Toon posts:

Client PC's beheren via VPN / SSH tunnel zoals Teamviewer

Pagina: 1
Acties:

Vraag

donderdag 18 oktober 2018 18:15

Acties:
  • 0Henk 'm!
  • CoolCow
  • Registratie: Juni 2006
  • Laatst online: 11-05 14:11

CoolCow

Topicstarter
Beste,

Ik gebruik nu Teamviewer, maar ik voel me er niet comfortabel bij dat Teamviewer zomaar toegang kan hebben tot alle systemen die ik beheer en dat ik geen inzicht heb in hoe veilig hun verbindingen zijn. Ik gebruik het vooral om het scherm over te nemen, maar ook om via de Teamviewer VPN verbinding te maken op bv een database server op die client.

Ik denk dan aan VPN of een SSH tunnel, maar geen van beide methoden doet wat ik wil (denk ik).
Misschien kunnen experten me in de juiste richting wijzen.

Bij een VPN is het normaal zo dat alle traffic van dat systeem dan over de VPN gaat.
Dit zou niet de bedoeling zijn, maar kan dit ook anders? Kan ik vanuit kantoor verbinding kan maken met die client, maar zonder die client zijn traffic over de VPN te laten lopen. Vergelijkbaar met hoe een SSH tunnel.

Ander probleem is dat de meeste van mijn clients achter een firewall zitten en/of een particuliere internet verbinding hebben met variabel IP. De client zou dus, net zoals teamviewer, moeten verbinding maken/houden met ons kantoor of via een tussen proxy werken.

Aangezien Teamviewer dit toelaat gebruik ik deze ook op mijn Android smartphone om even een snelle interventie te kunnen doen. Voor onderweg is dit onmisbaar. Kan ik dit ook gaan doen met een VPN of SSH tunnel?

Alle systemen zijn Windows 10 Home of Pro

Alvast bedankt om mee te denken.

Beste antwoord (via CoolCow op 09-11-2018 08:49)

maandag 22 oktober 2018 20:15

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 30-04 00:05

johnkeates

Zelf wat in elkaar knutselen en hosten is waarschijnlijk niet 'veiliger' dan een hosted oplossing, vooral als je er eigenlijk geen kennis voor in huis hebt.

Zo heeft een VPN bijvoorbeeld niks te maken over welk verkeer dan over die tunnel gaat, daar heb je routing tables voor om er überhaupt verkeer naartoe te sturen, en firewall rules om verkeer wat je niet over je tunnel wil hebben maar er wel naartoe gerouteerd wordt tegen te gaan. (in je VPN server, that is)

Het probleem is het dat je met alles wat je zelf gaat opzetten maar wat wel een beetje veilig moet zijn je automatisch dus ook een server moet gaan hosten, wat ook weer specifieke kennis vereist.

Stel dat je toch zelf iets wil maken, dan kan je denken aan:

- Server (ergens in een datacenter dus fysiek leasen/kopen of iets virtueel)
- OpenVPN of IPSec server
- Clients met die server laten verbinden en alleen een route naar een subnet waar je beheer in doet maken
- Remote Desktop of VNC achtige spullen alleen op een adres in dat subnet laten luisteren

Maar dat is allemaal wel een stuk meer werk dan even een client op een PC droppen, en vereist constant onderhoud, patches, security checks etc.

Alle reacties

donderdag 18 oktober 2018 19:14

Acties:
  • +1Henk 'm!
  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021

Breezers

Teamviewer is toch gewoon encrypted ?

Wat denk je nu te winnen bij andere oplossingen zoals VPN/SSH ? Wat heb je nu zelf al getest en waar loop je tegenaan ?

Je geeft aan dat het “jouw clients” zijn die jij beheert ? Dan ga ik er van uit dat je zakelijke bezig bent en mag ik toch wel hopen dat jij als ondernemer daar de juiste zakelijke tools voor aanschaft of capabele leveranciers hebt die jou daar in adviseren ?

