SFTP vs. WHS VPS Server vs. Router VPS

[Adabi]

Hallo

Ich habe am WE mal versucht den WHS als VPN Server einzurichten. Da das nicht ganz so schön funktioniert hat und ich auch keine Dokus finde, die mir das ausreichend genug erklären, frage mich nun ob es Argumente gibt gegen die SFTP sprechen. Da ich nicht ausschliessen kann, dass das Problem am Router liegt, wäre die Alternative eine Fritz! Box. Der Aufbau war wie folgt:

|Router| --> WHS als VPN und DHCP -> |Switch| --> Clients.

1. SFTP verschlüsselt die Verbindung und die Datenübertragung. Es ist wesentlich einfacher zu konfigurieren. Natürlich kann ich dann nicht auf Funktionen zugreifen, die ich hätte, wenn ich direkt im Netzwerk wäre. Aber da es in erster Linie um Filetransfer geht, fällt mir auch sonst nichts ein was dagegen spricht. Die Übertragungsgeschwindigkeit wäre zwar bei LAN Verbindungen via SFTP deutlich geringer, aber bei WAN Zugriffen spielt das keine Rolle.

2. WHS als VPN Server. Theoretisch sollte es dann auch einen Zugang zum Dashboard geben und der Client sich nicht anders verhalten als wenn er im LAN wäre. Einen wirklichen Vorteil sehe ich da nicht. Höchstens wenn es sich um Datenbackups handelt. Ausserdem sollte dann auch eine Sicherung des Clients möglich sein. Was aber sinnfrei ist, da ich den Client via VPN auch nicht wieder herstellen kann. Was dann ohnehin mehrere Tage dauern würde.

3. Router VPN. Hätte für mich ad hoc 2 Vorteile. 1. Ich muss mich nicht mit der Konfiguration des WHS herumschlagen. 2. Mir leuchtet es auch spontan ein, wieso sich dann noch WLAN Clients in meinem WHS einbinden lassen. Da für mich technisch nur eine Fritz! Box in Frage kommen würde, weiss ich da allerdings nicht genau ob sich auch Clients ohne Fritz! Hardware verbinden lassen. Wovon ich aber mal ausgehe, da es sich ja 'nur' um ein Linux handelt was sich als VPN Server ausgibt.

Wäre sehr nett, wenn das fachlich jemand kommentieren könnte und mir vielleicht noch sagen kann, ob an meiner Überlegung das eine verschlüsselte FTP Verbindung ausreicht etwas falsch ist.


Grüsse
A.

[der-Leo]

Wenn es dir rein nur um den Zugriff auf Dateien geht, dann reicht SFTP (oder auch FTPS) erstmal aus.
Wenn du weitergehenden Zugriff auf den Server haben willst, wirst du am besten wohl eine VPN-Verbindung erstellen müssen.

Was hat denn bei deinem Versuch ein VPN aufzubauen nicht funktioniert?
Wie hast du es versucht?
Es gibt viele Anleitungen zu den verschiedensten Möglichkeiten. Die beziehen sich nicht unbedingt alle auf den WHS2011, aber die meisten kann man mit etwas mitdenken auch selbstständig zum Laufen bringen.

[Adabi]

Mitdenken? Mmmh, dafür fehlt mir noch ein Update.

Ja, grundsätzlich geht es mir nur um den Zugriff auf Dateien. Leider kann nicht nicht so eine All-in-One- Lösung aus dem Hut ziehen, die gleich alles harmonisch unter Windows vereint. Dazu gehört der Dateiaustausch, Email, eigene Suchmaschine, Terminplaner und natürlich der Aspekt Sicherheit und Verschlüsselung.
Ich hab mich schon lange nicht mehr mit dem Zeug beschäftigt und muss zu meiner Schande gestehen, dass ich nicht einmal wusste, dass der 2008er einen neuen FTP Server über IIS an Bord hat. Ja, ich weiss, wer keine Ahnung hat und so...

Wenn du weitergehenden Zugriff auf den Server haben willst, wirst du am besten wohl eine VPN-Verbindung erstellen müssen.

Ja, wenn ich dafür einen guten Grund finden würde, warum das nötig sein könnte.

Was hat denn bei deinem Versuch ein VPN aufzubauen nicht funktioniert?
Wie hast du es versucht?

