murcielago
Dr. Doom
|
Hi,
- Büro mit 3 Mitarbeitern vor Ort, Möglichkeit für Home Office
- Windows Server 2016 als DC (AD)
- neue HW-Firewall gesucht, die alte ist out of support
Wichtig: es sollte die Möglichkeit bestehen, sich direkt über VPN am AD anzumelden, aktuell sind auf den Home Office PCs beim Loginscreen 2 Eingabemöglichkeiten vorhanden (1x Windows, 1x VPN), d.h. er verbindet sich dann gleich richtig.
Irgendwelche Empfehlungen mit max. Preis von 500€?
tia
|
COLOSSUS
AdministratorGNUltra
|
Ich wuerd mir EXTREM GUT ueberlegen, ob ich wirklich mein VPN mit dem AD verbandelt haben will, und mit den Credentials (oder auch sowas wie unauthenticated RCE) in dem einen den Freifahrtschein in dem anderen zu haben.
Alles was nur irgendwie geht zentral zu verwalten und unbedingt administrativ zusammenzuschalten ist mit die Ursache der Misere, in der die "IT-Security-Posture" der Gesellschaft sich befindet.
|
voyager
kühler versilberer :)
|
Eine Idee (kommen sicher noch andere): Unifi
- VPN per Wiregiuard (One Click), gibts Windows, iphone,..... clients
- AD User können für den VPN und Wlan zugang genutzt werden (per Identity). so hat man keine 2 zugangsdaten zu verwalten
- Firewall können sie auch, mit kostenpflichtiger Option (nach wunsch) für mehr features, trotzdem bezahlbar.
UDR7 (der neue R2D2) kostet 300€ brutto, Wlan Integriert. Oder UCG Ultra + getrennter AP, preislich ähnlich.
|
erlgrey
formerly known as der~erl
|
Opnsense, kann man sich ja auch als appliance holen.
|
murcielago
Dr. Doom
|
Ich wuerd mir EXTREM GUT ueberlegen, ob ich wirklich mein VPN mit dem AD verbandelt haben will, und mit den Credentials (oder auch sowas wie unauthenticated RCE) in dem einen den Freifahrtschein in dem anderen zu haben.
Alles was nur irgendwie geht zentral zu verwalten und unbedingt administrativ zusammenzuschalten ist mit die Ursache der Misere, in der die "IT-Security-Posture" der Gesellschaft sich befindet. Hi, danke - nein, das meinte ich nicht, VPN soll eigene Userverwaltung haben, es geht mir nur darum, dass sich Windows im Home office am AD anmelden kann direkt beim Start - oder meinst du das ist auch "gschissn"? @voyager, siehe oben. Vielleicht war ich auch noch zu unkonkret, will möglichst "auf der sicheren Seite" sein (was Updates usw betrifft), ist wie gesagt nur eine Minibude. edit: so sieht das aktuell aus beim login  und wenn wir schon dabei sind, wär auch cool, wenn es MFA unterstützen würde im VPN. (mittels irgendeiner authenticator app)
Bearbeitet von murcielago am 09.10.2025, 08:42
|
voyager
kühler versilberer :)
|
@voyager, siehe oben. muss man ja nicht verbandeln. (hatte ich wohl falsch raus gelesen) Das shrew Soft ding ist aber auch hoffnungslos veraltet, 2013 das letzte Update und was willst du remote überhaupt? nur auf Daten zugreifen, oder "vollen" Remote Desktop?
|
murcielago
Dr. Doom
|
Das shrew Soft ding ist aber auch hoffnungslos veraltet, 2013 das letzte Update thats the whole point  und was willst du remote überhaupt? nur auf Daten zugreifen, oder "vollen" Remote Desktop? es geht im groben darum, direkt nach dem login schon auf die netzlaufwerke zugreifen zu können. deswegen ist wichtig dass mit dem login schon die vpn verbindung hergestellt wird.
|
spunz
ElderElder
|
|
Viper780
ElderEr ist tot, Jim!
|
Bei solchen Themen schlagen zwei Herzen in meiner Brust.
Der Anwender der alles einfach haben will und sich am besten nie authentifiziert
Der sicherheitsaffine Nerd dem beim Wort MS AD schon der kalte Schweiß ausbricht.
Etwas größer gedacht:
Windows Server 2016 wird noch ein gutes Jahr mit Patches versorgt. Wie gehts dann bei euch weiter?
Kommt ein 2025er Server oder gehts in Richtung Microsoft 365 und Microsoft Azure?
Evtl kennt DAO da Lösungen um 500€
So eine Check Point Quantum Spark 2530 sollte alles können was du suchst.
|
Probmaker
1.0.0.721
|
relativ einfach in der konstellation ist sicher "irgendein" Unifi Gateway (UDM-SE, UDR7,...) mit OpenVPN + Authentifizierung gegen das AD.
