meerkat 10 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Hallo zusammen, vielleicht weiß jemand rat. Ich habe in einer Steuerkanzlei, welche zum Jahreswechsel Datev eingeführt hat, das Problem einen VPN Tunnel zu etablieren. Mit der bisherigen Steuersoftware war dies kein Problem, da hier nicht der gesamte Internetverkehr durch ein Hauseigenes Rechenzentrum (Datev) gejagt wurde. Die neue Konstellation sieht aus wie folgt: Thin-Clients greifen per RDP-Session auf einen Windows Server 2003 (WTS) zu. Weiter befindet sich ein zweiter Windows Server 2003 im Netz welcher sowohl als Datenbankserver fungiert, als auch den von Datev bez. Kommunikationsserver (AVM Access Server & AVM Ken) bereitstellt. Aber ich glaube das wissen die Personen die mit Datev zu tun haben, besser als ich. Der Zugang ins Internet erfolgt über einen VPN Router. Im Kommunikationsserver sind zwei Netzwerkkarten. ETH1 kommuniziert mit dem lokalen Netz ETH2 kommuniziert mit dem Router Der Komm.-Server baut über den Router eine VPN-Strecke zur Datev auf und routet alle Verbindungen durch dieses System hindurch. Bisher wählte sich der Steuerberater oder ich über den VPN Client ein und der Zugriff auf das Netz war gegeben. Durch den sog. "Adapterschutz" der durch das Datev System initiiert wird, ist zwar eine Einwahl auf den Router möglich, jedoch keine Kommunikation mehr mit dem Server der an ETH2 dranhängt. Datev unterbindet dies. Meine Idee ist nun ein Netzwerkkabel vom Router direkt an den Switch des internen Netzes zu hängen, und dem Terminalsserver eine zweite IP-Adresse aus dem Router-NW zu verpassen. Dann wird der gesamte Datev-Zugang umgangen und ein Zugriff sollte wieder möglich sein. Hat dies schon mal jemand so ausprobiert oder einen alternativ Vorschlag? Dann gibt es aber wohl noch ein Problem. Der Steuerberater hat eine zweite Kanzlei ebenfalls mit Datev. Von dieser aus möchte er sich mit einem PC in das oben umschriebene Netzwerk per VPN-Client einwählen. Weiß jemand ob die Datev generell fremde VPN Zugänge durch ihr "Datevnet" zulässt oder hängt dies von der Software ab? Im Vorraus schon einmal besten Dank. Meerkat Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Hallo zusammen, Die neue Konstellation sieht aus wie folgt: Der Komm.-Server baut über den Router eine VPN-Strecke zur Datev auf und routet alle Verbindungen durch dieses System hindurch. Im Vorraus schon einmal besten Dank. Meerkat Also das sollte doch eigentlich nicht sein. Es sollten durch den Tunnel nur die für DATEV bestimmten Dinge geroutet werden und nicht ALLES. Überlicherweise stellt ein VPN-Tunnel eine Verbindung zwischen 2 Netzwerken her. Ebenso üblicherweise werden nur Anfragen an das externe Netzwerk über den Tunnel geschickt. Alle anderen sollten im lokalen verbleiben bzw. ins I-Net gehen. Zur Sicherheit nochmal nachgefragt: Baut der Router den Tunnel auf oder die Komm-Software ? Greetings Ralf Zitieren Link zu diesem Kommentar
meerkat 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Hallo Ralf, doch das ist so. Im Normalfall existiert auch der besagte Router in einer sauberen Datev-Umgebung nicht. Der Server selbst baut dann die DSL-Verbindung direkt auf und der VPN Tunner wird darüber gelegt. Anfragen die jetzt nicht die Datev betreffen werden durch das DatevNet in Nürnberg geroutet, und erst dann ins Internet. Dies soll die Sicherheit für die Steuerkanzleien erhöhen, da sämtlicher Datenverkehr geprüft wird. Auch jetzt baut Software auf dem Server (AVM Access Server) den Tunnel auf. Grüße Meerkat Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Okay, das ist neu für mich. Kenne mich mit DATEV aber auch nicht wirklich aus. In den Zeiten, wo