ComputerBase Menü
Aktuelles

Standortverknüpfung von Homeoffice, Büro und Kunden-IT-System

Danielson

Danielson

Captain
Registriert
Nov. 2011
Beiträge
3.882
Da ich zwar ITler bin, aber eher auf der kaufmännischen Seite, hier mal eine kurze Frage an die Profis:

Wir haben im Unternehmen ein Büro, wo allerdings nur 2 Mitarbeiter sitzen.
Die restlichen Mitarbeiter arbeiten von zuhause aus.
In einem Projekt benötigen wir Zugriff auf interne Ressourcen eines Kunden.
Dieser möchte natürlich jetzt nicht für jeden Mitarbeiter einen Zugang über die privaten Fritzboxen etc. einrichten.
Die Idee war jetzt, ein eigenen Firmennetzwerk aufzusetzen (gerne auch rein virtuell) auf welches sich die Mitarbeiter mittels VPN connecten können und welches dann einmalig eine Freigabe vom Kunden erhält.

Gibt es hier Tipps, wie man das am einfachsten umsetzen sollte?
 
Eine Möglichkeit wäre ein site2site tunnel von eurem Büro zum Kunden. Euren Remote Mitarbeitern stellt ihr jeweils einen ipsec, ssl, whatever tunnel zu eurem Büronetzwerk bereit, falls nicht ohnehin schon vorhanden.
 
  • Gefällt mir
Reaktionen: Danielson
Super, danke euch beiden schon mal. Heißt konkret:
  1. Büronetzwerk besteht bereits via Router (FritzBox 7590)
  2. Via side-to-side mit der Fritzbox mittels VPN des Kunden zu dessen Netzwerk verbinden
  3. Mitarbeitern VPN Client (z.B. CyberGhost ?) zur Verfügung stellen um sich mit unserem Büronetzwerk zu verbinden
 
Es hängt davon ab, was es für Ressourcen sind.
Sollen nur die Mitarbeiter die vor Ort in den Büros sitzen Zugriff bekommen oder alle?
Jenachdem setzt der Kunde dann ein VPN auf und liefert Clientbundles für die Geräte/Personen aus welche auf die Ressource zugreifen müssen/dürfen.
Sind es nur Files die ausgetauscht werden, reicht ein Seafile Server, der im Netz steht etc.
Alles nur Beispiele.
Wie ist der genaue Use Case?
 
  • Gefällt mir
Reaktionen: Danielson
Es wird ein Produktivsystem des Kunden softwaretechnisch im Bereich React und Symfony / PHP weiterentwickelt. Das System ist beim Kunden vor Ort gehostet, sprich für den vollen Zugriff zur Software um daran entwickeln/testen zu können, benötigen alle Mitarbeiter Zugriff, also sowohl aus dem eigenen Büro heraus, als auch von den einzelnen Wohnorten der Mitarbeiter im HomeOffice.
 
Danielson schrieb:
Heißt konkret:
  1. Büronetzwerk besteht bereits via Router (FritzBox 7590)
  2. Via side-to-side mit der Fritzbox mittels VPN des Kunden zu dessen Netzwerk verbinden
  3. Mitarbeitern VPN Client (z.B. CyberGhost ?) zur Verfügung stellen um sich mit unserem Büronetzwerk zu verbinden
Zum Vergrößern anklicken....
1. Büronetzwerk mit Fritzbox ist generell schon mal .. .. "unschön", aber im kleinen Rahmen mit 2 Mitarbeitern noch vertretbar.

2. Da der Kunde nicht zwangsläufig ebenfalls eine Fritzbox haben muss und ggf sogar eine gänzlich andere VPN-Technologie einsetzt als die Fritzbox es unterstützt, ist die Fritzbox hier keine verlässliche Option. Wird vom Kunden ein Zugang mit OpenVPN oder IPsec mit IKEv2 gestellt, kommt man mit einer Fritzbox nicht weit. Und auch sonst würde ich einer Fritzbox keine professionelle VPN-Verbindung zu einem Kunden anvertrauen, weil das ein Router für Heimnetzwerke ist, der entsprechend nur eingeschränkt konfigurierbar ist.

3. Cyberghost ist etwas vollkommen anderes. Client <VPN> Cyberghost ---> Internet ist ein gänzlich anderer Anwendungsfall als Client <VPN> Office oder gar ein VPN zum Kunden.... Die einzige Parallele sind die 3 Buchstaben V, P und N, aber in einem anderen Kontext.


Denkbar wäre folgendes Beispiel:

Im Office steht eine Hardware-Firewall mit pfSense, o.ä. als VPN-Gateway, die einerseits als Client die VPN-Verbindung zum Kunden herstellt und andererseits als VPN-Server für die Mitarbeiter dient(*). Die Mitarbeiter verbinden sich mit dem VPN-Server und greifen darüber auf die VPN-Verbindung zum Kunden zu, die entsprechend gesichert wird damit der Kunde nicht andersherum auf euer Firmennetzwerk zugreifen kann.

Für weitere Details solltest du allerdings einen Thread erstellen, weil das Thema den Rahmen dieses Threads sprengt.

(*) Theoretisch könnte auch FritzVPN für die Mitarbeiter genutzt werden, aber wenn man eh schon ein VPN-Gateway als pfSense, o.ä. hat, kann es auch beides übernehmen.
 
