Ich habe Unmengen an Dokumente, welche ungeordnet vorhanden sind – Beispielsweise Briefe, Verträge mit Versicherungen, Schreiben die ich mit Office erstellt habe, Rechnungen für das Auto die ich per Email erhalten habe usw.
Jedesmal wenn ich ein Dokument benötige, muss ich erst überlegen in welcher Form es kam und durchsuche entweder Ordner, Dateien auf dem Fileserver oder das Emailarchiv.
Auch wird es schwer Inhalte zu vergleichen.
Deswegen habe ich mir überlegt, alles meine Dokumente zu archivieren und in der originalen Form zu löschen (bis auf solche, die aufzubewahren sind – z.B. Versicherungspolicen usw.).
Alles andere jedoch, soll zentral an einer Stelle zusammengeführt werden und strukturiert abgelegt werden.
Dafür möchte ich mir eine Art Dokumenten Management System (fortfolgend DMS genannt) aufbauen – da es für mich privat ist, gelten keine rechtlichen Richtlinien (z.B. Aufbewahrungsdauer, nicht veränderbar usw.).
Meine Wünsche wären:
Weboberfläche und App
App kann mit der Kamera Dokument erfassen
Kann auf Windows installiert werden
Dateien liegen lesbar und zuordnungsfähig vor
OCR Erkennung
Dazu möchte ich mir gerne die folgenden Lösungen anschauen:
Nextcloud mit OCR Tesseract:
Eigentlich kein DMS, eher eine private Cloud. Jedoch mit App Anbindung, Webinterface, Open Source Scanengine (OCR), Volltextsuche, Benutzer und Rechteverwaltung.
Dazu habe ich auf dem Fileserver einen Ordner DMS eingerichtet und freigegeben. In diesem Ordner lege ich manuell alle Dateien ab und diese werden per Tesseract gescannt und indiziert.
Mit der flexiblen Suche Elasticsearch kann man dann alle Dateien über ihren Inhalt finden.
Hier hat man den Vorteil, das die Dateien normal im Dateisystem liegen und einfach gesichert werden können.
Leider sind die Ergebnisse mit Tesseract nicht so gut gewesen, so das ich eine kommerzielle Lösung für das OCR dazwischengeschaltet habe.
Dazu habe ich mir Nuance Omnipage 19 Ultimate angeschafft, welches gute Ergebnisse liefert. Leider hatte ich Probleme bei der Einrichtung des Workflows und wollte den Support in Anspruch nehmen (immer sind für mich als Privatperson eine Investition von 200€ eine Menge Geld und ich würde gerne VOR dem Kauf wissen, ob das Produkt meinen Vorstellungen entspricht) – aber leider bekam ich nur vom Support Antworten wie „Lesen Sie das Handbuch“ und „Wir kennen unsere Produkte auch nicht in der Tiefe“, was mich leider nicht zufriedenstellte – jedoch wurden bei Rückfrage einfach die Tickets geschlossen. Kein guter Support! Zu erwähnen wäre noch, das es derzeit noch eine Aktion gibt für 139€ – diese läuft zwar nur noch kurz, aber vielleicht kommt diese noch mal wieder.
Idee für später: Ich möchte Dateien vorsortieren – wenn diese schon durchsuchbar sind (z.B. Officedokumente, duchsuchbare PDF) sollen diese direkt ins Archiv in einem Unterordner mit Datum im Namen – sind diese nicht durchsuchbar (z.B. Bilder, Bild-PDF) sollen diese verschoben werden in einen Hot Folder, welcher von der OCR Software überwacht wird. Dies könnte man mit einem Ordner realisieren, welcher Aktionen ausführen kann und per VBA Dateinamen und -attribute auswertet.
Alfreso Community Edition:
Die Alfresco Community Edition ist ein komplettes DMS. Sie ist komfortabel, flexibel und ist sehr übersichtlich gehalten. Es gibt eine Weboberfläche und eine App. Sie gefällt mir sehr gut, leider jedoch legt sie die Dateien nach einem eigenen Schema ab als BIN Dateien und das zuordnen wird somit unmöglich. Da ich gerne die Dateien als normale Dateien abgelegt habe möchte, kommt Alfreso nicht in Frage. Dies war der einzige Punkt der mich störte – mir gefiel besonders, das die Community Version genauso aktuell ist wie die kommerzielle Version.
