Verbindung von "Aussen" in ein Netzwerk - wie am einfachsten / sichersten?

S

Simon1

Neuling
Thread Starter
Mitglied seit
25.12.2012
Beiträge
6
Hallo Leute,
Ich bin Student und nebenbei Selbstständig. Ich möchte ein paar Kollegen, die mir von Zeit zu Zeit helfen Zugriff auf eine Datenbank in meinem Netzwerk geben...
Das große Problem daran ist, dass ich ziemlich keine Ahnung von den Vorgängen in einem Netzwerk hab :-(

Das verwendete Programm heißt EasyJob und dessen zentrale Datenbak liegt auf einem Rechner in meinem Netzwerk daheim ("Server"). Alle Systeme laufen mit Windows (Server mit XP, Clients mit XP, 7 & 8). Der Server ist von Hardware & Software nicht als "echter" Server ausgelegt, auf ihm liegt nur die Datenbank, deshalb heißt er Server...

Ich kann mich von jedem Rechner in meinem Netzwerk zum Server verbinden und auf die zentrale Datenbank zugreifen :-) so weit so gut, ABER: wie kann ich es bewerkstelligen, dass Personen von außen (anderes Netzwerk, evtl. Mobiler Internetzugang etv.) Zugriff auf die Datenbank bekommen?
Ich hab schon ein Bisschen herumüberlegt und bin zu dem Schluss gekommen, dass eben diese externen Rechner virtuell in meinem Netzwerk sitzen sollten...


Dazu hab ich mir mal OpenVPN herunter geladen und damit herumgespielt aber leider ohne Erfolg :-( ein bekannter hat mir auch einen netgear router empfohlen, der mit entsprechender (kostenpflichtiger) Software VPN Tunnel bauen kann aber das kostet über 300euronen :-(

Gibt es irgendeinen sinnvollen (möglichst günstigen) und sicheren Weg mein Problem zu lösen? Muss nicht unbedingt mit VPN sein, war nur eine Idee von mir...

Danke für Eure Tipps im Voraus :-D
simon
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo,

um von aussen auf die Datenbank zu kommen müsstest du einfach nur eine Port-Weiterleitung (NAT/Port-forwarding) im Router auf dein "Server-PC" machen. Dann würde man von aussen übers Internet auf dein Server zugreifen können. Ein Account bei einem kostenlosen DNS Anbieter erstellen, sodass deine Kollegen auch auf dein Server kommen, wenn sich deine IP Adresse ändert.

Ob dass sicher ist ist eine andere Frage. Ich kenne EasyJob nicht und dessen Authentifizierung.

So viel Ahnung hab ich da auch nicht, aber es wäre das was mir dazu einfällt. Vielleicht kommen noch mehr Ideen von anderen Usern.

Edit: Brauchst dafür auch kein 300 Eur Router, Port-forwarding dürfte mit jedem normalen Router gehen
 
Zuletzt bearbeitet:
Ich würde sagen, dass es erstmal darauf ankommt, was für Daten in dieser Datenbank liegen...

Wenn das irgendwelche Kundendaten sind, und die Applikation die vll. auch noch unverschlüsselt überträgt, ist eine simple Port-Weiterleitung denkbar ungeeignet - dann sollte es schon ein VPN werden... Dafür gibts aber auch Router für deutlich weniger als 300€...
 
Wie hast du Openvpn eingerichtet, und was hat damit nicht funktioniert?
 
