Nicht im Internet, aber trotzdem vernetzt

Projektangaben

Zeitpunkt

Dauer

Kunde

September und Oktober 2018

3 Wochen

Zahnarztpraxis

Zu Hause arbeitet es sich wesentlich entspannter, wenn es um Planung, Buchführung und Büroarbeit geht. Nun ist die Einrichtung eines Heimarbeitsplatzes kein Hexenwerk und auch vier Heimarbeitsplätze, die gleichzeitig zu nutzen sind, rechne ich eher dem Standard, als der besonderen Herausforderung zu.

Das geht nach Ablaufplan etwa so:
1. VPN-Server in der Praxis einrichten und Zertifikate für alle Heimarbeitsplätze generieren
2. Netz von außen über feste IP-Adresse oder dynamisches DNS erreichbar machen
3. Terminal-Server aufsetzen und einrichten
4. Die Heimarbeitsplätze der Mitarbeiter mit der VPN-Software ausstatten und die Nutzer kurz einweisen

Schwierig wird es dann, wenn es in der Praxis zwar Internet gibt, aber das komplette Praxisnetzwerk vom Internet getrennt ist und bleiben soll. Wie kann man auf das Praxisnetzwerk zugreifen, ohne es ins Internet zu bringen?

Unmöglich? Nein, aber tricky!

Man nehme zum Beispiel einen Archer C7 von TP-Link und installiere OpenWRT sowie OpenVPN. Dann richte man den OpenVPN-Server komplett ein und erzeuge die notwendigen Zertifikate. Anschließend sorge man für die Erreichbarkeit von außen per fester IP oder dynamischem DNS.
Ab hier wird es tricky. Nun definiere man die Internet-Seite und konnektiere sie mit dem WAN-Port des Routers. Weiter definiere man das interne Netzwerk der Praxis und verknüpfe es mit den LAN-Ports des Routers. Nun nehme man ein drittes Netzwerk, welches für OpenVPN zur Verfügung steht und keiner Schnittstelle zugeordnet ist.
Drei Liter Kaffee späte ist klar, wie die Firewall zu bearbeiten ist, dass Daten für den Remotedesktop zwischen OpenVPN und internem Netz fließen dürfen, ohne dass die beiden Netze mit dem Internet verbunden sind.

Und wo das alles so schön funktioniert etabliere man ein weiteres OpenVPN-Netzwerk für die Verbindung mit unserem Connect-Server, um Monitoring und Wartung & Pflege auch im internen Netzwerk zu ermöglichen und lasse die Kaffeemaschine auf Dauerbetrieb um die entsprechenden Firewallregeln in das Gerät zu bringen.

Abschließend simuliere man in der Homeoffice die verschiedenen Netzwerke und mache ausführliche Porttests per Zenmap, um zu sehen, ob man Großes geschaffen hat oder doch besser alles resettet und neu aufsetzt.