Update: Auf Alfresco kann man die Ordner als WEBDAV Laufwerk freigeben (benötigt zwingend HTTPS und bringt auch leider einige weitere Probleme mit sich). Auch wie Agorum Core kann man bei Alfresco jedoch auch die Ordner per SMB freigeben – jedoch wird auch hier die Java Implementierung mit CIFS benutzt und muss die von Windows ersetzen – was nicht ganz trivial ist. Danach kann man jedoch die Ordner direkt nutzen und dort direkt Dateien ablegen bzw. nutzen (z.B. für OCR importe).
Die Schritte sind in Stichworten wie folgt:
VM herunterfahren
Weiteren Netzwerkadapter einrichten und das entsprechende Netz zuordnen
In Windows IPv4 feste Adresse ohne Gateway einrichten, IPv6 und Client für Microsoft Netzwerke sowie Datei- und Druckerfreigabe für Windows in den Bindings der Netzwerkkarte entfernen
Auf beiden Adaptern in den DNS Einstellungen Adressen dieser Verbindung in DNS aktualisiern deaktivieren, damit im DNS nicht die Adressen geändert werden
Basic Auth aktivieren (Regedit
In Alfreso in der file-server.xml anpassen und die IP des neuen Adapters binden
Im DNS einen weiteren Namen erstellen mit der neuen IP
Diese Software bietet eine kostenlose Version (Open) und kann jederzeit in eine kostenpflichtige Lösung (Pro) upgegradet werden. Auch hier gibt es eine Weboberfläche und eine App. Ebenfalls wie Alfreso ist die kostenlose als auch die Pro Version die selbe – der Unterschied ist das automatismen (KI) und OCR fehlen (wie auch bei allen anderen, da hier kostenpflichtige Tools eingesetzt werden – hier z.B. I.R.I.S.).
Interessant erscheint mir, das das DMS Laufwerk als Netzwerkfreigabe bereitgestellt wird und somit die auf die Dateien zugegriffen und weiterverarbeitet werden können.
Update: Habe eben schon mal mit dem Support Kontakt gehabt. Er war freundlich und hilfsbereit. Auch habe ich den Tipp bekommen, das schon in der Open Source Version Tesseract getestet wird und vielleicht mit hineinkommt – dann wäre das ein DMS das OCR in der „Startversion“ bietet.
Hinweis:
Die Installation ist ein wenig komplexer, beachtet bitte unbedingt die folgenden Links:
Nuxeo habe ich mir noch nicht angeschaut, ist aber geplant.
Bitfarm DMS:
Das Bitfarm DMS gibt es in einer kostenlosen und in einer kommerziellen Version. Leider ist die kostenlose Version (4.x) älter als die kommerzielle Version (6.x) und kann auch somit nicht auf die Apps usw. zurückgreifen, so das ich dieses Produkt nicht weiter verfolgt habe.
Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.
Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.
Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.
Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .
Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:
Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:
Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).
Clients die mobil arbeiten könnte man die Hostsdatei anpassen.
Wichtig: Der Sharepoint ist seit 10.4.2018 EOL, es gibt jedoch noch Sicherheitsfixes bis 11.4.2023 (Enhanced Maintenance).
Hinweis zu iOS und Android Apps: Mittlerweile kann man nicht mehr auf eigene OneNote-Dateien auf einem Sharepoint zugreifen. Hier geht nur noch lediglich der Zugriff über die Webapp oder Terminalserver – wobei dann die Stiftnutzung entfällt. Soll weiterhin ein Stift genutzt werden mit OneNote Dateien auf einem Sharepoint, so ist ein Windows Gerät zu nutzen (z.B. das Surface Go ab 429€).
Hinweis zur Windows 10 (UWP) Version bzw. Nachfolger von Office 2013/2016: Nur die Versionen OneNote 2013/2013/2016 können zu einem Sharepoint verbinden. Im Office 2019 ist kein OneNote mehr enthalten – es soll statt dessen die Windows 10 Version genutzt werden. Doch diese kann sich nicht mehr zu einem eigenen Sharepoint Server verbinden, sie unterstützt nur OneDrive oder OneDrive Business.
Nun zum eigentlichen Artikel.
Da ich meine OneNote Notizen nicht in der Cloud speichern darf (enthalten persönliche Daten) und lokal halten möchte, bleibt mir nichts anderes üblich als einen Sharepoint Server als Speicherziel einzusetzen.