Hallo Leute,
Danke für eure Antworten und Ideen :-)

@hrstaub & FLiNTx: Die Lösung hört sich recht einfach an, aber ich denke, dass ich mir damit ein ziemliches Sicherheitsrisiko einbrocke, wenn ich einfach so ein Port nach draußen öffne! Wie die Verschlüsselung bei EasyJob ist, kann ich auch nicht sagen... Eine sichere Verbindung ist dafür wohl eher geeignet

@skelleton: ich bin nach dem "Easy Windows Guide" von der OpenVPN Website vorgegangen: Applikation installieren, CA, server und client keys und dh Parameter erstellen. Dann die jeweiligen Datein an die Maschinen angepasst und in die entsprechenden Verzeichnisse eingefügt. Ich hab auch noch Firewall- Regeln für UDP1194 (für OpenVPN) und UDP1434 (für EasyJob) erstellt. Btw: muss ich bei OpenVPN das 1434 Port wählen, wenn ich über dieses Daten überttragen möchte oder ist das Blödsinn?
So weit so gut...
In der Serverkonfiguration habe ich als Netzwerk- IP 192.168.2.0 / 255.255.255.0 gewählt (das Netz, in dem er sich befindet ist das 192.168.1.0 und ich möchte IP Kollisionen vermeiden), also bekommt der VPN Server die 192.168.2.1 zugewiesen. Mein Testclient bekommt die 192.168.2.6 und sowohl beim Server als auch beim Client sind die "Bildschirme" in der Taskleiste grün.
Der Rechner mit der Serverinstallation meldet:
---
OpenVPN GUI
Connected to: server
Connected since: Dec 26, 11:28
Assigned IP: 192.168.2.1
---
Der Rechner mit Client- Installation meldet:
---
OpenVPN GUI
Connected to: D430
Connected since: Dec 26, 11:40
Assigned IP: 192.168.2.6
---
Um die Verbindung zu testen ist der Server in meinem Netzwerk und der Client mittels WWAN in einem Mobilfunknetz unterwegs.
Wenn ich jetzt vom Client zum Server pinge habe ich 100% Verlust... Irgendwie komich, wenn die Verbindung doch hergestellt ist und beide Firewalls das benutzte Port weiterleiten!

Und da stehe ich jetzt an :-(
Simon
 
Wenn sich OpenVPN verbindet (alles wird gruen) hast du wahrscheinlich ein Firewall oder Routing Probelm in deinem Netzwerk.

Hast du den OpenVPN Server angepingt oder einen anderen?
Wenn du den OpenVPN Server gepingt hasr, auf welcher IP?
 
Hello,

Das heißt, dass wirklich eine Verbindung besteht? Auch wenn beim Server steht "connected to: server" und beim Clien D430 "connected to: D430"? Auf den ersten Blick hat es den Anschein als hätten sich die beiden Teilnehmer jeweils zu sich selbst verbunden...?

Der Server hat Hardware- mäßig eine 192.168.1.x Adresse, virtuell über OpenVPN die 192.168.2.1, an die ich den ping vom Client aus durchgeführt habe.
Ich hab bei einem anderen OpenVPN Tutorial gelesen, dass man beim "virtuellen Netzwerkadapter" fürs OpenVPN die MTU size hinunterschrauben muss / soll... Ist da was dran oder ist das egal?

Kann ich mir schon vorstellen, dass im Netzwerk oder in der Firewall der Hund begraben ist... Gibt es da irgendwelche Standard- Fehler?

Danke!!!
 
Wenn der VPN-Server im Netz 192.168.2.0/24 die IP 192.168.2.1/24 bekommt und der Client die IP 192.168.2.6/24, wie sollen die dann eine Verbindung in das Netzwerk 192.168.1.0/24 aufbauen?
 
Wenn dein Server Windows ist, schalte mal die Firewall fuer den Adapter von OpenVPN (ich meine dazu stand auch was in der OpenVPN doku) ab. Probier danach noch einmal die OpenVPN Addresse zu pingen.

Wenn auf dem Client kein Openvpn Server lauft, kann er sich nicht mit sich selbst verbinden (Bin mir auch nicht sicher ob das ueberhaupt geht). Aber im Zweifelsfall schau in die config vom Client, er Verbindet sich mit dem Host der hinter der Option "remote" steht. Wenn du die 192.168.1.x Adresse des Servers erreichen willst, musst du in Windows XP Routing und Forwarding aktivieren. Ich hab das schon seht lange nicht mehr gemacht, aber damals musste man dazu eine Option in der Registry setzen. Google hilft dir da bestimmt weiter.
 
