bruge printeren der hjemme). Det vil have en stor fordel, da han så har mulighed for også at være koblet på den lokale NAS, skulle han lyste det.

Men ja, han skal som udgangspunkt blot remote til serveren, med GUI og det hele (ikke terminal), hvorfor at performance selvfølgelig også er en problemstilling. Og det er en af de problemstillinger som kan tale imod at køre VPN, da jeg ellers tænker at VPN blot vil kunne give ham et ekstra lag af sikkerhed, da det så både vil være VPN og Remote Desktop's login der skal knækkes.

Men hvis performancetabet er stort ved brug af VPN, så vil jeg nok blot gå tilbage til remote desktop og intet andet, og se om jeg kan få det sat op. 🙂


gammelgaard_mink
 
Elitebruger
Tilføjet:
08-05-2014 19:24:06
Svar/Indlæg:
979/49
#1 Du kan da ikke afvikle en C5 fornuftigt over TeamViewer....................

#0 Få jer en Cisco ASA5505 firewall. I den mindste standard version er der 2 Cisco Anyconnect licenser med fra starten af. Dette vil give jer en VPN forbindelse i høj kvalitet, utrolig drift sikkert, kan understøtte omkring 100Mbit IPSEC trafik (VPN), 140Mbit internet. Der til kan du konfigurere en RADIUS server på jeres server 2003 så din chef kan bruge hans normale Windows login til at logge på VPN (altså kun 1 password at huske og et brugernavn).

Det firma jeg arbejder I bruger vi det i stor stil og ALLE kan finde ud af at bruge det, selv den mindst IT kyndige.

#0 Ellers er den guide fin, du skal blot port forwarde disse porte: If you mean strictly VPN then these ports should be opened:
TCP/47 GRE, TCP/1723 for PPTP, TCP/1701 for L2TP and TCP-UDP/500 for ISAKMP, CISCO etc (only in case of using L2TP)
kilde: http://social.technet.microsof...

EDIT:
Tilføjelse til #6
En C5 kan afvikles med en ganske lille båndbredde så tvivler på at det er problemet.
Der er ikke noget (næsten) performance tab ved at køre over VPN, det er blot at skaffe det rigtige udstyr!


Svaret blev redigeret 2 gange, sidst af gammelgaard_mink d. 08-05-2014 19:34:19.


1EaR
 
Elitebruger
Tilføjet:
09-05-2014 00:34:10
Svar/Indlæg:
5750/124
#7 men da chefen er som alle andre chefer, så vil han nødigt investere i noget som koster dyrt, uden det er absolut sidste udvej. Det vil derfor være klart at foretrække hvis det blot er opsætning på nuværende udstyr, særligt da det har haft virket tidligere 🙂


1EaR
 
Elitebruger
Tilføjet:
09-05-2014 12:39:57
Svar/Indlæg:
5750/124
Vil sådan en bandit her måske være vejen frem? https://www.komplett.dk/cisco-...

Således at skabe VPN igennem den, og samtidigt få firewall og router funktionalitet på én gang?


gammelgaard_mink
 
Elitebruger
Tilføjet:
09-05-2014 12:45:33
Svar/Indlæg:
979/49
#8 En ASA firewall er ikke dyr i forhold til hvad man for. Skulle I ikke have en ny router/firewall alligevel? 🙂 Den kan købes brugt, har selv 2 stk. i privaten og der er ALDRIG problemer.

#9 Den kan også VPN, dog har jeg ingen kendskab til den. Men ellers skal I have en router som har mulighed for port forwarding, opsætte jeres server 2003 jf. guiden du nævnte tidligere og så skulle I kunne komme i mål.


Svaret blev redigeret 1 gang, sidst af gammelgaard_mink d. 09-05-2014 12:46:45.