Die letzte kostenlose Version ist der Sharepoint 2013 Foundation, alle anderen danach sind kostenpflichtig.
Alternativ könnte man auch einen Hosted Sharepoint verwenden und die User mit dem AD Syconisieren – dann wäre jedoch auch wieder die Daten in der Cloud, was ich nicht möchte.
Als erstes erstelle ich eine VM welche auf Windows Server 2012 R2 basiert. Diese bekommt 4 vCPUs, 8 GB Ram und 300 GB Festplatte.
Vorbereitungen:
Windows 2012 R2 installieren
VMWare Tools installieren
Namen festlegen
IP festlegen
Ans AD anbinden
Windowsupdates ausführen
Prüfen das Dot Net 4.5 installiert ist (bei 4.6 oder 4.7 schlägt die Installation fehl)!
Anschließend Chrome installieren und Sharepoint 2013 SP1 Foundation runterladen.
Im ersten durchlauf werden Softwarevoraussetzungen installieren.
Dies läufen bei mir mehrmals durch und versuchen folgende Voraussetzungen zu installieren:
• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Anwendungsserverrolle, Webserverrolle (IIS)
• Systemeigener Client von Microsoft SQL Server 2008 R2 SP1
• Windows Identity Foundation (KB974405)
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Microsoft Identity-Erweiterungen
• Microsoft Information Protection and Control-Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Kumulatives Updatepaket 1 für Microsoft AppFabric 1.1 für Windows Server (KB2671763)
Windows App Fabric muss ebenfalls installiert sein, jedoch benötigt, das auch noch eine Konfiguration – ladet das Softwarepacket hier und das Update hier runter. Entpackt mit einem Tool wie z.B. 7Zip nach z.B. c:\Pre – und kopiert die beiden Dateien dorthin. Wechselt mit CMD (als Administrator ausführen) und führt den folgenden Befehl aus:
Nun solltet ihr euer Zertifikat einpflegen (günstige einfache Zertifikate gibt es bei ssls.com – ich nutze selber ein Wildcard von dort.
NOCH UPZUDATEN!!!
Solltet ihr noch keins haben, dann geht bitte wie hier beschrieben vor (LINK NOCH EINFÜGEN!).
Alternative Namen angeben.
Webserver veröffentlichen (z.B. Portforwarder oder Sophos WAF).
Emailanbindung erstellen
Root bei Bedarf für alle freigeben (z.B. wenn Extranet mit öfffentlichen Informationen sein soll).
Als letzten noch Windowsupdates ausführen. Ich erstelle Sicherheitshalber noch einen Snapshot vorher nach so massiven Änderungen – welchen ich natürlich nach erfolgreichen Updates wieder lösche.
Solltet ihr einen Virenschutz auf dem Server haben, denkt auch bitte daran die Ausnahmen zu definieren.
Auch solltet ihr nicht vergessen, die Datensicherung einzurichten. Löscht auch alles was ihr nicht mehr benötigt (z.B. Snapshots, Downloads und das Pre-Verzeichnis).
Nutzung:
Öffnen und erstellen in Windows 10 UWP App nicht möglich.
Öffnen und erstellen in iOS / Android nicht mehr möglich.
Veeam Agent for Linux ist eine kostenlose Datensicherungssoftware für Linux und aktuell in der Version 3 Verfügbar.
Sollten Sie eine Vorversion installiert haben, dann können Sie diese einfach aktualisieren.
Dokumentieren Sie jedoch alle Jobs vorher.
Greifen Sie mit root rechten (oder als User, dann jedoch den Aktionen ein „sudo“ vorstellen).
Gehen Sie auf Veeam.com und laden Sie die entsprechende Version herunter (z.B. veeam-release-deb_1.0.5_amd64.deb) und bringen Sie diese auf den Server (z.B. mit wget oder SCP).
Aktualisieren sie das Paket:
dpkg -i veeam-release-deb_1.0.5_amd64.deb
Aktualisieren Sie die Pakete:
apt-get update
Installieren Sie nun Veeam Backup Agent for Linux neu (es wird aktualisiert):
apt-get install veeam
Sollte eine Rückfrage kommen, ob die Veeam.ini aktualisiert werden sollte, würde ich dies annehmen (mit Y), damit auch alle neuen Möglichkeiten Verfügbar sind.
