8
VPN über ISA-Server 2004 zu drei Netzwerken
Habe bei uns im Hause einen MS ISA-Server 2004 mit 4 eingebauten Netzwerkkarten und möchte VPN in verschiedene Netzwerke einrichten.
Mein Ziel ist es nun VPN wie folgt einzurichten:
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP
Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.
Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.
Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.
Kann mir jemand helfen?
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP
Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.
Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.
Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.
Kann mir jemand helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 14135
Url: https://administrator.de/contentid/14135
Printed on: April 19, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hallöchen,
die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.
Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.
Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.
Grüße
die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.
Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.
Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.
Grüße
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.
Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).
Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.
In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.
Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix
Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).
Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.
In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.
Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix
Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
Ich habe genau das gleiche Problem - wie ist die Lösung????
Danke im voraus!
TEGO
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.
Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).
Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.
In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.
Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix
Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Danke im voraus!
TEGO
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.
Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).
Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.
In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.
Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix
Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Im Textfeld "Angegebener Benutzername" muss der Syntax "domäne"\"benutzername" verwendet werden.
LOL
Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).
Habe mein Problem aber scheinbar auch gelöst:
Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.
Habe es aber schließlich hingekriegt.
Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.
Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.
Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.
Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).
Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).
Habe mein Problem aber scheinbar auch gelöst:
Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.
Habe es aber schließlich hingekriegt.
Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.
Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.
Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.
Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).
Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Vielleicht nützt Dir dies noch:
Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.
Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.
Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
Danke für den Tipp!
Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!
Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!