Daarnaast is het ook een beetje apart dat je kennelijk regelmatig adhoc op een Android telefoon onderweg inlogt op klantsystemen en dat je daar geen problemen mee hebt qua beveiliging ?

Er zijn diverse commerciële producten/diensten/bedrijven die een beveiligde verbinding kunnen verzorgen tussen jou en de cliënt, ongeacht de firewall, zowel hosted als eigen server, maar die inventarisatie en investering zou wel de eerste stap moeten zijn als je zakelijk remote beheer wilt gaan uitvoeren.

“We don't make mistakes just happy little accidents” - Bob Ross

maandag 22 oktober 2018 15:08

Acties:
  • 0Henk 'm!
  • CoolCow
  • Registratie: Juni 2006
  • Laatst online: 11-05 14:11

CoolCow

Topicstarter
Antwoorden in dezelfde paragraaf volgorde.

Teamviewer is inderdaad encrypted, maar zij zelf hebben gewoon toegang indien ze dat willen. Ik heb ook altijd de indruk gehad dat Teamviewer met haken en ogen samenhangt. Hun software zint me niet, maar heb ik wel nodig. Daarnaast begint de prijs (€ 60 p/m) van teamviewer me ook te storen. Ik moet slechts op zeer occasionele basis eens verbinding maken. Meestal maanden niks, en in een onderhoudsmaand dan uiteraard iedere clients minstens 1x.

Meer gemoedsrust op basis van beveiliging en de alsmaar stijgende prijs drukken.
Ik heb al alternatieven geprobeerd zoals RealVNC Connect, AnyDesk, LogMeIn, RDP, ... en momenteel gaat mijn 2e keuze naar AnyDesk aangezien deze voor ons hetzelfde doet als TeamViewer, maar dan een pak goedkoper en als extras kan ik toegangsbeperking instellen op de clients én worden de wachtwoorden niet opgeslagen in een soort adresboek.
Daarnaast heb ik ook een Reverse SSH tunnel bekeken, maar ik weet niet meteen hoe ik dit vanaf mijn smartphone kan gaan doen.

De remote systemen zijn voornamelijk kiosk of kassa systemen. Ze zijn allemaal verbonden met 1 centrale webserver langs waar de software werkt. De gebruikers hebben geen toegang tot het onderliggende OS of de hardware.
Ik heb (nog) geen persoon die mij hierin specifiek adviseert of hier de kennis voor heeft. Als ondernemer moet ook de afweging baten/kosten gemaakt worden, en in deze case zijn de baten miniemen en de kosten hoog wanneer je voor een professionele oplossing (of uitbesteding) gaat.

Ik sleur niet overal mijn laptop naar mee, maar 24/7 support kunnen geven is noodzakelijk. Als er eens iets voorvalt is dat ook meestal eenvoudig op te lossen. Ik maak vooral verbinding omdat de klanten amper een probleem kunnen beschrijven en het gewoon rapper gaat als ik zelf een kijkje kan nemen. Klant snel geholpen, ik geen frustratie van een gammele uitleg. De beveiliging heb ik uiteraard een probleem mee, maar wat is het alternatief?

Laat gerust weten welke je in gedachte hebt.

maandag 22 oktober 2018 20:07

Acties:
  • 0Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Als je vrije software wilt gebruiken, kijk dan eens naar vnc. Je kunt dan poort 5900 doorzetten via een reverse ssh tunnel naar een server van jou. De tunnel van de eerste klant laat je luisteren op poort 5900, die van de tweede op 5901, etc. Je moet opletten dat de klanten wel een tunnel op mogen zetten, maar geen shell mogen krijgen, en dat verkeer naar de tunnel door een firewall gaat die alleen bepaalde vormen van versleuteld verkeer doorlaat (zodat je er alleen via een andere ssh tunnel of via een vpn bij kunt). Tevens moet je de firewall zo afstellen dat klanten niet bij elkaar kunnen komen.

maandag 22 oktober 2018 20:15

Acties:
  • Beste antwoord
  • +1Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 30-04 00:05

johnkeates

Zelf wat in elkaar knutselen en hosten is waarschijnlijk niet 'veiliger' dan een hosted oplossing, vooral als je er eigenlijk geen kennis voor in huis hebt.