MFA ist in der kombination schwierig zu implementieren, weil du bei der OpenVPN implementierung von unifi das reneg-sec nicht konfigurieren kannst und dadurch alle 60 minuten ein auth reqeust gefeuert wird. wenn der nicht bestätigt wird (MFA) dann bricht die verbindung ab.
warum ist es wichtig VPN schon vor windows logon zu aktivieren?
wireguard wäre in kombination mit unifi natürlich auch ein thema. funktioniert technisch und der usability (kein PWD, kein MFA) halt komplett anders und die distribution der profile ist ganz anders als bei openvpn. kann je nach usecase (wechselnde clients, trust der mitarbeiter, bitlocker,...) funktionieren, oder eben eher nicht so gut sein.
|
murcielago
Dr. Doom
|
Jede Lösung mit OpenVPN. Es würde sich ggf anbieten das ganze noch mit einer simplen 2FA Lösung zu verbinden (yubikey,..).
https://support.openvpn.com/hc/en-u...ing-OpenVPN-GUI Danke!! Hast du zufällig auch in Gerät welches du empfehlen könntest? Bei solchen Themen schlagen zwei Herzen in meiner Brust.
Der Anwender der alles einfach haben will und sich am besten nie authentifiziert
Der sicherheitsaffine Nerd dem beim Wort MS AD schon der kalte Schweiß ausbricht.
Etwas größer gedacht:
Windows Server 2016 wird noch ein gutes Jahr mit Patches versorgt. Wie gehts dann bei euch weiter?
Kommt ein 2025er Server oder gehts in Richtung Microsoft 365 und Microsoft Azure?
Evtl kennt DAO da Lösungen um 500€
So eine Check Point Quantum Spark 2530 sollte alles können was du suchst. Thx, ja, der Server wird auch gleich auf 2025 upgedatet, das ist geplant. (nix azure) und bzgl sicherheitsaffin, es wird nicht mit dem AD User das VPN hergestellt, wie erwähnt. Keep in mind: ist eine 2,5 Mann Bude, wo eigentlich der Server schon fast overkill ist, ist aber halt so. relativ einfach in der konstellation ist sicher "irgendein" Unifi Gateway (UDM-SE, UDR7,...) mit OpenVPN + Authentifizierung gegen das AD.
MFA ist in der kombination schwierig zu implementieren, weil du bei der OpenVPN implementierung von unifi das reneg-sec nicht konfigurieren kannst und dadurch alle 60 minuten ein auth reqeust gefeuert wird. wenn der nicht bestätigt wird (MFA) dann bricht die verbindung ab.
warum ist es wichtig VPN schon vor windows logon zu aktivieren?
wireguard wäre in kombination mit unifi natürlich auch ein thema. funktioniert technisch und der usability (kein PWD, kein MFA) halt komplett anders und die distribution der profile ist ganz anders als bei openvpn. kann je nach usecase (wechselnde clients, trust der mitarbeiter, bitlocker,...) funktionieren, oder eben eher nicht so gut sein. danke auch dir  das klingt alles sehr nach overkill. vpn vor logon ist nur wichtig dass die netzlaufwerke auch gleich da sind, don't ask
|
Viper780
ElderEr ist tot, Jim!
|
Keep in mind: ist eine 2,5 Mann Bude, wo eigentlich der Server schon fast overkill ist, ist aber halt so. Genau deshalb habe ich wegen dem Server gefragt. Sehr viele, auch größere, gehen dann in die Cloud mit "full ms365" oder google workplace. Wo man sich die Administration und das Netzwerkthema komplett spart. In der Klasse gibts die genannte Check Point Quantum, Sophos oder FortiGate 40F Ein kleiner Unifi Gateway mit VPN, WiFi und Firewall tuts genau so. Das Thema "Windows Start Before Logon" (SBL) geht eigentlich mit allem und ist eine Windowsfunktion. Bei allem was Wireguard basiert ist, hat man halt keine klassischen Zugangsdaten mehr sondern ein Zertifikat. Wenn dass wem anderen in die Hände fällt (Notebook gestohlen, kein Bitlocker verwendet) kommt der auch rein.
|
InfiX
she/her
|
Keep in mind: ist eine 2,5 Mann Bude, wo eigentlich der Server schon fast overkill ist, ist aber halt so. geh bitte wir haben ein ganzes 42HE rack (etwas spärlich befüllt, aber das ist ja ned relevant )
|
Probmaker
1.0.0.721
|
bei dem usecase würd ich einfach zu 100% zu ms365 wechseln und die daten in onedrive ablegen.
falls nicht, dann eben mit einem unifi gateway.
|
InfiX
she/her
|
bei dem usecase würd ich einfach zu 100% zu ms365 wechseln und die daten in onedrive ablegen. wenn ich sowas in einem tech forum les, werd ich gleich a bissl traurig  ich geb mal wieder meine obligatorische empfehlung für Omada ab, k.a. wieso das neben Unify so gut wie nie in einer diskussion erwähnt wird.
|
Anmeldung