Sollte die Anbindung an einem Netz erforderlich sein, kann man zum einen ein gesamtes Netz mit einer RED oder einer Firewall realisieren. Selbst eine Anbindung mit einer Fritzbox ist möglich (Achtung: Dies ist jedoch nicht von Sophos supported!).
Sollte es jedoch absolut nicht klappen, kann man einen Raspberry Pi als Router umfunktionieren und diesen per OpenVPN verbinden. Über die Fritzbox verteilt man dann die Route zu dem entfernten Netz und versteckt das Netz per NAT hinter dem Raspberry. Somit kann das gesamte lokale Netz auf das Netz hinter der Sophos zugreifen (Achtung: Da dies keine Site-to-Site Anbindung ist, kann man nicht aus dem Netz hinter der Sophos auf das entfernte Netz zugreifen).
Ich nutze hier einen aktuellen Raspberry Pi in der Version 3B (dieser hat genug Power und ein Gigabit LAN Interface). Dieser kostet um die 35€, komplette Sets gibt es bei Amazon und vielen anderen für ca. 60€ inkl. Raspberry Pi, Netzteil, Gehäuse, SD Karte mit Adapter, HDMI Kabel und Anleitung.
SSL VPN Benutzer einrichten auf der Firewall
Aktivieren und richten Sie den SSL Fernzugriff ein auf der Sophos. Gehen Sie dazu auf Remote Access > SSL > New Remote Access Profile … und erstellen ein Profil wie folgt:
Erstellen Sie nun auf der Sophos einen User wie folgt (natürlich mit echten Daten):
Diesen User nun einer Gruppe hinzufügen die SSL VPN Rechte hat oder direkt in dem SSL Fernzugriff Profil hinzufügen.
Laden Sie nun die entsprechende ovpn Datei herunter (aus der Zip-Datei extrahieren).
Als Basis setze ich ein aktuelles Raspberian Stretch Lite ein (Download).
Wie in der Anleitung beschrieben, entpacke ich die Datei nach dem Download und überspiele die entpackte ISO Datei mit dem Tool Etcher auf die SD Karte.
Anschließend kommt die Karte in dem Raspberry Pi und das Gerät wird gestartet.
Wenn das System gestartet ist, als User pi mit dem Passwort raspberry einloggen (beachtet bitte, das das Default Keyboardlayout US ist und somit das z statt dem y zu verwenden ist) und das System updaten wie folgt:
sudo apt-get update
sudo apt-get dist-upgrade
Als nächstes dann den Raspberry Pi einrichten mit dem folgenden Befehl:
sudo raspi-config
Stellt bitte nun ein neues Passwort ein, die IP Adresse und das Keyboard Layout auf DE. Ich aktiviere auch SSH, damit ich bequem per SSH und Copy&Paste von einem Rechner mit Internetanschluß die Konfiguration abarbeiten kann. Wenn Sie SSH nicht mehr benötigen, können Sie es wieder über raspi-config deaktivieren.
Ich habe die folgenden Einstellungen gewählt (Basis für mein ISO zur Verteilung):
Nach einem Neustart deaktivieren Sie noch WLAN und Bluetooth laut dieser Anleitung wie folgt:
sudo nano /boot/config.txt
# turn wifi and bluetooth off
dtoverlay=pi3-disable-wifi
dtoverlay=pi3-disable-bt
Anschließend noch den hciuart Dienst deaktivieren und neustarten:
sudo systemctl disable hciuart
sudo reboot
Einrichten VPN Client
Ich gehe hier grundsätzlich nach dieser Anleitung vor, habe jedoch ein paar kleine Änderungen.
Als erstes den VPN Client installieren mit:
sudo apt-get install openvpn
Diese eben kopierte VPN-Konfigurationsdatei bitte nach remote.conf umbennen und nach /etc/openvpn kopieren (z.B. mittels wget oder FTP auf dem Rechner kopieren).
Tipp: Man kann auch die Datei auf die /boot Partition kopieren, da sie FAT Dateisystem ist. Bitte jedoch nicht vergessen, die Datei später zu löschen!
Hinweis: Wenn die Datei anders heißen soll, bitte unten bei Systemctl diese Datei entsprechend anpassen. Die Endung sollte jedoch .conf sein – nicht .ovpn, da sonst Systemctl nicht den Dienst starten kann – es wird kein kompletter Dateiname angegeben und .conf automatisch angehangen!
