VPN zu Windows Server

  • Guten Abend zusammen,


    ich bin auf der Suche nach einer Lösung, um eine Sichere Verbindung zu einem bei Netcup gehosteten Server herzustellen. Auf dem Server soll Lexware Business pro laufen. Dieser Serveranwendung benötigt http und CIFS freigaben. Diese möchte ich ungern öffentlich ins Internet hängen.


    Wie habt ihr eine VPN Lösung umgesetzt bei Netcup?

  • Also ich habe das so gelöst, dass der Windows-Server nicht direkt am Internet hängt, sondern noch ein kleiner Server (z.B. einer von denen hier) mit OPNsense davor steht. Für die Kommunikation zwischen den zwei Servern verwende ich einfach das vLAN Free.

    Für RDP muss ich mich erstmal mit WireGuard zur OPNsense verbinden.

    Du könntest WireGuard dann entweder auf dem Windows-Server oder – finde ich persönlich besser – auf der OPNsense einrichten.


    Auch wenn du keinen extra Server davor stellen möchtest (was aber durchaus mehr Sicherheit bringt und viele hier im Forum beruhigen wird), würde ich dir WireGuard empfehlen. Ist sehr einfach einzurichten und aktuell State-of-the-Art.

    Halbwegs moderne Fritzboxen können übrigens auch WireGuard. Du könntest damit dann die Verbindung zu deinem Server herstellen und so könnten alle Geräte in deinem Netzwerk ohne eigene VPN-Verbindung auf deinen Windows-Server zugreifen.


    Ich habe außerdem ein paar Mal hier im Forum gelesen, dass es mit der Lizenzierung von Windows hier bei netcup schwierig wird. Wollte ich nicht unerwähnt lassen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 3 Happy Duck 1
  • .

    ...

    Auch wenn du keinen extra Server davor stellen möchtest (was aber durchaus mehr Sicherheit bringt und viele hier im Forum beruhigen wird), würde ich dir WireGuard empfehlen. Ist sehr einfach einzurichten und aktuell State-of-the-Art.

    Halbwegs moderne Fritzboxen können übrigens auch WireGuard. Du könntest damit dann die Verbindung zu deinem Server herstellen und so könnten alle Geräte in deinem Netzwerk ohne eigene VPN-Verbindung auf deinen Windows-Server zugreifen.

    ...

    Der Aussage/Empfehlung von Virinum schließe ich mich an.

    Habe vor einiger Zeit von hausinternen Servern auf vServer bei Netcup umgestellt. Auf diesen vServern sind ALLE Ports zu gemacht, wodurch diese von AUßEN nicht erreichbar sind. Auf den vServern läuft Wireguard, welcher zu unserer Fritzbox die Verbindung aufbaut. Durch eine Art Watchdog wird diese Verbundung auch nach der Zwangstrennung der Fritzbox aufrecht erhalten, ggf. wieder aufgebaut.

    Alle vServer sind für alle hinter der Fritzbox erreichbar als würden diese im eigenen Haus stehen.

    Smartphone und Tablet haben auch einen Wireguard Tunnel zu unserer Fritzbox. Hier durch haben diese, auch extern über unsere Fritzbox, Zugriff auf die vServer.

  • ...

    Schade, dass Netcup hier kein VPN-Service und Firewall hat, welche man entsprechend konfigurieren kann.

    ???
    Du installierst UFW und Wireguard (Linux Host).
    UFW ist "fast" selbsterklärend und Wireguard läßt sich fas genauso leicht einrichten.

    Aber warum "sooo" kompliziert?
    Wenn du einen Windows Server hast, dann mach den nach außen ganz zu.
    Dann kommt da ein Wireguard Client drauf, der zu deiner Fritzbox einen VPN aufbaut. Die Konfiguration geht rel. leicht über die Fritzbox GUI.

    Die Config muss noch etwas angepasst werden, damit der Tunnel in beide Richtungen funktioniert. Aber auch das ist kein Teufelswerk.

  • Aber warum "sooo" kompliziert?

    Ne separate Firewall lässt mich auch immer ruhiger schlafen. Ich hoffe netcup führt da irgendwann mal was zu ein. Gewünscht wird sich das schon lange von einigen hier im Forum.

    Bei Linux habe ich da noch ein ganz gutes Gefühl UFW zu verwenden (bis auf Docker, das standardmäßig in der Firewall rumpfuscht). Bei Windows… naja. Ich kann’s nicht genau begründen, aber gefühlt pfuscht mir Windows selber zu viel darin rum.


    Und aktuell bin ich mit meiner OPNsense-Lösung ganz happy. Einmal per VPN verbunden komme ich an alle meine Server. Auch an die, die nicht bei netcup sind, weil diese sich zur OPNsense verbinden.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Daher habe ich meinen Windows Server nicht mehr bei Netcup, sondern beim roten H. Dort gibt es eine einfache, stateless Firewall zu jedem Server, bei der ich den RDP Port, die SMB Ports und alles was sonst noch relevant wäre geblockt habe.


    Ich greife darauf via Tailscale · Best VPN Service for Secure Networks (basiert auf Wireguard) zu, darüber kann man dann alles was benötigt wird SICHER machen (HTTP(s), RDP, SMB, etc.). Und die Verwaltung der Leute / Rechner / Netze, die darauf zugreifen können ist mit der Tailscale Admin Oberfläche sehr einfach möglich. Bis zu 100 Geräte sind kostenfrei drin, das sollte für die meisten Anwendungsgebiete ausreichen. Controllerbasierte VPNs sind einfach so viel einfacher zu verwalten als manuelles VPN.


    Alternativen: NetBird - Connect and Secure Your IT Infrastructure in Minutes (selbsthostbar, basiert auf Wireguard), ZeroTier | Global Area Networking (selbsthostbar, eine OSI Schicht tiefer, daher gehen auch Broadcasts etc.).


    Es gibt wirklich nur bei Netcup die Notwendigkeit, das mit zwei Servern zu regeln. Die relevanten anderen Verdächtigen bieten einfache Firewalls schon lange an. Netcup ist hier hinten dran.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Naja gut, geb mich geschlagen.
    Windows als Server hatte ich noch nie etwas von gehalten (sorry).

    Bei den Clients bin ich durch die CAD Software an Windows gebunden.


    Nach über 30 Jahre Linux sicherlich auch verständlich.