Zo heeft een VPN bijvoorbeeld niks te maken over welk verkeer dan over die tunnel gaat, daar heb je routing tables voor om er überhaupt verkeer naartoe te sturen, en firewall rules om verkeer wat je niet over je tunnel wil hebben maar er wel naartoe gerouteerd wordt tegen te gaan. (in je VPN server, that is)

Het probleem is het dat je met alles wat je zelf gaat opzetten maar wat wel een beetje veilig moet zijn je automatisch dus ook een server moet gaan hosten, wat ook weer specifieke kennis vereist.

Stel dat je toch zelf iets wil maken, dan kan je denken aan:

- Server (ergens in een datacenter dus fysiek leasen/kopen of iets virtueel)
- OpenVPN of IPSec server
- Clients met die server laten verbinden en alleen een route naar een subnet waar je beheer in doet maken
- Remote Desktop of VNC achtige spullen alleen op een adres in dat subnet laten luisteren

Maar dat is allemaal wel een stuk meer werk dan even een client op een PC droppen, en vereist constant onderhoud, patches, security checks etc.

maandag 22 oktober 2018 20:19

Acties:
  • 0Henk 'm!
  • Clavis
  • Registratie: Mei 2009
  • Laatst online: 09-06 13:16

Clavis

Wellicht https://www.solarwinds.com/ ?
Geen idee wat het budget is of wat het kost. Wij gebruiken dit ook om diverse klanten te beheren. Werkt uitzonderlijk goed.

[Voor 53% gewijzigd door Clavis op 22-10-2018 20:21]

dinsdag 23 oktober 2018 11:09

Acties:
  • 0Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Je weet dat Microsoft zelf tegenwoordig Quick Assist heeft. Is eigenlijk een gratis teamviewer werkt met code doorgeven en accepteren. Zelf wel eens gebruikt om iemand te helpen. Grootste voordeel je hoeft niets te installeren.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 9 november 2018 09:01

Acties:
  • +1Henk 'm!
  • CoolCow
  • Registratie: Juni 2006
  • Laatst online: 11-05 14:11

CoolCow

Topicstarter
Op basis van @johnkeates, die enkele sterke argumenten aanhaalt waarom een eigen oplossing ook niet zo'n goed idee is met beperkte kennis, heb ik besloten om over te schakelen van Teamiewer naar AnyDesk.

Ik heb wat heen en weer gemaild intussen met de personen bij AnyDesk en ze zijn uitermate behulpzaam geweest om te verduidelijken hoe hun beveiliging in elkaar zit. Als ik hen op hun woord mag geloven dan kunnen zij zelf geen toegang verkrijgen tot een systeem zonder toestemming van de client.

@Clavis Solarwinds is te duur.

@Frogmen Quick Assist kan je niet gebruiken voor unattended access. Geen optie voor mij.

vrijdag 9 november 2018 18:49

Acties:
  • 0Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 30-04 00:05

johnkeates

Waarschijnlijk kunnen ze het technisch wel (dat is eigenlijk met alle managed oplossingen wel zo) maar kunnen ze het contractueel niet en als het lekt kunnen ze hun bedrijf opdoeken om dat geen enkele enterprise dan nog een contract bij ze afneemt ;-) Maar goed om te zien dat een oplossing als AnyDesk goed voor je uitpakt.

Hoewel ik het zelf niet gebruik kan ik me voorstellen dat je qua features vast nog wel voorkeuren of misschien missers ziet; zit alles wat je nodig hebt er in? (vs. TeamViewer)
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee