Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN über ISA-Server 2004 zu drei Netzwerken

Mitglied: Nixi

Nixi (Level 1) - Jetzt verbinden

08.08.2005, aktualisiert 02.11.2005, 7227 Aufrufe, 8 Kommentare

Habe bei uns im Hause einen MS ISA-Server 2004 mit 4 eingebauten Netzwerkkarten und möchte VPN in verschiedene Netzwerke einrichten.

Mein Ziel ist es nun VPN wie folgt einzurichten:
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP

Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.

Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.

Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.

Kann mir jemand helfen?
Mitglied: VNS
08.08.2005 um 21:26 Uhr
Hallöchen,

die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.

Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.

Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.

Grüße
Bitte warten ..
Mitglied: Nixi
30.08.2005 um 09:52 Uhr
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
01.09.2005 um 15:14 Uhr
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
Bitte warten ..
Mitglied: TEGO
30.10.2005 um 18:00 Uhr
Ich habe genau das gleiche Problem - wie ist die Lösung????

Danke im voraus!

TEGO

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
31.10.2005 um 16:52 Uhr
Im Textfeld "Angegebener Benutzername" muss der Syntax "domäne"\"benutzername" verwendet werden.
Bitte warten ..
Mitglied: TEGO
01.11.2005 um 02:31 Uhr
LOL

Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).

Habe mein Problem aber scheinbar auch gelöst:

Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.

Habe es aber schließlich hingekriegt.

Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.

Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.

Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.

Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).

Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Bitte warten ..
Mitglied: Nixi
01.11.2005 um 18:39 Uhr
Vielleicht nützt Dir dies noch:

Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.

Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
Bitte warten ..
Mitglied: TEGO
02.11.2005 um 02:39 Uhr
Danke für den Tipp!

Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Drei Standorte über VPN miteinander Verbinden

gelöst Frage von Diamond72Router & Routing53 Kommentare

Hallo zusammen, ich möchte gerne drei Standorte netzwerktechnisch per VPN miteinander verbinden, sodass alle drei Standorte in einem Netzwerk ...

Router & Routing

IP Kamera für drei unabhängige Netzwerke

gelöst Frage von ProfessorZRouter & Routing16 Kommentare

Hallo Administratoren! Ich habe mir ein kleines privates Projekt vorgenommen, aber stecke in der Planung fest. Basiswissen im Netzwerken ...

Router & Routing

Zwei Router - Drei Internetanschlüsse - VPN Verbindung

gelöst Frage von mcmaccaRouter & Routing14 Kommentare

Hallo zusammen, ich versuche aktuell folgendes Szenario einzurichten, aber ich glaube meine erste Idee könnte zu Problemen führen - ...

Video & Streaming

Drei Webseiten auf drei Monitoren automatisch im Vollbild starten

Frage von BirdyBVideo & Streaming9 Kommentare

Hallo zusammen, ich bräuchte bitte einen Rat von euch: Derzeit hängen in unserer Einsatzzentrale 3 Statusmonitore nebeneinander. Jeder von ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 6 StundenInternet

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 2 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 2 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 3 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Windows Installation
Adobe Reader noch notwendig?
gelöst Frage von EitieOSWindows Installation26 Kommentare

Muss ich mir noch die Arbeit machen und den Adobe Reader installieren und aktuell halten, wenn doch in Win10 ...

Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging22 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid18 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...