12
VPN Lösung vom SBS2003 für 2 Nutzer gesucht
Hallo an das Forum und alle Nutzer.
Ich betreue unser kleines Firmennetzwerk, welches durch Mobile Client´s erweitert werden soll.
Zur bisherigen Situation:
- T-Business Anschluss mit fester IP (3000 DSL Leitung)
- Teledat DSL Modem
- Linksys Linksys BEVP41 VPN Router
- SBS2003 Server inkl. 2 Netzwerkkarten
- HP Procurve 4000 Switch
- Auf dem Server laufen so ziemlich alle Dienste der er als SBS verichten muss & zusätzlich noch
Exchange sowie eine SQL Express Datenbank für unsere Warenwirtschaft.
- 7 Vista Business Clients & 8 XP Prof. Clients sind bisher angebunden.
Geplante Erweiterung:
2 Nutzer sollen sich von zuhause oder unterwegs an der Domäne anmelden können und alle Dienste wie in
der Firma nutzen können. (Eventuell mit Servergespeicherten Profilen)
Es brauchen jedoch nicht 2 Nutzer gleichzeitig von extern auf den Server zugreifen!!!
- 1 XP Prof. Notebook welches sich schon in der Domäne befindet, soll sich zukünftig
von extern (Privatanschluss bzw. über einen T-Mobile Datentarif an der Domäne anmelden können).
- Desweiteren soll ein weiterer neuer PC an einem privaten Anschluss sich an der Domäne anmelden können.
(T-Home DSL 16000 an einem Speedport W701V inkl. DynDns Account)
Frage: Wie kann man dieses Vorhaben realisieren bzw. welche weitere Hard & Software wäre angebracht oder reichen die Windows eigenen Mittel unter Berücksichtigung
der Sicherheit?
Vielen Dank!
Ich betreue unser kleines Firmennetzwerk, welches durch Mobile Client´s erweitert werden soll.
Zur bisherigen Situation:
- T-Business Anschluss mit fester IP (3000 DSL Leitung)
- Teledat DSL Modem
- Linksys Linksys BEVP41 VPN Router
- SBS2003 Server inkl. 2 Netzwerkkarten
- HP Procurve 4000 Switch
- Auf dem Server laufen so ziemlich alle Dienste der er als SBS verichten muss & zusätzlich noch
Exchange sowie eine SQL Express Datenbank für unsere Warenwirtschaft.
- 7 Vista Business Clients & 8 XP Prof. Clients sind bisher angebunden.
Geplante Erweiterung:
2 Nutzer sollen sich von zuhause oder unterwegs an der Domäne anmelden können und alle Dienste wie in
der Firma nutzen können. (Eventuell mit Servergespeicherten Profilen)
Es brauchen jedoch nicht 2 Nutzer gleichzeitig von extern auf den Server zugreifen!!!
- 1 XP Prof. Notebook welches sich schon in der Domäne befindet, soll sich zukünftig
von extern (Privatanschluss bzw. über einen T-Mobile Datentarif an der Domäne anmelden können).
- Desweiteren soll ein weiterer neuer PC an einem privaten Anschluss sich an der Domäne anmelden können.
(T-Home DSL 16000 an einem Speedport W701V inkl. DynDns Account)
Frage: Wie kann man dieses Vorhaben realisieren bzw. welche weitere Hard & Software wäre angebracht oder reichen die Windows eigenen Mittel unter Berücksichtigung
der Sicherheit?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123974
Url: https://administrator.de/contentid/123974
Printed on: April 24, 2024 at 11:04 o'clock
12 Comments
Latest comment
Wenn du nur die Verbindung haben willst ins Firmennetz ist das einfach gemacht:
1) Auf dem SBS-Server einrichten, dass eingehende VPN-Verbindungen erlaubt sind
2) Auf dem SBS-Server einrichten, dass der User sich auch einwählen darf (glaube das ist unter RAS bei den Benutzerdetails des jeweiligen Users)
3) Den Port fürs VPN an Firewall/Router/... freischalten und auf den SBS lenken.
4) An den Clients unter Netzwerkumgebung eine neue VPN-Verbindung einrichten. (IP eingeben, Benutzerdaten sind die gleichen wie in der Domäne auch)
Edit: Hab nochmal genau geguckt. Punkt 1) findest du in der Serververwaltungskonsole des SBS unter "Internet und E-Mail" -> "RAS konfigurieren"
Und für die jeweiligen Nutzer musst du dann unter "Einwählen" in deren Benutzereinstellungen "Zugriff gestatten" auswählen.
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec. Wenn man sichere Passwörter für die VPN-User vorgibt (nicht "hans" oder so, sondern wirklich sichere) und nur den VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt für Windows 2003 weiß ich nicht. Sonst gibt es auch Firewall-Lösungen, die das können. Bin da Fan der m0n0wall (m0n0.ch) mit nem schönen ALIX-Board als kleine Verpackung. Da ist man mit 150€ gut dabei.
1) Auf dem SBS-Server einrichten, dass eingehende VPN-Verbindungen erlaubt sind
2) Auf dem SBS-Server einrichten, dass der User sich auch einwählen darf (glaube das ist unter RAS bei den Benutzerdetails des jeweiligen Users)
3) Den Port fürs VPN an Firewall/Router/... freischalten und auf den SBS lenken.
4) An den Clients unter Netzwerkumgebung eine neue VPN-Verbindung einrichten. (IP eingeben, Benutzerdaten sind die gleichen wie in der Domäne auch)
Edit: Hab nochmal genau geguckt. Punkt 1) findest du in der Serververwaltungskonsole des SBS unter "Internet und E-Mail" -> "RAS konfigurieren"
Und für die jeweiligen Nutzer musst du dann unter "Einwählen" in deren Benutzereinstellungen "Zugriff gestatten" auswählen.
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec. Wenn man sichere Passwörter für die VPN-User vorgibt (nicht "hans" oder so, sondern wirklich sichere) und nur den VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt für Windows 2003 weiß ich nicht. Sonst gibt es auch Firewall-Lösungen, die das können. Bin da Fan der m0n0wall (m0n0.ch) mit nem schönen ALIX-Board als kleine Verpackung. Da ist man mit 150€ gut dabei.
Das ist ja nun blödsinn, da der Fragesteller ja schon einen VPN-Router sein eigen nennt. Da muß er ja nur 2 + 2 zusammenzählen.
Gruß, Arch Stanton
Gruß, Arch Stanton
Zitat von @neuni88:
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
Wenn man sichere Passwörter für die VPN-User vorgibt (nicht
"hans" oder so, sondern wirklich sichere) und nur den
VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das
ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt
für Windows 2003 weiß ich nicht.
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
Wenn man sichere Passwörter für die VPN-User vorgibt (nicht
"hans" oder so, sondern wirklich sichere) und nur den
VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das
ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt
für Windows 2003 weiß ich nicht.
Windows kann sehr wohl IPSEC, und das sogar nicht nur mit Preshared-Key, sondern auch mit zertifikatsbasierter Authentifizierung. Da eigentlich alle Lösungen im unteren Preissegment lediglich Preshared-Key-Authentifizierung bieten, sollte man anstatt Geld für ein VPN-Gateway zu "verbrennen", doch die Windows-Lösung nutzen.
http://technet.microsoft.com/de-de/library/cc736821(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc787915(WS.10).aspx
Bei einem vorhandenen IPSEC-Router sollte man diesen dann aber ruhig nutzen (obwohl das genannte Modell scheinbar nur Preshared-Key kann. Aber wenn nicht jeder den Key kennt, dann sollte das ausreichen
).
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
das ist falsch, IPSec ist Bestandteil vom Tunnelprotokoll L2TP.
L2TP kommt sehr oft unter Windows zum Einsatz.
Gruss Roland
Die Umsetzung ist ja nun durch das Vorhandensein eines VPN Routers kinderleicht, wie Arch es schon richtig bemerkt !
Einfacher und schneller gehts ja nun wirklich nicht mehr wenn schon die richtige Hardware vorhanden ist.
Aufpassen musst du lediglich mit den remoten Usern die sich selbst hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers überwinden kann muss hier IMMER ein Port Forwarding (Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht werden mit dem Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, wird meist dynmaisch gemacht wenn die DSL Router VPN Passthrough supporten !)
Das VPN Passthrough Feature ist dann ein Muss auf den remoten Routern.
Ein wenig Zusatzinfo zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
- VPN Konfig auf dem Linksys BEVP aktivieren
- Einen VPN Client auf den remoten Maschinen installieren wie z.B. den freien Shrew_VPN_Client ! Ein Anleitung wie der mit dem Linksys zusammenspielt sieht man HIER
- ...fertig ist der VPN Zugriff !
Einfacher und schneller gehts ja nun wirklich nicht mehr wenn schon die richtige Hardware vorhanden ist.
Aufpassen musst du lediglich mit den remoten Usern die sich selbst hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers überwinden kann muss hier IMMER ein Port Forwarding (Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht werden mit dem Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, wird meist dynmaisch gemacht wenn die DSL Router VPN Passthrough supporten !)
Das VPN Passthrough Feature ist dann ein Muss auf den remoten Routern.
Ein wenig Zusatzinfo zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gut, mag sein, dass es Win2003 kann. Mir ist es bisher nicht ins Auge gesprungen. Deswegen sagte ich ja, dass es durch "Addons" oder ähnliches sicherlich möglich ist, dass der SBS es kann. Aber der komische Assistent macht doch erstmal ein PPTP, oder nicht?
Vergiss doch einfach mal den Winblows Server ! Er hat doch einen VPN Router und kann doch die VPN Session direkt auf dem Router terminieren !!!
Das erspart ihm zusätzlich die überflüsige Frickelei mit VPN Port Weiterleitungs usw. auf dem Router.
Warum sollte er dann den Router brach lassen und alles über den Server machen...das wäre doch Blödsinn, denn die richtige HW ist ja vorhanden !
Wenn er das ohne den Server macht ist er zudem unabhängig von dessen Verfügbarkeit !
Das erspart ihm zusätzlich die überflüsige Frickelei mit VPN Port Weiterleitungs usw. auf dem Router.
Warum sollte er dann den Router brach lassen und alles über den Server machen...das wäre doch Blödsinn, denn die richtige HW ist ja vorhanden !
Wenn er das ohne den Server macht ist er zudem unabhängig von dessen Verfügbarkeit !
Zitat von @aqui:
Aufpassen musst du lediglich mit den remoten Usern die sich selbst
hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers
überwinden kann muss hier IMMER ein Port Forwarding
(Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht
werden mit dem Ports:
Aufpassen musst du lediglich mit den remoten Usern die sich selbst
hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers
überwinden kann muss hier IMMER ein Port Forwarding
(Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht
werden mit dem Ports:
Öhmm,
dir ist aber schon bewusst, dass das bei NAT-T nicht der Fall ist (und selbst die Anleitung zu dem von dir empfohlenen VPN-Client nichts davon weiß)?
Ich stimme dir ja zu, dass der Router eigentlich die angenehmere Wahl ist, aber ich muss zugeben, dass ich bei der Begründung aus eben genannten Gründen doch etwas Schmunzeln musste. (Über die überflüssige Frickelei mit den Weiterleitungen). Sorry dafür.
@stevie-b
Ja da hast du natürlich Recht. Leider supporten aber die wenigstens VPN Server auf IPsec ESP Basis NAT-T so das man immer besser vom Worst Case ausgehen sollte.
Mit NAT Traversal auf UDP 4500, hast du Recht, ist ein Port Forwarding dann nicht mehr erforderlich !
Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....
Ja da hast du natürlich Recht. Leider supporten aber die wenigstens VPN Server auf IPsec ESP Basis NAT-T so das man immer besser vom Worst Case ausgehen sollte.
Mit NAT Traversal auf UDP 4500, hast du Recht, ist ein Port Forwarding dann nicht mehr erforderlich !
Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....
Hallo,
der ISA-Server kann L2TP/IPsec mit nat traversal.
Der OP dieses threads setzt SBS 2003 ein, muss gehen, eventuell auf die Premium Version upgraden, die enthält in jedem Fall den ISA-Server.
Auf jeden Fall sollte man sich vorher gründlich Gedanken machen, schließlich werden vertrauliche Daten über das unsichere Trägermedium Internet transportiert.
Gruss Roland
der ISA-Server kann L2TP/IPsec mit nat traversal.
Der OP dieses threads setzt SBS 2003 ein, muss gehen, eventuell auf die Premium Version upgraden, die enthält in jedem Fall den ISA-Server.
Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....
Auf jeden Fall sollte man sich vorher gründlich Gedanken machen, schließlich werden vertrauliche Daten über das unsichere Trägermedium Internet transportiert.
Gruss Roland
Windows Server 2003 kann das von Haus aus, es ist also kein ISA erforderlich.
Natürlich sollte man noch folgende Artikel beachten:
- http://support.microsoft.com/kb/885348 Der Artikel basiert aber auf einem "Fehler", der eher theoretischer Natur ist.
- http://support.microsoft.com/kb/885407
Natürlich sollte man noch folgende Artikel beachten:
- http://support.microsoft.com/kb/885348 Der Artikel basiert aber auf einem "Fehler", der eher theoretischer Natur ist.
- http://support.microsoft.com/kb/885407
richtig, Windows Server 2003 kann von Haus aus VPN Tunnel (PPTP, L2TP, IPSec) aufbauen für die Einwahl von Clients.
http://support.microsoft.com/kb/323441/de
Ein ISA macht nach meiner Auffassung dennoch Sinn, denn man kann Firewall- und Überwachungsregeln anlegen.
Bleibt aber dem OP dieses Threads überlassen....
Gruss Roland
http://support.microsoft.com/kb/323441/de
Ein ISA macht nach meiner Auffassung dennoch Sinn, denn man kann Firewall- und Überwachungsregeln anlegen.
Bleibt aber dem OP dieses Threads überlassen....
Gruss Roland