ich mit DATEV zu tun hatte, wurden noch Datenträger ausgetauscht :D. Also halte ich mich ma raus da ;). Ich denke The Spawn kann was dazu sagen, der hat meines Wissens nach Erfahrung mit. Werde Ihn ma anhauen deswegen. Greetings Ralf Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Du hast gleich mehrere Möglichkeiten Dein Problem zu lösen: 1: Du legst Dir von DATEV die Software Telearbeit VPN zu. Einmal als Client zu den Mobilen Usern und einmal als LAN Kopplung zu dem 2. Standort. Kostet allerdings ein paar Euro ist allerdings eine fertige Lösung von Datev die übers Rechenzentrum verwaltet wird (mit ein paar Einschränkungen, das z.B. auf dem mobile Client kein lokales Internet mehr funktioniert). 2.: Ich weiss nicht genau was Du für einen Router hast... Ich habs mit Lancom Routern schon so gemacht das ich einfach 2 interne Schnittstellen am Router so programmiert habe, dass eine auf die Karte im Komm-Server geht und eine ins "normale" Kanzleinetz geht und diese dann zur VPN Einwahl benutzt wird. So kann von aussen das Datevnet-Plus umgangen werden. Die Lösung mit einfach ins lokale Netz hängen kannst Du vergessen danach wird die Verbindung zu Datev nicht mehr funktionieren....und weiterhin wird auch kein VPN eines anderen Herstellers durch den VPN funktionieren. Ganz einfach gesagt: Wie soll ein VPN durch einen VPN-Tunnel aufgebaut werden?! Wenns noch ausführlicher sein soll, sag Bescheid.... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Warum nicht mit separaten Zugängen ? Zitieren Link zu diesem Kommentar
meerkat 10 Geschrieben 13. Januar 2009 Autor Melden Teilen Geschrieben 13. Januar 2009 2.: Ich weiss nicht genau was Du für einen Router hast... Ich habs mit Lancom Routern schon so gemacht das ich einfach 2 interne Schnittstellen am Router so programmiert habe, dass eine auf die Karte im Komm-Server geht und eine ins "normale" Kanzleinetz geht und diese dann zur VPN Einwahl benutzt wird. So kann von aussen das Datevnet-Plus umgangen werden. Die Lösung mit einfach ins lokale Netz hängen kannst Du vergessen danach wird die Verbindung zu Datev nicht mehr funktionieren....und weiterhin wird auch kein VPN eines anderen Herstellers durch den VPN funktionieren. Ganz einfach gesagt: Wie soll ein VPN durch einen VPN-Tunnel aufgebaut werden?! Wenns noch ausführlicher sein soll, sag Bescheid.... Hallo SFHE, danke für die Info´s. Der Telearbeitsplatz ist aufgrund der vorhandenen VPN-Funktionen des Routers nicht gewünscht. Vielleicht habe ich mit mit der Router Verbindung missverständlich ausgedrückt. So wie du es umschreibst eine interne Schnittstelle zum Kommserver, eine zweite direkt ins interne Netzwerk, so wollte ich es auch realisieren. Aber den dritten Abschnitt habe ich jetzt nicht verstanden. Der KommServer baut durch den Router hinweg einen VPN Tunnel nach Nürnberg zu den "Genossen" auf. Und der Steuerberater von außerhalb einen zum Router und umgeht über die oben umschriebenen Methode den Kommserver. Weißt du ob evtl. ein VPN Tunnel von seiner anderen Kanzlei durch das Datevnetz möglich ist? (siehe letzter Abschnitt in meinem ürsprünglichen Posting) Gruß Meerkat Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 13. Januar 2009 Melden Teilen Geschrieben 13. Januar 2009 Nein das wird nicht möglich sein.... da Datevnet ja schon ein VPN Tunnel ist. Von der anderen Kanzlei hast du nur die Chance über den zweiten internen Port das ganze direkt nach aussen. Ich gehe mal davon aus das du ein internes Netz 192.168.0.X hast Das ganze sollte dann so aussehen das du am Kommserver-Port des Routers die IP 192.168.5.X vergibst und an einem anderen internen Port des Routers die 192.168.0.X Es muss dann noch im Router eingestellt werden das bei VPN Einwahl auf das interne Interface weitergeleitet wird. So hat jeder VPN seinen eigenen Weg... Welchen Router benutzt Du und welche IP's werden am Kommserver gehandelt.... vielleicht kann ich da ein wenig genauer sagen was eingestellt werden muss... Zitieren Link zu diesem Kommentar
kleing 10 Geschrieben 17. Juni 2009 Melden Teilen Geschrieben 17. Juni 2009 Hallo SFHE habe ein ähliches Problem mit DATEVnet. Wie Du vieleicht weisst is per DATEVnet kein RDP möglich. Dies wollen wir umgehen, wir haben eine Tuxguard Robo 100, haben nun die Internetgeschichte über diese ROBO laufen. Kommsrv hat 2 Netzwerkkarten intern und extern Intern ist 192.168.100.0/24 Extern ist 10.10.10.0/24 Internet funktioniert, Datev funktioniert auch. Die ROBO hat auch zwei IP Adressen einmal eth1:0 192.168.100.254 und eth1:1 10.10.10.10 Habe auch im AVM Accsess Server den Eintrag lokale route 10.10.10.10 eingetragen. Bekomme leider keinen ping nach 10.10.10.10 aber klar 192.168.100.254 geht. Leider komm ich auf keinen PC per RDP über extern (Zuhause)drauf, obwohl die alle die freigaben haben. Portforwarding ist auch richtig eingestellt. NAT is auch sauber drinn. Muss ich nochwas beim Kommserver bzw AVM Accsess Server oder AVM Ken einstellen? DATEV sagt hier, wir bekommen keinen support wir könnten ja datev telearbeitsplatz nehmen dies wollen wir aber nicht. Für jede hilfe und Anregungen bin ich sehr dankbar. LG Gerhard Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 17. Juni 2009 Melden Teilen Geschrieben 17. Juni 2009 Nur zum Verständnis: Du willst aus der Kanzlei aus direkt per RPD auf einen PC zu Hause (oder wo auch immer) zugreifen oder umgekehrt? Bei ausgehendem Verkehr hast du wenig Chancen. Die Anfrage oben dreht sich ja um eingehenden Verkehr.... Zitieren Link zu diesem Kommentar
kleing 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Nur rein mehr will ich net Also von zuhause nach firma Danke im voraus Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Der Router muss zwei separate Netzwerkanschlüsse mit unterschiedlichen IP`s haben.. Auf dem einen Interface gehst Du mit der zweiten NIC vom Kommserver (10er Netz) und die andere hängt an Deinem Switch im Netzwerk mit einer IP aus dem Kreis....(192.168...) Wobei auch zu bendenken ist, dass ein VPN eine durchaus feine Sache ist um gerade bei Steuerberatern und Rechtsanwälten den Traffic zu verschlüsseln, aber das ist ja Dein Bier! Zitieren Link zu diesem Kommentar
kleing 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Genau ist es so Die ROBO Tuxguard kann ich ja eine Netzwerkkarte zwei ip geben, eine ist 10.... und eine ist 192... Soweit funktionierts, aber ich kann aber leider die 10.10.10.10 nicht aus dem Netzwerk pingen obwohl ich die NAT für alle beide freigeschaltet habe. Ich bekomm aber noch die kriese meine frage hier, bloggt irgendwie der avm access server von der datev? Ansonsten bestell ich noch einen 2 dsl anschluss Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 meine frage hier, bloggt irgendwie der avm access server von der datev? Ja genau das tut er und du wirst ihn auch nicht dazu bekommen einen Port von aussen durchzulassen.... Das Ding ist von Datev so verammelt und verriegelt.... Deswegen ja die zweite Netzwerkkarte im Router um über den Weg den Access Server zu umgehen.... Zitieren Link zu diesem Kommentar
kleing 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Man so ein s... aber wie gesagt ich kann der robo eine 2.te netzwerkkarte emulieren, das ich auch gemacht habe. hat in der anderen kanzlei einwandfrei geklappt aber hier will der net Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.