  • Gefällt mir
Reaktionen: Danielson und WhiteHelix
Dann sollte es so sein wie die Vorredner es schon geschrieben haben.
Die schnelle Variante:
Der Kunde soll sich einen VPN-Server hinstellen, zb.: mit Wire Guard als Grundlage.
Ihr liefert dann die MAC Adressen der Geräte, welche auf den Dienst zugreifen dürfen.
Es gibt auch fertige Skripte, welche WG auf dem Client installieren und ein Konfig Bundle bereit stellen.
Das Konfig Bundle schickt ihr dann der "Kunden-IT"
Ein Side to Site VPN würde ich da nicht aufziehen, denn eigentlich ist diese VPN Variante eher dafür da, um eigene Standorte zu vernetzen.
 
  • Gefällt mir
Reaktionen: Danielson
Mac_Leod schrieb:
Ein Side to Site VPN würde ich da nicht aufziehen, denn eigentlich ist diese VPN Variante eher dafür da, um eigene Standorte zu vernetzen.
Zum Vergrößern anklicken....
Wenn du das "eigene" streichst, wird ein Schuh draus.
Mac_Leod schrieb:
Ihr liefert dann die MAC Adressen der Geräte, welche auf den Dienst zugreifen dürfen.
Zum Vergrößern anklicken....
Die MAC Adresse der Geräte verlässt Layer 2 nicht. Also sinnlos.
Mac_Leod schrieb:
Der Kunde soll sich einen VPN-Server hinstellen, zb.: mit Wire Guard als Grundlage.
Zum Vergrößern anklicken....
Laut Problembeschreibung hat der schon etwas. Wieso also das nicht mitbenutzen? In 99.9% der Fälle ist hier IPSec vorhanden, weshalb site2site das richtige ist. BTW: auch bei wg wäre site2site das richtige. Wieso sollte man hier Roadwarrior wollen?
 
  • Gefällt mir
Reaktionen: Danielson
@foo_1337
Wie du schon selber festgestellt hast ist eine EINE Variante.
Warum sollte man das "eigene" Streichen?
Natürlich spielt die MAC eine Rolle, jenachdem wie die ACLs dafür geplant werden.
Das schon ein VPN besteht, wird hier nirgendwo erwähnt.
Es gibt soooo viele Firmen wo die Mitarbeiter im HO eben kein VPN verwenden :heul:
 
was spricht gegen sharepoint? (wenn es nur files sind und keine erp/crm system)
fritzbox = firma... mhm hört sich speziell an.
falls die ip range gleich ist auf beiden seiten, müsst ihr natten.
ich denke, die 1k euro solltet ihr in einen it dienstleister investieren. Da es sich hierbei um firmenzugänge handelt.
 
Danielson schrieb:
Es wird ein Produktivsystem des Kunden softwaretechnisch im Bereich React und Symfony / PHP weiterentwickelt. Das System ist beim Kunden vor Ort gehostet, sprich für den vollen Zugriff zur Software um daran entwickeln/testen zu können, benötigen alle Mitarbeiter Zugriff, also sowohl aus dem eigenen Büro heraus, als auch von den einzelnen Wohnorten der Mitarbeiter im HomeOffice.
Zum Vergrößern anklicken....
taockoao schrieb:
was spricht gegen sharepoint? (wenn es nur files sind und keine erp/crm system)
Zum Vergrößern anklicken....
Siehe oben.

Ich dachte, es gibt hier eine recht simple, preiswerte und einfache Lösung, aber wie es aussieht, scheint dem nicht so. Der Bedarf ist nur für 2-3 Monate gegeben, danach werden wir die Lösung wohl nicht mehr brauchen.
 
Und die Entwicklungsarbeit findet auf welchem System statt?
GitHub/Lab, SVN?
 
GitLab
 
Habt ihr schon eine VPN Lösung im Einsatz?
Also nur Firmenintern um auf die RZ/Büro Ressourcen zugreifen zu können?
 
Aktuell ist keine VPN Lösung vorhanden. (Also nur einmal eine CyberGhost Lizenz für paar GeoBlocking-Tests, aber die wird kaum genutzt).
 
und der Gitlab Server steht bei euch oder beim Kunden?
 
Der Server steht in diesem Fall beim Kunden, der Zugriff darauf ist aktuell nicht möglich.
Es wird deshalb vorerst lokal gearbeitet, bis dieses Thema hier geklärt ist.
 
Dann bekomm ich es in meinem Kopf nicht aufgelöst, warum du bzw. deine Firma sich um ein VPN kümmern soll/muss.

Normal baut dir die Kunden-IT die passende Lösung, welche dann per Client-Bundles an die betreffenden Personen verteilt wird.

Wenn du die "Kunden-IT Brille" aufsetzt, ist es doch das letzte was du als Kunden-IT`ler möchtest, dass "irgendwer" in meinem Kunden Netzwerk Anpassungen vornimmt.
Da es ein Gitlab und kein GitHub ist, nehme ich an, das es eine kleine Firma ist, mit wenig Mitarbeitern, und im besten Fall einem ITler?
 
  • Gefällt mir
Reaktionen: Danielson
Tja, das ist genau der Punkt, weshalb ich mich an euch gewandt habe.

Meiner Meinung nach ist das auch Sache des Kunden bzw. dessen IT. Wenn sie die Zugänge nicht erstellen wollen (warum auch immer, handelt sich ja nur um 3-5 Accounts) dann sollte das nicht unser Problem sein, dort eine Lösung zu basteln und dann zu verbinden.
Der Kunde selbst ist recht groß, aber nur mit kleinem eigenen IT Team.

Aber danke schon mal für die Bestätigung dessen, was ich mir dachte. Werde das dann so weitergeben :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz