Welche VPN-Sofware?

[doc-mue-wei]

Moin moin
wir überlegen eine VPN-Verbindung zu den Kollegen nach Hause einzurichten.
Welche VPN-Software wird denn da so empfohlen?
Beim googlen und suchen hier im Forum habe ich so nichts gefunden.
Gruß
Mü-Wei

[Elkrib]

Hallo,

falls Sie eine Fritzbox in der Praxis installiert haben, gibts die Software gratis auf der AVM Seite unter Download. Dort findet sich die entsprechend Software für ihr Betriebssystem einschließlich einer ausführlichen Beschreibung zum Einrichten auf Server und Client.

Mfg Elkrib

[doc-mue-wei]

moin moin
nein Fritzbox ist nicht das. Wir arbeiten mit David von Tobit.
Gruß
Mü-Wei

[Elkrib]

Hallo,

für eine VPN-Verbindung benötigen Sie einen Internetzugang.
Die Fritzbox z.B. Fritzbox 7170 oder neuere als Hardware verbindet den Rechner mit dem Internet. Mit der Hardware Fritzbox lässt sich problemlos ein VPN durch den kostenlosen Download der Software realisieren.

Mfg Elkrib

[doc-mue-wei]

Moin moin
wir haben auf allen Rechner einen Internetzugang, aber wie gesagt keine Fritzbox
Gruß
Mü-Wei

[Schicki]

Hallo,
wir arbeiten mit UltraVNC, die es als Freeware gibt - dann muss da noch dynamic dns (oder so ähnlich) eingerichtet werden (damit der Computer trotz nicht fester IP-Adresse gefunden wird) - auch kostenlos. Damit funktioniert es es der Regel ganz gut. Gel. Abbrüche auf "Serverseite" kommen vor, vielleicht liegt das an dem"schwachen" Computer, über den ich mich ins Praxisbetz einklinke.
MfG
P.Schickram

[kalli]

Wir haben mal mit DynDNS ein VPN erstellt - bzw. sind dann an wechselnden und ablaufenden Passwörtern gescheitert, wenn man nicht regelmäßig das VPN nutzt. (Man könnte auch sagen, es lag an der eigenen Inkompetenz). Anleitungen finden sich im Forum.

Nun geht es gut mit Teamviewer - ein Rechner / Server in der Praxis muss an sein, man kann es so einstellen dass mit dem Teamviewer auf dem heimischen Rechner der Praxisserver ferngesteuert wird. Geht recht flott! denn es ist ja eigentlich nur einer Terminal-System. (Teamviewer wurde hier auch schon diskutiert; Sicherheitsbedenken? Oder ist tatsächlich schon mal ein Praxissystem gehackt worden? Das Passwort zu Turbomed und das hoffentlich auch vergebene Windows-Passwort müssten ja auch von einem Eindringling überwunden werden....)

Kalli

[Geigenberger]

Bitte Vorsicht: VNC nicht mit VPN verwechseln!

Ultra-VNC kenne ich auch ein wenig; es ist wie der Teamviewer ein Programm, das quasi den Bildschirm eines Rechners auf einen anderen Rechner im (Inter-)Netz darstellt (Stichwort: Fernwartung).

VPN ist deutlich mehr: es ist eine vollständige Netz-Anbindung eines Computers in ein anderes Netzwerk - per "Tunnel" sicher abgeschirmt, auch über das Internet.

Viele Grüße
A. Geigenberger

[Thomas]

Hallo, Herr Dr. Müller-Weinhardt,

ich setze hier OpenVPN ein. Das geht so (die Anleitung ist komplett, aber man sollte schon etwas Kenntnis mitbringen und mitdenken):

1. OpenVPN herunterladen und auf dem Client und dem Server installieren.
2. Am Server ins OpenVPN\Easy-RSA-Verzeichnis gehen und an der Konsole folgendes durchführen:

init-config aufrufen

Dann die vars.bat editieren und die KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, und KEY_EMAIL Parameter einstellen. (Was da steht ist im Prinzip völlig egal. Dass man hier etwas eingibt, ist eigentlich kosmetisch.)