Ich habe den Punkt des TEs immer noch nicht verstanden, aus welchem Grund er ein zweites Netz erstellt hat.

Was soll man unter dem Begriff "Vermeiden von IP-Kollisionen" verstehen?

Das einfachste ist es doch, dem VPN-Server und den sich einwählenden Clients eine IP aus dem Netz 192.168.1.0/24 zu geben.
 
Zuletzt bearbeitet:
Ich persoenlich bevorzuge bei openvpn auch ein geroutetes Netz. Man kann auch ein gebridgtes Netz verwenden, aber fuer den Zugriff auf einen Server halte ich ein geroutetes Netz sowieso besser.
 
heiner.hemken schrieb:
Ich habe den Punkt des TEs immer noch nicht verstanden, aus welchem Grund er ein zweites Netz erstellt hat.

Was soll man unter dem Begriff "Vermeiden von IP-Kollisionen" verstehen?

Das einfachste ist es doch, dem VPN-Server und den sich einwählenden Clients eine IP aus dem Netz 192.168.1.0/24 zu geben.
Zum Vergrößern anklicken....

Ich hab im 192.168.1.0er Netz einen Router mit DHCP Server sitzen. Wenn ich jetzt im selben Netz den VPN Server sitzen hab, weiß der vermutlich nicht was der DHCP Server mit seinen IP Adressen vor hat... Außerdem hat der DHCP Server / Router die 192.168.1.1, wenn ich dem VPN Server das selbe Netzwerk (192.168.1.0) zuweise, bekäme dieser auch die 192.168.1.1 --> Problem. Das meinte er mit "Kollision"

---------- Post added at 22:44 ---------- Previous post was at 22:30 ----------
heiner.hemken schrieb:
Wenn der VPN-Server im Netz 192.168.2.0/24 die IP 192.168.2.1/24 bekommt und der Client die IP 192.168.2.6/24, wie sollen die dann eine Verbindung in das Netzwerk 192.168.1.0/24 aufbauen?
Zum Vergrößern anklicken....

Der VPN Server hat ja zwei IP Adresse: zum einen die im 192.168.1.0/24 und zum anderen die im 192.168.2.0/24. Meiner Idee nach sollten demnach alle Rechner im 192.168.2.0/24er Netz Zugriff auf Daten auf der Maschine 192.168.2.1 haben oder ist dem nicht so? Also müssten die VPN Clients doch nicht im selben Netz sitzen wie der Rest meines physikalischen Netzwerkes, sondern einfach nur im selben Netz mit dem Rechner auf dem die Daten liegen :-)

---------- Post added at 22:50 ---------- Previous post was at 22:44 ----------
skelleton schrieb:
Wenn dein Server Windows ist, schalte mal die Firewall fuer den Adapter von OpenVPN (ich meine dazu stand auch was in der OpenVPN doku) ab. Probier danach noch einmal die OpenVPN Addresse zu pingen.

Wenn auf dem Client kein Openvpn Server lauft, kann er sich nicht mit sich selbst verbinden (Bin mir auch nicht sicher ob das ueberhaupt geht). Aber im Zweifelsfall schau in die config vom Client, er Verbindet sich mit dem Host der hinter der Option "remote" steht. Wenn du die 192.168.1.x Adresse des Servers erreichen willst, musst du in Windows XP Routing und Forwarding aktivieren. Ich hab das schon seht lange nicht mehr gemacht, aber damals musste man dazu eine Option in der Registry setzen. Google hilft dir da bestimmt weiter.
Zum Vergrößern anklicken....

Danke für den Input, ich werde mich die Tage mal eingehender damit beschäftigen, vor allem mit den Firewall- Einstellungen!
Das mit dem Client / Server leuchtet mir ein, also wird die Verbindung wohl passen, auch die Daten hinter "remote" scheinen für mich in Ordnung (habe einen no-ip Dynamic DNS Account für den Server).
Hab auch grad die Registry geprüft, Routing/Forwarding ist aktiv... So wie es aussieht muss ich mich wohl ein Bisschen mit meiner Netzwerktopologie beschäftigen!

Danke auf alle Fälle mal für die konstruktiven Vorschläge!
 
Ja normalerweise sollten die clients den OpenVPN Server im OpenVPN Netz erreichen koennen. Wie schon gesagt kann es zum einen ein Firewall Problem sein. Andererseits koennen es auch fehlende Rechte sein. OpenVPN hatte mitunter Probleme, wenn es nicht als Admin lief. Fruehere Versionen hatten auch Probleme mit windows 7 wenn UAM nocht aktiv war.
 
@TE
Zur Kollision:

Ich kenne OpenvPN nun nicht, aber wenn Du dem VPN-Server eine IP mit 192.168.2.1 uind dem Client 192.168.2.6 zuordnen kannst sollte es doch wohl möglich sein, den Range auch im dem 192.168.1.0/24-Netz vorzugeben, oder hast Du etwa soviele Rechner @home, daß Du da nicht Pools bilden kannst?

Hm, mMn hat der VPN-Server nur eine IP-Adresse nämlich die 192.168.2.1, die 192.168.1.x hat der Server, nebenbei bemerkt, erschließt sich mit hier auch nicht, warum der eine dynamische IP hat.
Der VPN-Server ist netztechnisch nicht die gleiche Maschine, wie der Server. Da fehlte dann eine Route.
 
Wie gesagt man kann OpenVPN auch im Bridged Mode konfigurieren (da kann man dann auch so weit gehen, dass die VPN Clients IPs vom bestehenden DHCP Server bekommen), das ist halt nicht der standard Modus. Wenn es nur einen Server gibt auf dem alles laeuft, lohnt der Aufwand nicht. Wenn es mehr als einen gibt, und die VPN Nutzer auch darauf muessen, muss man halt die Vor und Nachteile der beiden Modi abwaegen.
OpenVPN installiert einen extra Netzwerkadapter, demnach hat der Server tatsaechlich zwei IP Addressen (einmal auf dem realen LAN Adapter und einmal auf dem OpenVPN Adapter). Der TE hat ja schon bestaetigt, dass die routing Option in der Windows XP Registry gesetzt ist. Demnach muessen auch auch beide Addressen des Servers aus dem VPN erreichbar sein. Selbst wenn der Routing Modus nicht gesetzt ist, muss die 192.168.2.1 erreichbar sein. Ob die andere Adresse des Servers dynamisch ist oder nicht, ist fuer die reine OpenVPN Verbindung egal.


@Simon1 was ich noch Vergessen hatte zu Fragen: Wie ist der Client ins Mobilnetz eingewaehlt: dierekt per Modem oder per Access Point/Hotspot?
Wenn letzteres der Fall ist, kann es sein, dass eines der Internen Netze doppelt ist.
Die Netze 192.168.0.0/24, 192.168.1.0/24 und 192.168.2.1 sind recht oft als standard Netz verwendet. Meines wissens kann dir das auch beim direkten einwaehlen ins Mobilnetz passieren, da innerhalb einer Funkzelle auch private IPs vergeben werden.
 
heiner.hemken schrieb:
@TE
Zur Kollision:

Ich kenne OpenvPN nun nicht, aber wenn Du dem VPN-Server eine IP mit 192.168.2.1 uind dem Client 192.168.2.6 zuordnen kannst sollte es doch wohl möglich sein, den Range auch im dem 192.168.1.0/24-Netz vorzugeben, oder hast Du etwa soviele Rechner @home, daß Du da nicht Pools bilden kannst?

Hm, mMn hat der VPN-Server nur eine IP-Adresse nämlich die 192.168.2.1, die 192.168.1.x hat der Server, nebenbei bemerkt, erschließt sich mit hier auch nicht, warum der eine dynamische IP hat.
Der VPN-Server ist netztechnisch nicht die gleiche Maschine, wie der Server. Da fehlte dann eine Route.
Zum Vergrößern anklicken....

Das Problem ist nicht die Anzahl der Rechner bei mir sonder, dass OpenVPN eine Vorgabe braucht, in welchem Netz (bei mir z.B. 192.168.2.0) die VPN Verbindung aufgebaut werden soll und danach automatisch und fix dem als Server konfigurierten PC die 192.168.2.1 zuweist. Der VPN Server hat per Konvention immer die 1 an der letzten Stelle, also ist der Vorgang eigentlich nicht Dynamisch. Vielleicht kann man das auch irgendwo ändern, aber: ich bin kein VPN Spezialist und schlage mich zum ersten Mal damit herum...

Bzgl. Dynamischer IP der Maschine: es handelt sich einerseits um keinen Server im engeren Sinne, sondern nur um einen PC auf dem eine Datenbank liegt, andererseits hat die Maschine hardwareseitig eine fixe IP 192.168.1.6

---------- Post added at 10:49 ---------- Previous post was at 09:44 ----------
skelleton schrieb:
@Simon1 was ich noch Vergessen hatte zu Fragen: Wie ist der Client ins Mobilnetz eingewaehlt: dierekt per Modem oder per Access Point/Hotspot?
Wenn letzteres der Fall ist, kann es sein, dass eines der Internen Netze doppelt ist.
Die Netze 192.168.0.0/24, 192.168.1.0/24 und 192.168.2.1 sind recht oft als standard Netz verwendet. Meines wissens kann dir das auch beim direkten einwaehlen ins Mobilnetz passieren, da innerhalb einer Funkzelle auch private IPs vergeben werden.
Zum Vergrößern anklicken....

Der Client hängt direkt per Modem (Iphone) im Mobilnetz und hat HW- Mäßig die 172.20.10.2, also recht weit vom VPN Adressbereich entfernt...

So wie es aussieht, bin ich der Lösung mal ein Stück näher: Norton Firewall AUS --> Ping OK, Norton Firewall EIN --> Ping nicht OK
Also werd ich mal den Norton Support quälen ;-)
 
Zuletzt bearbeitet:
Frag mal ob du die Firewall fuer bestimmte Adapter komplett deaktivieren kannst, das waere die einfachste Loesung wenn du deinen VPN Clients traust. Ansonsten musst du alle Services die fuer VPN Clients relevant sind in der Firewall freigeben.
 
Geht leider nicht :-( Norton ist diesbezüglich ziemlich eingeschränkt... Ich werde mal den Testrechner neu aufsetzen und Versuche mit der Windows Firewall starten, vielleicht kann ich da einzelne Adapter ausnehmen!
Weißt zu zufällig welche Services für OpenVPN benötigt werden? Ich habe jetzt erstmal das entsprechende UDP Port in beide Richtungen geöffnet, weiß aber nicht ob noch weitere Ausnahmen benötigt werden.
 
Du musst im router nur den OpenVPN port zu deinem Server forwarden.
Alles was du intern in deinem Netz machst, laeuft dann ueber den VPN Tunnel und damit ueber diesen Port
 
Anmelden, um zu antworten.

Ähnliche Themen

U
SFTP-Server auf OpenMediaVault - keine Verbindung
Antworten
5
Aufrufe
931
Zyxx
Z
CanuVader
[User-Review] Lesertest AVM FRITZ!Box 5690 Pro - Ein Alltagstest am DSL-Anschluss
Antworten
4
Aufrufe
12K
CanuVader
CanuVader
O
NAS Eigenbau
Antworten
0
Aufrufe
2K
oie123b
O
M
[User-Review] Synology DP320 ActiveProtect
Antworten
1
Aufrufe
1K
maxblank
M
Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
2K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh