Ordner-Freigabe & NAS-Zugriff über's Internet

Da Sinnvollste ist da VPN. Damit kannst du ne sichere Verbindung in dein firmennetz aufbauen und hast ab da die selben zugriffe und freigaben, als wärst du vor Ort.

FTP geht natürlich auch, eleganter ist aber VPN wenn auch aufwendiger.

In Ordnung. Das hatte ich mir schon gedacht, nur habe ich damit so ziemlich keine Erfahrung. Aber ich werd mich mal reinlesen und es ausprobieren. Vielleicht beschreibe ich ja hier alles, oder bekomme nochmal 'nen Tipp?  

Kommt drauf an, was du für budget hast, ich setzte ich Checkpoint ein, das funktioniert sehr gute und ist auch für den endanwender ziemlich benutzerfreundlich. es gibt aber auch freeware. dann kann ich dir aber spontan nichts empfehlen.

Wenn MS-Server im Einsatz sind kannst du mit jedem 2003 Server (außer SmallBusiness) jeden als VPN-Server einsetzen. Das ist kein großer Akt. Ist nicht viel mehr als eine DFÜ-Verbindung zu erstellen.

Finde das mitgelieferte VPN packet von MS nicht so sonderlich gut. aber gehen tuts.

Was willst du denn mehr als, dass es funktioniert?  

Also wenn ein MS Server zur Verfügung stünde, dann hätte ich das erwähnt. Ich bin schon länger am überlegen, ob ich diese Anschaffung vorschlage, aber es ist gegenwärtig nicht geplant noch weitere Rechner zu kaufen. Eher steht in den nächsten Jahren ein Umstieg auf MacOS an. Aber für den Moment schätze ich, sollte ich mich auf Freeware Lösungen konzentrieren, die nebenher auf einer der Workstations installiert werden könnte.
Es gibt einen Rechner auf dem im Moment die etwas sensibler Finanzsachen liegen. Aber die steuerlichen Sachen werden nur vorort an einem anderen Rechner erledigt. Zudem kommt ein NAS als Dateien-Storage daher, wo ich die sensiblen Daten eventuell noch ablegen würde um dann den Zugriff zum NAS über das Internet einrichten würde. Allerdings müsst ich da mal bezüglich der VPN Sache nochmal schauen. Es könnte da etwas eingebaut sein. Bisher hatte ich eher DDNS darauf gefunden, aber das ist mir zu umständlich, weil man einen Java-Webbrowser-Datei-Explorer hätte, wo man auch mit Up- und Download hantieren müsste. Das ist mir nicht praktikabel genug.
Was müsste man denn dann zu Hause einrichten? Eine Verbindung zu einem VPN gehört doch zu den gängigen Windows-Funktionen, auch in XP, nicht wahr?
#1: Workstations heißt in dem Kontext gerade, wenn ich etwas peinlich berührt (da Win 7 drauf läuft) prahlen dürfte, da sind nur aktuelle iMacs im Einsatz, aber kein extra Server. Es ist ein Gigabit LAN und ein Speedport 720 Router mit einer 16.000er DSL Leitung verhanden. Zu Hause sollte ebenfalls eine schnelle DSL Anbindung verhanden sein.
#2: Vom Budget her wären 200 EUR, sage ich mal, die Schmerzgrenze, wenn es Vorteile gegenüber Freeware Lösungen bietet.

Also wenn das Firmennetzwerk so klein ist, dass es ohne Server auskommt, dann würde ich stark zur FTP-Lösung tendieren. Man arbeitet dann allerdings nicht online, sondern muß die bearbeiteten Daten natürlich wieder hoch laden. Man könnte überlegen ob man mit "Offline-Dateien" arbeitet, diese würden sich beim nächsten eintritt ins Firmennetz wieder synchronisieren. Das ist aber eher eine Lösung für Notebooks die auch IN der Firma genutzt werden.

VPN-Verbindungen erstellt man wie DFÜ-Verbindungen (genau genommen ist es ja auch eine) und gehört zu Standardfunktionsumfang von Windows.

Hmm,
Also die Arbeit mit einem FTP-Server finde ich vom Linux her ganz O.K.
Ich meine auch, man könnte den FTP-Server in Windows ja so ähnlich einbinden. Ob man da auch Netzlaufwerke (wo die NAS Ordner auf den Workstations eingebunden sind) freigeben könnte?

Das von windows gebotene ist tunnelt halt "nur" übers SSTP und damit SSL 3.0. Checkpoint bietet z.B. IPsec was deutlich sicherer ist. Und so wie sich das bei euch anhört, hab Ihr keine DMZ in eurem firmennetzwerk. habt ihr ne vernünftige Firewall?

In jedem fall würde ich keinen FTP-server direkt ausm Arbeiter netz betreiben, das wäre mir zu unsicher.

Eine DMZ in einem Netzwerk ohne Server? Das würde mich schon stark wundern. Klar kann man großes Gerät auffahren. Und man soll per FTP ja auch nicht auf jeden Ordner zugreifen können! Wer genug kriminielle Energie aufbringt um einen FTP zu knacken (Dateien könnten immernoch separat verschlüsselt werden) der hat sicher größeres Interesse als eine kleine Firma. Generell gilt es aber selbstverständlich die Bedürfnisse nach Sicherheit. Verfügbarkeit und Komfort abzuwägen und danach zu entscheiden. Es ist ja nicht so als wäre FTP ein offenes Scheuentor...

Nein, besonders sicher ist das Netzwerk nicht. Es wird auch nicht viel wert darauf gelegt, dass ich mich damit mehr beschäftige. Da muss wohl erst was passieren. Im Grunde ist der Router alles, was zwischen Internet und Netzwerk steht. Der WLAN-Key wäre wohl die einfachste Möglichkeit um ins Netzwerk einzudringen. Da sind die Leute auch ziemlich unbelehrbar.
Meine Aufgabe dort ist eher nur Problemlösung, falls irgendwelche Schwierigkeiten aufkommen, dann werd' ich angerufen und verdien' mir ein bisschen was dazu. An der Zahl sind dort fünf Rechner, zwei für Auszubildende, einer für eine Ausgebildete und zwei für die Chefs. Jeder hat also seinen eigenen Rechner. Der mit den sensiblen Sachen ist nur mit dem Windows Kennwort geschützt. Die physikalische Sicherheit tendiert also auch gegen Null.
Es gibt bereits einen FTP-Server für Kunden und Partner, wo ab und an mal bestimmte Dateien raufgeschoben werden. Ansonsten ist noch ein Webserver verhanden mit dem ich etwas gearbeitet habe, bezüglich der Firmenwebsite. Und es ist ein DNS-Host eingerichtet, der den Umgang mit den Diensten etwas vereinfachen soll, ob nun FTP-, Webserver oder auch VNC, welches auf einigen Rechner läuft, damit die Chefs unterwegs mit ihren iPads auch das ein oder andere vorführen können.
Ich bin mit so einigen Lösungen sehr unzufrieden. Da gäbe es sicher noch einiges, was sehr im Argen liegt. Aber im Moment scheint mir das mit dem FTP-Server durchführbar.

Wenn das reicht, ok. Einziges problem ist, wenn mehrere leute an einer datei arbeiten entstehen ganz schnell mehrere daten stände, da kann schnell was verloren gehen.

Ja, da wird dann zur Not auf Skype zurückgegriffen, denke ich.
Auf jeden Fall tun sich aber hier neue Probleme auf. Das LG NAS verfügt zwar über eine FTP-Funktion, die ist aber nicht so einfach zu erreichen. Ich denke, ich habe alles, soweit wie es möglich gewesen ist, eingerichtet. Auch Port-Forwarding beim Router. Wenn ich jetzt aus dem Netz mit dem DNS-Host und dem entsprechenden Port zugreifen möchte, dann kommt zwar ein Login, aber wenn ich das bestätige, dann folgt nur ein Ladebildschirm, jetzt mal speziell mit dem Browser, weil ich es der Einfachheit wegen so getestet habe.
Das Problem könnte auf den Router zurückzuführen sein. Dieser unterstützt weder UPnP noch DMZ, womit die Einrichtung des FTP-Servers auf einigen Seiten beschrieben ist. Andererseits ist mir im Log des NAS aufgefallen, dass der User wegen 'SECURE VIOLATION' gekickt wird. Jetzt steh ich etwas auf dem Schlauch.

#1: Das mit der Secure Violation muss ich am Freitag nur irgendwie provoziert haben, denn es tritt nicht wieder auf. Aber ich bin heute, vorhin, noch ein Stückchen weitergekommen. Und zwar habe ich zufällig bei der Portumleitung mal den Standardport benutzt und gleichzeitig im NAS eingestellt gehabt. Da funktioniert alles einwandfrei. Blöderweise ist der Port schon reserviert für einen FTP-Server für Kunden und Partner, die sich an die Zugangsdaten schon gewöhnt haben. Jede Abweichung lässt das NAS aber nicht zu, und die FTP-Server auf dem NAS zu kombinieren, geht auch nicht, weil das Passwort für den Kundenserver zwei Zeichen zu kurz ist.
Ich hab jetzt mit dem Support von LG telefoniert. Zur Not müsste man gegebenenfalls den Router austauschen und einen anschaffen, der UPnP unterstützt. Das sollte das Proble eigentlich auch lösen.

Wenn du das ganze vernünftig machen willst, dann würde ich dir eine kleine Snoicwall empfehlen. Die ist auch entsprechend siche. Eine TZ100, vielleicht auch noch mit WLAN wenn du das brauchst. Wenn die Leute stationäre PCs habe, und auf den Remote-Arbeitsplätzen ebenfalls PCs vorhanden sind, dann kannst du (Windows vorrausgesetzt) dann ganz normal mit RDP arbeiten.

Also der Punkt Sicherheit steht, wie gesagt, eher hinten an. Es ist schon ausgemacht, dass man eventuell in einen neuen Router investieren würde, nur damit das mit dem Fernzugriff klappt. Ich habe schon überlegt da eventuell etwas selbst zu bauen, nur damit man ihn mit SSH aus dem LAN bequem und umfassend einrichten kann. Es gibt da vielleicht ja auch ganz gute Varianten auf dem Markt, müsste man mal schaun.
Aber ich möchte erstmal den LG Support eben loben, und zwar hat man mich heute privat zurückgerufen und noch eine Möglichkeit eröffnet. Und zwar gibt es noch eine Portrange, die mit im Router freigegeben werden müsste, um in Passive-Mode auf den FTP Server des NAS zugreifen zu können. Das hatte ich bisher vermisst. Ich fand nur Meckerthreads, sowohl bei LG als auch bei der Telekom in Bezug auf den Router.

Es geht um ein LG NAS N2B1. Der Router ist ein Speedport W722V. Die Firmware Version auf dem LG ist 2504. Da gibt es längst Aktuellere, aber darüber habe ich nicht gerade viel Positives gelesen. Das Ziel ist den FTP-Server des LG freizugeben, um Zugriff aus dem Internet auf die Dateien auf dem NAS zu erhalten. Über Standardport wäre das kein Problem, solange man in dem nicht UPnP und nicht DMZ fähigen Router, den Port 21 weiterleitet. Aber die Umleitung klappt womöglich nicht. Wegen dem Mangel an UPnP und DMZ des Routers ist es nicht möglich die DDNS Funktion des LG NAS einzurichten. Aber wenn der Router DNS unterstützt, kann man auch damit und mit dnydns.org arbeiten.
Wenn man nun den Port des FTP-Servers vom NAS darin ändert, beispielsweise auf 2121 oder 2122, dann funktioniert es mit Weiterleitung oder Umleitung garnicht mehr. Man kommt höchstens bis zum Login, dieser wird verifiziert, aber kurz darauf erfolgt dann ein Timeout. In diesem Fall kann es helfen, wenn man zusätzlich zum gewählten Port im Router auch noch die Portrange 55536-55664 freigibt. Das werde ich dann mal testen. Soweit eine Zusammenfassung für die Nachwelt, weil ich nach tagelangem Gesuche noch keine Lösung gefunden habe.