set KEY_COUNTRY=DE
set KEY_PROVINCE=Land
set KEY_CITY=Ort
set KEY_ORG=Praxis
set KEY_EMAIL=vpn@praxis.de

Dann folgendes ausführen:

vars
clean-all
build-ca
build-key-server server (hier wirklich server reinschreiben. Die Prompts alle mit Return bestätigen, beim Hostnamen wieder server schreiben.)
build-key home (das für jeden Client wiederholen, jeweils wie vorher alles mit Return abnicken und den Hostnamen sinnvoll ausfüllen, z.B. home, Zweigstelle1, Zweigstelle2, usw.)
build-dh

Dann folgende Befehle einfach per Copy&Paste ins DOS-Fenster kopieren. Man sollte dabei im Easy-RSA-Verzeichnis stehen (dabei nimmt man an, dass das Praxis-Netz die 192.168.0.x hat, ansonsten die Adresse anpassen):

copy keys\ca.crt ..\config /y
copy keys\dh1024.pem ..\config /y
copy keys\server.crt ..\config /y
copy keys\server.key ..\config /y
Echo port 15346> ..\config\server.ovpn
Echo proto tcp>> ..\config\server.ovpn
Echo dev tun>> ..\config\server.ovpn
Echo ca ca.crt>> ..\config\server.ovpn
Echo cert server.crt>> ..\config\server.ovpn
Echo key server.key>> ..\config\server.ovpn
Echo dh dh1024.pem>> ..\config\server.ovpn
Echo server 10.8.0.0 255.255.255.0>> ..\config\server.ovpn
Echo ifconfig-pool-persist ipp.txt>> ..\config\server.ovpn
Echo push "route 192.168.0.0 255.255.255.0">> ..\config\server.ovpn
Echo keepalive 10 120>> ..\config\server.ovpn
Echo comp-lzo>> ..\config\server.ovpn
Echo status openvpn-status.log>> ..\config\server.ovpn
Echo verb 3>> ..\config\server.ovpn
Echo mute 20>> ..\config\server.ovpn

Clients bekommen dann aus dem Keys-Verzeichnis in deren Config-Verzeichnis kopiert:
ca.crt
client1.crt
client1.key

Im Client Config-Verzeichnis erstellt man eine Datei praxis.ovpn:
client
dev tun
proto tcp
port 15346
remote praxis.dyndns.org
nobind
persist-key
persist-tun
ca ca.crt
cert home.crt
key home.key
comp-lzo
verb 3
route-delay 0 120
dhcp-renew
show-net-up

Man muss vorher einen DynDNS Dienst eingerichtet haben, damit die IP Adresse des Servers bekannt ist. Außerdem muss - wie hier im Beispiel - der Port TCP 15346 im Router zum Server geleitet werden. (Der Port ist egal, muss natürlich überall eingetragen werden.)

Dann am Server den OpenVPN Dienst starten. Am Client entweder das ovpn-File-Starten, oder die Verknüpfung zum Open-VPN-GUI, die auf dem Desktop liegt, mit --connect praxis.ovpn ergänzen, dann kann man durch einen Doppelklick darauf das VPN starten.

Wenn alles steht, kann man vom Client ein Ping 10.8.0.1 laufen lassen und damit den Server erreichen. Wenn der Server ein Windows Server ist, muss man ggfs. Routing und RAS konfigurieren. Dabei reicht es, wenn man eine manuelle Konfiguration startet, LAN Routing auswählt, und sonst nichts macht (außer den OpenVPN-Dienst danach nochmal zu starten).

Wenn man an den Arbeitsplätzen noch ein

route -p add 10.8.0.0 mask 255.255.255.0 192.168.0.99 (wobei das am Ende die IP Adresse des Servers ist) eingibt, dann kann man vom Client aus auch die einzelnen Arbeitsplätze ensprechen und damit jeden PC im Praxis-LAN erreichen.


Ab und zu gibt's nach einem Neustart des Servers leichte Probleme mit dem Zugang, dann hilft's, den OpenVPN Dienst neu zu starten. Aber da ein Server-Reboot recht selten vorkommen sollte, ist das meist kein Problem.

Man kan den OpenVPN-Server auch direkt in einem Router mit DD-WRT-Firmware aktivieren, z.B. in den größeren aktuellen Buffalo-Routern. Das ist zwar mit ein paar extra Handgriffen verbunden und erfordert noch mehr Denkarbeit, geht danach aber praktisch völlig störungs- und wartungsfrei.

Und kostet absolut nichts. (Außer Arbeit)

Tippfehler bitte ignorieren - das sind meine eigenen Notizen...

Viel Erfolg!

Thomas

Man kann auch

[Geigenberger]

Hallo Thomas,

vor etlicher Zeit habe ich (im lokalen Netz) auch schon ein wenig mit open-vpn experimentiert.
Verbindungen unter den Rechnern kamen zustande. ABER: Woher weiß ich - und wie kann ich kontrollieren, dass der Datenverkehr tatsächlich auch verschlüsselt läuft (also 'durch den Tunnel') und nicht den 'üblichen' Weg über die Netzwerk-Kabel?
Wahrscheinlich eine banale Frage, aber ich konnte auf diese Frage - auch in einem größeren Forum - keine befriedigende Antwort finden.

A. Geigenberger

[Thomas]

Hallo, Herr Geigenberger,

im lokalen Netz macht ein VPN keinen Sinn - das ist zumindest nicht der normale Einsatzzweck. Im Regelfall verbindet man per VPN einen entfernten Arbeitsplatz mit einem Netzwerk, wobei im Normalfall keine Verbindung zwischen den Rechnern besteht. Wenn dann eine Verbindung über das VPN besteht, dann ist sie auch zwangsweise verschlüsselt. Ohne VPN ist eben kein Datenverkehr möglich.

Viele Grüße,

Thomas

[Geigenberger]

Hallo Thomas

im lokalen Netz macht ein VPN keinen Sinn
war ja auch nur "zum Ausprobieren"

Wenn dann eine Verbindung über das VPN besteht, dann ist sie auch zwangsweise verschlüsselt.
Genau das würde ich als EDV-Skeptiker auch gerne irgendwie überprüfen. Ist das möglich?

Viele Grüße,

A. Geigenberger

[Thomas]

Hallo, Herr Geigenberger,

das mit dem Ausprobieren ginge grundsätzlich, vermutlich sogar im lokalen Netzwerk: Sie müssten nur mit einem Netzwerk-Sniffer (Wireshark) den Datenverkehr, der über das 10.8.0.x-Netzwerk läuft, mitschneiden - da dürften Sie nichts verwertbares mehr sehen. Auf der anderen Seite, wenn ich einen Lichtschalter umlege und die Lampe brennt kann ich schon davon ausgehen, dass Strom auf der Leitung ist - ist ja schließlich die Grundfunktion eines Schaltkreises. Ebenso sieht's mit dem VPN aus - es ist die Grundfunktion, Daten nur verschlüsselt zu übertragen, und die EDV-Welt hätte schon laut geschriehen, wenn's nicht so wäre... aber prüfen Sie ruhig, ist ja kein Geheimnis dahinter (ist zum Glück OpenSource) .

Viele Grüße,
Thomas

[nmndoc]

Hallo,

ich hoffe das Thema ist für den ein oder anderen noch aktuell? Der letzte Beitrag war ja schon ca. einen Monat her.

Also: VNC ist erstmal nur ein Protokoll (oder wenn man so will eine "Software"), um entfernte Rechner fern zu steuern / den Bildschirm zu übertragen. Verschlüsselung ist hier bestenfalls optional möglich. Außerdem ist VNC von der Geschwindigkeit nicht so gut und eher eine Notlösung, wenn RDP (Remote Desktop) nicht möglich ist. Bei RDP gibt es auch Verschlüsselung - ältere Version haben/hatten ein Problem damit (knackbar) aber so oder so sollte man das alles nur durch einen VPN-Tunnel verwenden (siehe unten, VPN).

Teamviewer: ursprüglich für den Remote-Support und Remote-Präsentation gedacht. Als "quasi VPN" wird es denke ich erst neuerdings vermarktet. Meiner Meinung nach weder vom Kostenstandpunkt (was kostet eine Lizenz, die z.B. 5 gleichzeitige Verbindungen ermöglicht? Außerdem braucht man ja trotzdem noch eine Firewall o.ä.), als auch vom Sicherheitsstandpunkt (zumindest in der Grundeinstellung ermöglicht Teamviewer dem enfernten Teilnehmer einfach zu viel) - aber da sind mir Gegenargumente herzlich willkommen.