Ich habe versucht im LAN eine VPN Verbindung (PPTP) zwischen Server und Client herzustellen. Grundsätzlich haben sich die beiden auch gefunden, was ja schon mal in die richtige Richtung ging. Allerdings gab es da noch ein Problem mit der Einigung wie sie sich Authentifizieren. Anschliessend war gedacht, dass der Server auch den Internettraffic liefert. So, diese beiden Problem wäre wohl noch zu lösen gewesen. Dämlicherweise und an der Stelle habe ich abgebrochen, war der Server nicht über das WAN zu finden. Meiner Vermutung nach lang es daran, dass mein Router ein Problem mit den Ports, bzw. diesem ERP Protokoll hat oder der Router nicht in der Lage ist, vom Client über das Internet zum Server zu gehen. Ich kann zwar irgendjemanden im Skype bitten das zu versuchen, aber die haben alle keine Ahnung was ich da eigentlich fabrizieren will.
Nun bin ich zwar engagiert, aber nicht der Netzwerkexperte um da mal eben die ganzen Baustellen fertig machen zu können. Ich hatte mir für dieses Experiment extra eine Netzwerkkarte gekauft und zusätzlich in den Server eingebaut. Die eine sollte dann zum Router und die andere zum Switch hingehen und die Clients einbinden. An der Stelle fiel mir dann auf, dass ich vergessen hatte mir über die Frage, wie dann eigentlich WLAN Clients über den Server surfen können vergessen habe Gedanken zu machen. Dafür hätte ich zwar noch einen WLAN USB Stick, aber das wäre dann allein schon wegen der IP Adressen ein noch grösseres Chaos gewesen, was ich mir alleine nicht zutraue in einer vertretbaren Zeit zu lösen.

Ich glaube schon, dass du mit dem Mitdenken recht hast (ich habe mir immerhin 3 Tutorials angeschaut) und bin wirklich kein Anfänger was Computer angeht, aber irgendwann hört das Spezialwissen in einem Bereich bei mir eben auch auf und in meinem Freundeskreis bin ich immer der, der gefragt wird... das ist etwas doof.

[der-Leo]

Zum Windows-eigenen VPN kann ich dir leider auch nicht sehr viel sagen.
Aus vielen verschiedenen Gründen habe ich mich für OpenVPN entschieden. Dazu habe ich auch ein Tutorial geschrieben (siehe Signatur).
Leider ist das Tut nur für den alten WHS und kann so nicht unbedingt auf den WHS 2011 angewendet werden.
Den 2011er setz ich selbst noch nicht ein. Aber auf einem Windows Server 2008 R2 habe ich OpenVPN schon installiert. Und genauso wie Windows 7 ist es inzwischen deutlich schwieriger geworden, das zum Laufen zu bekommen.

Ich gehe jetzt mal davon aus dass du den Internetverkehr deiner Clients im lokalen Netz über den WHS alufen lassen willst.
Bei Cleints über VPN würde das natürlich keinen Sinn machen...
Sobald meine Kinder eigene Computer haben, werde ich das auch machen.
Meine Planung hierzu sieht folgendermaßen aus:
Alle Rechner sind direkt am Router angeschlossen. Zugriff aufs Internet kann ich für jedes Gerät am Router selbst einstellen. Somit kann ich hier den Zugriff für die PCs der Kinder verweigern.
Auf dem WHS werde ich dann einen Proxy installieren. Im den Interneteinstellungen der Kinder-Clients wird der Proxy eingetragen. Der WHS bekommt selbstverständlich Zugriff aufs Internet.
Und damit sollten die PCs über den WHS ins Web können.
Warum ein Proxy?
Zum einen habe ich dann ein Protokoll und auch die Möglichkeit zu filtern.
Damit kann ich halbwegs sicherstellen, dass die Kinder nur das sehen was für sie geeignet ist.
Ich hatte mal vor etwas längerer Zeit eine Anleitung gefunden, wie man einen Proxy auf dem alten WHS einrichtet: http://computingondemand.com/turning-yo ... oxy-server
Ob diese Anleitung für den WHS2011 etwas taugt, kann ich dir leider nicht sagen.
Aber zumindest ist vielleicht ein Denkanstoß.
Ich weiß nicht ob der WHS 2011 eine Internetverbindungsfreigabe hat. Diese könntest du dann auch verwenden.
Fall er die nicht hat, dann müsstest du per 'Routing & RAS' das selbe erreichen können.
Damit hätten aber alle angeschlossenen Geräte vollen Zugriff aufs Internet.

[Adabi]

Ich hatte sowas mal vor ein paar Jahren mit Jana probiert. Das Problem der Filterung hatte ich auch mal für jemanden zu lösen. Kurz gesagt, es ging nicht vernünftig. Das Problem waren die Filter. Aber die Chinesen haben da sicher bessere Lösungen mittlerweile. Bei dir sieht es aufgrund deiner Kenntnisse ja noch etwas anders aus als bei normalen Eltern.

