VPN auf Powerbook mit Windows Anmeldedomaene

[AhabDE]

Kann mir das mal erklären, was da genau gemacht werden muss (aufwände). und wie es mit der Lösung ist.....(einrichten meinerseits, Sicherheit, Zugriff auf was von aussen möglich ....)

1. 1000-2000 Fr ist wohl der reine Arbeitsaufwand des Admins, der hier wohl mit 1-2 Tagen Einsatz kalkuliert wird, bis die Lösung läuft. Je nach Lösung/Arbeitsaufwand/Test kann das gut sein.

2. Da du zuhause eine dynamische IP des WAN hast, ist es ja nach verwendeter Firmen-FW (?) aufwändiger, als wenn du eine feste, gleichbelibende WAN-IP hättest.
Der "Mehr"-Aufwand richtet sich sehr nach dem verwendeten FW-Produkt der Firma, z.B. FW kann nur statische Regeln benutzen oder auch dynamische, welche "Dienste" sind momentan überhaupt (über einen Proxy?) erlaubt, etc.
Da wir die Firmenlage nicht kennen, ist das erstmal Spekulation. Je "statischer" die FW ist, desto aufwändiger, bishin zu fast unmöglich ohne grosse Sicherheitslöcher aufzureissen.

3. Du brauchst prinzipiell zwei FW-Regel für die Firmen-FW:
3a. eine outgoing Regel, die von der festen IP des Firmen-PB einen Zugang über die Firmen-FW/Proxy auf die dynamische IP deines Homerouters auf die VNC-Ports erlaubt. Problem hier: deine dynamische IP, die ja immer als "Aktuelle" in die FW eingsetzt werden müsste. Das geht, ja nach FW und Aufwand, wird aber sicher keine Firma als vertretbar empfinden.
3b. eine incoming Regel, die prinziell die "Rück-Antwort" deines Homerouters über die Firmen-FW an deinen Arbeitsplatz erlaubt. Das ist je nach eingesetzter FW beliebig aufwändig, in der Regel aber weniger Aufwand als die Outgoing-Regel. Eine einfache Implementierung für 3b könnte sein: - erlaube alle "Rück-Antworten" prinzipiell, die authorisiert (mit Regel 3a) aus dem Firmen-Lan einmal erfolgreich initiiert worden sind. Regel 3b öffnet zwar die FW und ist somit natürlich ein (aber sehr kalkulierbares) Sicherheitsrisiko. Das Risiko lässt sich durch weitere incoming-Regeln sehr weit einschränken (für alle erlaubten eingehenden Pakete, nicht nur für dein Problem). Wie gesagt, die richtige Implementierung bedarf Kenntnis der Firmen-FW, deren Regelsetzung und genaue Planung deiner Lösung. Technisch machbar, aber Zeit/Arbeitsaufwand - letztlich wird dann nach Kosten/Nutzen/Risiko entschieden werden. Das grösste "Problem" wird hier deine dynamische WAN-IP zuhause sein bzw diesen Part sicherheitstechnisch einzugrenzen wird der grösste Aufwand sein.
Ist jetzt mal technisch einfach und theoretisch gesprochen, aber alles andere würde jetzt wesentlich mehr technische Kenntnis eures Firmennetzes/FW/Proxy verlangen.

 

[jensche]

Danke für die Antwort. Wie würde das dann aussehen wenn ich eine festen IP zu Hause hätte. Wie wäre da der Aufwand, sprich.... welche einstellungen müssten seiten der FW und Router im Geschäft getätigt werden. und wie siehts dann mit der Sicherheit aus?

Die ganze VNC geschicht würde ich machen, in meiner Freizeit... testen usw.....

 

[AhabDE]

Eine feste WAN-IP zuhause erleichert natürlich die Outgoing-Regel der Firmen-FW, da die Regel ja die "Öffnung" auf eben jene einzige, feste IP festzurrt. Ist natürlich sicherer,weil eindeutiger, als eine Öffnung auf "alle möglichen" WAN-IPs zu erlauben. Es gibt ISPs, die feste IPs für Kunden anbieten, meisten im rahmen eines Businessaccounts, es gibt andere ISPs mit dynamischen IPS, die aber nicht zwanggetrennt werden und du somit - zumindestens über längerer Zeiträume - eine quasi feste WAN-IP hast.
Prinzipell kann man also sagen, je "fester" (zeitraummässig) und eindeutiger (keinen Änderungen unterworfen) deine WAN-IP ist, desto "einfacher" ist die Outgoing-Regel der FW und desto "sicherer" für die Firma.

Es gibt noch (mindestens) zwei weitere Möglickeiten, dein Problem anzugehen.
1. Eine VPN-Verbindung, die idealerweise vom Homerouter in die Firma initiert wird (Stichwort ist hier Roadwarrior-VPN Methode über dynamische IP), die aber nun auch von den technischen Gegebenheiten und Möglichkeiten der Firma und den auftretenden Zeitaufwänden abhängt. Habt ihr bisher keinen Firmen-VPN-Zugang, dann wird das hier mit 99,999999% auscheiden.
2. die von mir schon gestellte Frage, inwieweit Maya-Jobs sich nicht auch
a) zeitgesteuert (mit bordinternen Mitteln) triggern lässt.
b) scriptgesteuert (z.B. über Unix-shellscripte) triggern lässt.
Wann ja, sind diese Aufwände sehr viel einfacher zu lösen, als dein "remote desktop" aus der Firma Problem.

 

[jensche]

Besten Dank für die Antworten.

Das ganz wird nun doch etwas sehr kompliziert und kostenaufwändig. ich werde halt doch um ein Rendering zu starten kurz ins geschäft gehen müssen.

Wenn das ganze viel einfacher gewesen wäre.... hätte ich versucht so eine Lösung via VNC zu machen.... das das ganze nun viel zu kompliziert ist, werde ich es nicht machen. Schade.

 

[jensche]

ich denk es wäre schon möglich Maya mit scripten zu triggern..... Doch da weiss ich viel zu wenig darüber.