Bis jetzt habe ich mich mehr oder weniger Frust mittels VPN und SymconConnect durchgeschlagen.
Letztendlich war beides nicht richtig befriedigend bzw. umständlich in der Handhabung. Die Hauptanwendung ist Zugriff aus der Firma, dort ist aber vieles gesperrt und die Admins bringen die „Workarounds“ immer wieder ins schleudern .
Da ich nun eine fixe IP besitze möchte ich einen neuen Versuch starten.
Aktuelle Konfiguration:
im SynologyNAS ist ein ReverseProxy der mir „myIPS.myDomain.com“ der auf IPSSERVER:3777 umlenkt.
IPS ist gemäß den Sicherheitsregeln der Doku konfiguriert.
Reicht das, oder bietet der Weg über Connect durch die Tunnelgeschichte noch zusätztliche Sicherheit ?
Gibt es eine denkbare Option um BruteForce Atacken auf das passwort zu verhindern ? evtl. nicht unbedingt in IPS.
Falls nein wäre das doch ein wichtiger Feature Request.
Was war denn am Symcon Connect umständlich oder unbefriedigend?
Im Prinzip hat du keine größere Sicherheit, wenn du für deine neue SSL Verbindung auch ein gültiges Zertifikat für deine Domain hast. Du kannst IPS übrigens mit einem WebServer auf Port 443 mit SSL Zertifikat direkt ausstatten. Dann sparst du dir den Reverse Proxy.
Brute-Force Attacken sind ab IP-Symcon 4.4 übrigens eher unmöglich. Siehe hier: IP-Symcon Community Forum
Naja, aus der Firma brach die Verbindung nach dem Aufruf von einigen Seiten immer wieder ab.
Ich gaube aber nicht das Connect an sich daran schuld ist, sondern die div. DMZ,Proxys,Filter und was weiß ich alles das
unsere Admins dazwischengschaltet haben.
Irgendwann hatten wir uns auch darüber unterhalten, sind aber zu keiner Lösung gekommen.
Von „normalen“ Inetzugängen funktionierte es jedenfalls tadellos.
Mit der jetzigen Lösung ghet es auch aus der Firma sauber.
Tippfehler, oder ?
Den ReverseProxy hab ich das ich auch noch andere (nicht IPS) Dienste über Port 443 erreichbar mache.
Wenn jetzt Port 443 bei dir geht würde ich VPN über SSL machen (zB OpenVPN). Damit hat man viiiel mehr Sicherheit als bei Connect. Denn bei Connect kann jeder die URL aufrufen…auf dein VPN kann nicht jeder…
Ich formuliere anderes: Sofern deine Verbindung bis zu IP-Symcon sauber per SSL verschlüssel ist (mit einem korrekten Zertifikat!), dann ist die Lösung gleich sicher wieder Connect, da die Verbindung durchgehend verschlüsselt ist.
@paresy: Danke alles klar. @Chris: Mit VPN hab ich lange rumgemacht. Hat aber zwei Probleme: Ich darf am Firmenrechner nix installieren, und es braucht wieder einen passenden Rechner für den VPN Server.
am IPS Rechner hab ich aber konsequent NUR IPS laufen
am NAS gibts nur bestimmte VPNs
an der Fritzbox wieder nur andere VPNs
das eine VPN mag keinen Win Client, das andere kein WinPhone, das nächste kein Android, das übernächste ist veraltet…
Irgendwas zickte immer irgendwo.
Wenn nicht bei mir, dann am Handy meiner Frau.
Du könntest dir auch einen Raspberry hinstellen der VPN Server (vlt gleich noch mit PiHole koppeln g) spielt.
Schau dir mal OpenVPN ein wenig genauer an…wenn es mit etwas auf allen Clients und vlt auch als Portable (ohne Install) klappt, dann damit. Und da könntest den Port auch auf 80 machen, wenn es sein muss g
Oooooder gleich eine richtige Firewall wie Sophos, da hast du alle VPN Varianten und noch vieles mehr in einem „Paket“ Inkl. Reverse Proxy, Webserver-Protection, Mail-Gateway, DNS, und und und
>> Keine Sorge, habe nicht vor euch wieder regelmäßig hier zu nerven
Chris, ich verstehe schon das ein ordentliches VPN das Optimum währe.
Es ist ja nicht so das ich es nicht probiert hätte, auch das von dir favorisierte OpenVPN.
Aber um das auch so hinzukriegen das es eben nicht bei jeder Gelegenheit zickt fehlt mir auch ein wenig das KnowHow und -das gebe ich ehrlich zu- auch die Bereitschaft mich damit so intensiv zu beschäftigen wie es notwendig wäre um es auch dauerhaft zu beherschen. IT Security ist für mich eher ein notwendiges Übel denn ein Hobby.
Vor diesem Hintergrund finde ich ein 99% sicheres System welches man auch versteht besser als ein 99.99% sicheres welches man aber nicht beherscht.
schau ma mal, hab ja keine Bank hier welche Hochsicherheit benötigt.
bb
.
Inkl. Reverse Proxy, Webserver-Protection, Mail-Gateway, DNS, und und und 