Und genauso wie Windows 7 ist es inzwischen deutlich schwieriger geworden, das zum Laufen zu bekommen.

Ein Grund warum ich OpenVPN von meiner Liste gestrichen hatte.

Aber deine Antwort hat mich motiviert es noch einmal zu versuchen. Irgendwie wäre es ja schon komfortabler für die Leute in Timbuktu wenn sie sich den Umweg über den FTP sparen könnten. Ganz abgesehen davon ist es natürlich auch gut für das persönliche Renomee, zumal mich auch die 17€ für die Netzwerkkarte wurmen und ich keine 160€ für Fritz ausgeben will, bevor ich mir nicht sicher bin, dass ich nicht an meinem eigenen Unvermögen gescheitert bin.

[SvenS]

Hast du mal daran gedacht Teamviewer für die Verbindung zu nutzen? Die meisten VNC-Lösungen beinhalten auch einen Datentransfer. Ist zwar kein VPN aber um Welten leichter einzurichten als PPTP, L2TP oder SSTP. Wenn du nur auf deine Daten zugreifen willst, nutze am besten den IIS. FTP ist ein ausgereiftes Protokoll, alternativ gibts da noch WebDAV. Beides lässt sich verschlüsseln.
Bitte beachte:
Server sind Waffen. Wer Dienste im Internet anbietet sollte wissen was er tut, sonst kann er sich selbst und anderen Schaden zufügen.

Gruß
Sven

[der-Leo]

Was auchimmer du anstellst...
solltest du letztendlich zu dem Schluss kommen, dass du dir doch einen neuen Router zulegst...
überdenke sehr genau, ob es eine FritzBox sein soll.
Falls du den Server nicht durchgehend laufen lassen willst und ihn z.B. der LigthsOut schlafen lässt, wenn er nicht genutzt wird, dann wirst du ihn bei Bedarf wecken wollen. Und ein Aufwecken aus dem Internet funktioniert mit einer FritzBox und der original Firmware nicht.
Ausserdem muss man beim Einrichten der VPN-Vebrbindung per Fritz!Fernzugang auch daran denken, dass die Daten auf dem Client im Klartext in einer frei zugänglichen Datei gespeichert werden. Siehe: http://heise.de/-1219852

[Adabi]

Hallo

Falls du den Server nicht durchgehend laufen lassen willst

Ich bin da altmodisch, wenn es nicht 24/7 laufen würde, wäre das für mich kein Server. Deswegen habe ich nicht den Bedarf ihn wecken zu wollen. Erstmal hätte das für mich was von einer externen Festplatte, die ich 2x am Tag einschalte um die Backups zu machen und dafür brauche ich nicht einen extra Rechner mit spezieller Software einzurichten. Ausserdem gibt es keine Uhrzeit, wo nicht die Chance besteht, dass da nicht doch jemand was will. Natürlich weiss ich, dass praktisch jeder das anders sieht, aber für mich ist das eine völlig unmögliche Vorstellung.

Ausserdem muss man beim Einrichten der VPN-Vebrbindung per Fritz!Fernzugang auch daran denken, dass die Daten auf dem Client im Klartext in einer frei zugänglichen Datei gespeichert werden.

Ja, danke für den Hinweis. Das habe ich auch schon gelesen. Dafür fallen mir einige Workarounds ein. Aber abgesehen davon muss der Router auch IP-TV beherrschen. Mag sein, dass Fritz! bei Profinetzwerkern eine Lachnummer ist, aber seit den Zeiten des seligen CAPI Treibers funktionieren die Dinger bei mir sehr gut und der Service ist es auch. Es ist genau genommen, die einzige Hardware / Firma mit der ich noch nie Schwierigkeiten hatte.
Ob jetzt nun Fritz als Server fungiert oder nur die Verbindung durchlässt ist noch nicht entschieden.


@Sven

Ach, wenn das nur um meine 3-4 Rechner ginge, ich würde doch nicht so ein Drama anstellen und meinen mir einen Server hinstellen zu müssen. Wofür? Für Backups der Clientsysteme? Ich bin doch nicht die NASA. Wie oft kommt es denn schon vor, dass es einen den Client total zerlegt? Unter normalen Umständen praktisch nie. Mein Fernseher streamt auch so jeden Mist und wahrscheinlich sogar mehr Formate als der WHS und wenn er das nicht täte, hätte ich schon längst eine Popcorn Hour. Wobei ich allerdings noch einen HTPC habe. Als Datengrab gibt es auch NAS. Und natürlich hast du recht, VNC fertig. Dauert keine 2 Minuten. Aber um mich geht es gar nicht. Es sollen noch einige andere Leute die Möglichkeit haben auf die Datensammlungen zugreifen zu können und ihre wichtigsten Daten nochmal extra sichern zu können. Ausserdem wäre da noch die Themen Emailserver, eigene Suchmaschnine, Synchronisation und wenn das in Deutschland so weitergeht auch irgendwann noch eine Verbindung zu einem VPN Proxy ins Ausland.