Jemand schrieb oben "... muss ja noch das Turbomed-Passwort überwinden...". Also meiner Erfahrung nach sind die i.d. Regel (falls überhaupt vorhanden) nicht so sehr Komplex. Aber das entscheidendere: Mir wäre neu, dass Turbomed die Daten in der Datenbank verschlüsselt. Auch die Dokumente (Briefe, Bilder, etc) liegen im Klartext vor. Wozu würde ein Angreifer also ein Kennwort benötigen?

VPN: Technisch betrachtet kann man sicherlich auch mit einem grünstigen Router oder einer nicht ganz so günstigen FritzBox ein VPN aufbauen. Auch eine reine Software-Lösung - z.B. auf dem Turbomed-Server - wäre möglich. ABER

1. Eine Firewall wird dennoch benötigt. Ein VPN verschlüsselt ja nur die Daten zwischen zwei Punkten. Es schützt aber nicht das Netzwerk/die Rechner.

2. Software-VPN: Ich würde grundsätzlich nicht gerne sehen, dass der VPN-Server auf dem Zielsystem (TM) läuft. Eine Schwachstelle im VPN-Server und der Angreifer hat automatisch Vollzugriff auf den Server. (außerdem u.U. "sportlich" eine komplexere Konfiguration vorzunehmen, siehe 3.)

2. Die kleinen Router-Lösungen bieten i.d. Regel keine differenziere Möglichkeit, Ein/Ausgehenden Datenverkehr zu kontrollieren/ zu konfigurieren. Insbesondere ist es i.d.Regel nicht möglich festzulegen, was INNERHALB des VPN-Tunnels ausgetauscht werden darf. Konkret: in einer Arztpraxis tendiere ich dazu, im Tunnel nur RDP zuzulassen.
Bei einem VPN-Tunnel (und das ist eben bei den kleinen Lösungen i.d.Regel so) der einfach alles in beide Richtungen durchlässt (also so wie wenn der entfernte REchner vor Ort im gleichen Netz wäre), können eben auch ungebetene Gäste über den (Heim-)Rechner des Benutzers direkt in die Praxis.

Und wo wir schon beim Thema Sicherheit sind: Eigebtlich gehört für das VPN auch eine vernüftige Authentifizierung her (zwei Faktor), da Kennwörter z.B. von einem Trojaner mitgelesen werden können. Also Einmalpasswort+PIN oder Zertifikat+Kennwort (bzw. auf einem Token mit PIN)

Bei Detailfragen helfe ich gerne weiter

[schmidt-dietrich]

spannendes Thema ! Teamviewer ist auch nix, zumal dann teure SERVER-Lizenz zu kaufen nicht lohnt für das bischen Heimarbeit...
BIn da auch ncch nicht zufrieden. RDP nun ja..
GlG

[wahnfried]

spannendes Thema ! Teamviewer ist auch nix, zumal dann teure SERVER-Lizenz zu kaufen nicht lohnt für das bischen Heimarbeit...
BIn da auch ncch nicht zufrieden. RDP nun ja..
GlG

...warum Server-Lizenz?

Bei TurboMed ist doch auch ein Ordner "Teamviewer" dabei. Wird jedenfalls beim Update der Netzwerkinstallation mitkopiert.

Ich nutze dies bisher nicht. Braucht das eine extra Lizenz? oder ist das ähnlich der FOS-Lizenz, die TurboMed "en bloc" enthält?

Grüsse, Wahnfried

[nmndoc]

...warum Server-Lizenz?

Bei TurboMed ist doch auch ein Ordner "Teamviewer" dabei. Wird jedenfalls beim Update der Netzwerkinstallation mitkopiert.

Ich nutze dies bisher nicht. Braucht das eine extra Lizenz? oder ist das ähnlich der FOS-Lizenz, die TurboMed "en bloc" enthält?

Grüsse, Wahnfried

Was dort dabei ist ist lediglich das Modul, damit bei Ihnen im Supportfall jemand (zb TM-Hotline) auf den Rechner per Teamviewer schauen kann. Also wenn man so will das Endanwender-Modul.
Unabhängig aber vom den technischen Unterschieden, benötig man schon aus rein lizenzrechtlichen Gründen eine passende (Server-)Teamviewer-Lizenz.

PS: evtl. etwas verwirrend, wenn man an die beiden Szenarien "Support" und "Arbeiten von zuhause" denkt, was nun der server und was der Client ist bzw. wofür man die Serverlizenz braucht. Aber es ist einfach so, dass Teamviewer wenn man so will zwei Seiten/Module hat - der der Steuert und der der gesteuert wird/seinen Bildschirm überträgt. Daran sieht man auch, dass der ursprüngliche Sinn das Remote-Support-Szenario war und nicht der Heimarbeitsplatz.

[schmidt-dietrich]

Cave: die Teamviewer-Lizenz kostet leider ricthig Geld falls Sie, wie wir eine Windows-Serversoftware nutzen...

Insofern leider für gelgentliches nachschauen oder Arbetein ein teurer Luxus..

[christianw]

Guten Abend,
alles in allem wurde hier bereits alles gesagt, was ein VPN darstellt und was nicht.
Teamviewer und Co sind hier zwar kompfortabel aber sicherlich keine "gescheite" VPN Lösung, welche genutzt werden sollte.
Klar im Vorteil sind Routerlösungen, vorn an wie schon erwähnt OpenVpn!
Dies ist eine VPN Lösung auf Basis von SSL und sehr weit verbreitet, da einfach skalierbar. Diese Lösung ist zum einen softwaretechnisch
auf dem Server zu installieren, wobei hierzu eine Portweiterleitung auf dem Router eingerichtet werden muß, welche auf den Server verweist.
Dies stellt allerdings wieder eine große Lücke im System dar.
Die zweite Möglichkeit ist es OpenVpn auf dem Router zu installieren und somit wird schon vor dem Netzwerk authentifiziert und das Netz beleibt geschlossen.
Sicherheit zur Einwahl ist hoch und wird mittels Zertifikaten gelöst.

OpenVpn ist nicht ganz so einfach einzurichten wenn man damit noch nicht viel zu tun hatte. Wir lassen dies von unserem Netzwerkbetreuer erledigen, der dies
für die zu betreuenden Praxen erstellt. Sprich fertiger Router und die Client-Installations CD für das HomeOffice zur EInwahl in die Praxis.
Nun kann per Remote gearbeitet werden zusätzlich haben wir so Zugriff auf unser David für die Mail und Fax-Veraltung

Hoffe ich konnte helfen

[nmndoc]

Der Aussage oben kann ich mich im Prinzip nur anschliessen: VPN und Netzwerksicherheit ist nichts, dass man schnell mit "weiter ... weiter"-Klicken einrichtet (auch wenn es mit einer gewissen Erfahrung natürlich auch mal schnell gehen kann). Wichtig sind grundlegende Überlegungen und das Konzept - dazu gehört dann auch zwingend, dass man sich mit der Materie auskennt. Daher: wenn man nicht selbst das Wissen hat oder bereit ist, es sich anzueignen (sprich: die Zeit zu investieren) würde ich auch dringend dazu raten, die Einrichtung und Wartung einem kompetenten Partner zu überlassen.

Zur Frage Selbstgestrickte OpenVPN-Lösung/kostenlose Lösungen gegenüber komerziellen: neben den reinen Kosten für die Anschaffung müssen auch die Kosten (speich: auch Zeitaufwand) für die Einrichtung, Wartung etc. berücksichtigt werden. Ich kann mir beispielsweise auch ein gehärtetes Linux auf einen PC als Router/Firewall aufsetzen und dann meine Regeln über die Kommandozeile einrichten - tendenziell wird das aber dann zeitaufwändiger als wenn ich eine fertige Appliace mit einer komfortablen GUI habe.
Außerdem gibt es auch Lösungen auf dem Markt, die Firwall+VPN bieten und gleichzeitig KV SafeNet zertifizier sind - das kann auch mit ein Faktor sein.

Bei Fragen: bitte fragen.