Dann eine Datei mit dem Namen login mit Zugangsdaten erstellen (in der erste Zeile ist der Username und in der zweiten Zeile das Passwort):
sudo nano /etc/openvpn/login
Dann an der Datei die Rechte anpassen, das nur root sie einsehen kann:
sudo chmod 600 /etc/openvpn/login
Editieren Sie die ovpn-Datei, das hinter auth-user-pass noch der Dateinamen Login steht und speichern diese:
auth-user-pass /etc/openvpn/login
Mit dem folgenden Befehl können Sie sehen, ob die Einwahl erfolgreich war (diese müsste dann in der Sophos unter Fernzugriff angezeigt werden):
sudo openvpn --config /etc/openvpn/remote.conf
Nun wird das VPN so eingestellt, das es direkt nach dem Boot läuft (Achtung: Der Dateiname OHNE .ovpn):
sudo systemctl enable openvpn@remote
Den Raspberry zum Router umfunktionieren
Nun muss noch IP Forwarding aktiviert werden:
echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Anschließend noch NAT aktivieren:
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
Die Regeln speichern:
sudo apt-get install iptables-persistent
Anpassungen am vorhandenem Internetrouter
Weiterhin müssen sie der Raspberry stets die selbe Adresse zuordnen, dies können sie über die Fritzbox einstellen (sofern diese den DHCP Server stellt). Gehen Sie dazu unter Heimnetz > Netzwerk > Rapberry auswählen und auf das Stiftsymbol klicken. Kontrollieren sie Namen und IP Adresse und machen Sie einen Hacken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.
Damit auch die anderen Rechner im LAN das VPN Netz finden, muss auf dem Internetrouter noch eine Route bekanntgegeben werden – hier anhand einer Fritzbox, gehen Sie unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Masterimage
Falls sie möchten, können Sie ein fertiges Image runterladen und dieses nur noch anpassen. Das Image hat folgende Konfiguration:
Username: pi
Passwort: RasRou!2019
IP: DHCP
SSH: Aktiviert
Das Image können Sie hier herunterladen. Es wurde gezippt, damit es weniger Platz und Bandbreite spart. Entzippt es (z.B. mit 7-Zip) und kopiert es dann mit einem Imagetool (z.B. mit Win32Diskimager) auf eine neue SD Karte und startet damit euren Raspberry. Mit den Tools könnt ihr euch auch selber jederzeit ein Backup erstellen (z.B. Sicherungskopie wenn alles funktioniert).
Wenn Sie das Image einsetzen, sollten Sie unbedingt das Kennwort ändern und gegebenenfalls die IP anpassen! Um das VPN nutzen zu können, müssen Sie natürlich eine OpenVPN Konfigurationsdatei einspielen. Wenn Sie SSH nicht benötigen, deaktivieren Sie es. Beachten Sie, das nun alle Rechner im Netzwerk (auch im WLAN) Zugriff auf das entfernte VPN Netz haben – auch eventuell Virenverseuchte Rechner!
Eine Vorlage zur Dokumentation können Sie hier herunterladen (Word | PDF).
Feste IP zuordnen klappt noch nicht. Lösung über Fritzbox eingerichtet.
Wenn die Verbindung mehrfach neu aufgebaut wurde, funtkoonierte zeitweise Ping nicht stabil – entfernte Dienste konnten jedoch ohne Problem genutzt werden.
Achtung
Ich übernehme keine Haftung, weder für die Dokumentation noch für das fertige Masterimage!!!
Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.
Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.
Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.
Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.
Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.
Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*
Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern
Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!
Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.
Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.
Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.
Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.
Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.
Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.
Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:
auth-user-pass password.txt
Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.
Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.
Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).
Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).
Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.
Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Bekannte Probleme:
Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:
Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.
Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:
Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.
Wer die Verschlüsselungssicherheit erhöhren möchte und dabei auf Kompatibilität mit alten Anwendungen verzichten möchte, der kann die folgende Konfiguration vornehmen:
Aktivieren des Apache2 Moduls Headers mit (in einer Shell mit root-rechten oder mit sudo):
sudo a2enmod headers
Danach die ssl.conf (z.B. unter Debian unter /etc/apache2/mods-aviable) anpassen um die folgenden Zeilen bzw. existierende entsprechend anpassen:
SSLCipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" SSLSessionTickets Off
Anschließend mit root-rechten die Konfiguration prüfen:
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.EinverstandenWeiterlesen