Wenn du nur auf deine Daten zugreifen willst, nutze am besten den IIS.

Ja, den habe ich praktisch neu entdeckt. Soweit ich das bis jetzt überblickt habe, hat er mehr Funktionen für den FTP Betrieb als alle kostenlosen Lösungen die unter Windows laufen.

Server sind Waffen. Wer Dienste im Internet anbietet sollte wissen was er tut, sonst kann er sich selbst und anderen Schaden zufügen.

Ich bin immerhin vorsichtiger als 750.000.000 andere im Internet. Zumindest wenn ich der offiziellen Zahl von Facebook glauben schenke. Und die gefährlichste Waffe ist die Zensur. Dieses Jahr habe ich bereits 3x einen entsprechenden Hinweis von Google bekommen. Bei Suchanfragen wo ich mir selbst mit sehr viel Fantasie nicht erklären konnte, was da wohl zensiert sein könnte.

[SvenS]

...
@Sven

Ach, wenn das nur um meine 3-4 Rechner ginge, ich würde doch nicht so ein Drama anstellen und meinen mir einen Server hinstellen zu müssen. Wofür? Für Backups der Clientsysteme? Ich bin doch nicht die NASA. Wie oft kommt es denn schon vor, dass es einen den Client total zerlegt? Unter normalen Umständen praktisch nie. Mein Fernseher streamt auch so jeden Mist und wahrscheinlich sogar mehr Formate als der WHS und wenn er das nicht täte, hätte ich schon längst eine Popcorn Hour. Wobei ich allerdings noch einen HTPC habe. Als Datengrab gibt es auch NAS. Und natürlich hast du recht, VNC fertig. Dauert keine 2 Minuten. Aber um mich geht es gar nicht. Es sollen noch einige andere Leute die Möglichkeit haben auf die Datensammlungen zugreifen zu können und ihre wichtigsten Daten nochmal extra sichern zu können. Ausserdem wäre da noch die Themen Emailserver, eigene Suchmaschnine, Synchronisation und wenn das in Deutschland so weitergeht auch irgendwann noch eine Verbindung zu einem VPN Proxy ins Ausland.

Wenn du nur auf deine Daten zugreifen willst, nutze am besten den IIS.

Ja, den habe ich praktisch neu entdeckt. Soweit ich das bis jetzt überblickt habe, hat er mehr Funktionen für den FTP Betrieb als alle kostenlosen Lösungen die unter Windows laufen.

Server sind Waffen. Wer Dienste im Internet anbietet sollte wissen was er tut, sonst kann er sich selbst und anderen Schaden zufügen.

Ich bin immerhin vorsichtiger als 750.000.000 andere im Internet. Zumindest wenn ich der offiziellen Zahl von Facebook glauben schenke. Und die gefährlichste Waffe ist die Zensur. Dieses Jahr habe ich bereits 3x einen entsprechenden Hinweis von Google bekommen. Bei Suchanfragen wo ich mir selbst mit sehr viel Fantasie nicht erklären konnte, was da wohl zensiert sein könnte.

Von welchem Datenaufkommen sprichst du eigentlich? Ich denke noch immer das WebDAV für einen Zugriff am besten wäre, abgesichert via SSL.
Ich habe absolut keine Ahnung was schlecht abgesicherte Server mit Google und Zensur zu tun haben.

[Adabi]

Nachtrag:

Der Fehler lag dann doch am Router und genauer gesagt daran das er kein GRE Protokoll durchlassen wollte.
Der VPN PPTP Zugang zum Server funktioniert nun und der Client wird auch im WHS als online erkannt. Das habe ich auch von ausserhalb des LANs getestet. Der WHS übernimmt hier die Rolle des VPN Servers, nicht der Router. Nachdem das Problem mit dem GRE geklärt war, funktionierte es erstaunlich problemlos, fast schon komfortabel. Die Variante Router VPS habe ich zwischendrin mal kurz getestet, aber da erkannte der WHS den Rechner nicht. Kann aber durchaus sein, dass ich da nicht genug beachtet habe und das trotzdem irgendwie funktionieren könnte.

Falls noch jemand Fragen dazu hat, werde ich versuchen sie zu beantworten.