1
VPN zu Virtual Server Systemen
Kann mir wer helfen!?
Hallo!
Folgendes Problem:
Ich habe einen Server (S1) welcher als Betriebssystem Windows2003 Server laufen hat. Dieser Server hat eine Netzwerkkarte welche für die Internetverbindung zuständig ist. Das heißt.. 1 externe IP fürs Internet! (80.100.xxx.xxx) und 1 MAC!.
Auf dem Server S1 läuft ausserdem noch Virtual Server 2005.
Auf Virtual Server 2005 laufen 2 virtuelle Server (VS1 und VS2). Beide Server haben ebenfalls als Betriebssystem Windows 2003 Server.
Beide Server sind mitt hilfe von Microsoft Loopback (NAT) mit dem Internet verbunden! Das heißt.. Internetverbindung ist nur über den Host Server S1 möglich! Beide Server haben Active Directory installiert.
So weit so gut..
Folgendes möchte ich haben:
Möglichkeit von einem externen PC übers Internet per VPN auf entweder VS1 oder VS2 einwählen zu können. Wenn ich mich auf VS1 einwähle dann darf ich keinen Zugriff auf den Host Server S1 und VS2 haben.
Wenn ich mich auf VS2 einwähle.. dann kein Zugriff auf S1 und VS1.
Mein derzeitiger Stand ist folgender: Einwahl direkt auf VS1 möglich - jedoch nicht auf VS2. kann immer nur ein Ziel auswählen!
Gibts da ne möglichkeit an einer stelle zu unterscheiden.. Wenn "Fall1" dann VS1, sonst "VS2"?
Um das ganze zu erweitern, soll das ganze auch mit Webseiten funktionieren.. Funktioniert das auf die Art?:
2 Domains - Domain 1 geht auf S1 über port 81; Domain 2 geht auf S1 über Port 82; S1 leited je nach Port an den richtigen Server weiter auf Port 80.
Ist das mit den Ports auch bei VPN irgendwie möglich?
Ich find diesbezüglich nichts mehr was mir hilfT!
Danke im Voraus für die Antwort.
LG
Folgendes Problem:
Ich habe einen Server (S1) welcher als Betriebssystem Windows2003 Server laufen hat. Dieser Server hat eine Netzwerkkarte welche für die Internetverbindung zuständig ist. Das heißt.. 1 externe IP fürs Internet! (80.100.xxx.xxx) und 1 MAC!.
Auf dem Server S1 läuft ausserdem noch Virtual Server 2005.
Auf Virtual Server 2005 laufen 2 virtuelle Server (VS1 und VS2). Beide Server haben ebenfalls als Betriebssystem Windows 2003 Server.
Beide Server sind mitt hilfe von Microsoft Loopback (NAT) mit dem Internet verbunden! Das heißt.. Internetverbindung ist nur über den Host Server S1 möglich! Beide Server haben Active Directory installiert.
So weit so gut..
Folgendes möchte ich haben:
Möglichkeit von einem externen PC übers Internet per VPN auf entweder VS1 oder VS2 einwählen zu können. Wenn ich mich auf VS1 einwähle dann darf ich keinen Zugriff auf den Host Server S1 und VS2 haben.
Wenn ich mich auf VS2 einwähle.. dann kein Zugriff auf S1 und VS1.
Mein derzeitiger Stand ist folgender: Einwahl direkt auf VS1 möglich - jedoch nicht auf VS2. kann immer nur ein Ziel auswählen!
Gibts da ne möglichkeit an einer stelle zu unterscheiden.. Wenn "Fall1" dann VS1, sonst "VS2"?
Um das ganze zu erweitern, soll das ganze auch mit Webseiten funktionieren.. Funktioniert das auf die Art?:
2 Domains - Domain 1 geht auf S1 über port 81; Domain 2 geht auf S1 über Port 82; S1 leited je nach Port an den richtigen Server weiter auf Port 80.
Ist das mit den Ports auch bei VPN irgendwie möglich?
Ich find diesbezüglich nichts mehr was mir hilfT!
Danke im Voraus für die Antwort.
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92218
Url: https://administrator.de/contentid/92218
Printed on: April 16, 2024 at 04:04 o'clock
1 Comment
Dein Problem ist das du die beiden virtuellen server per NAT angebunden hast, das zwingt dich dazu port forwarding zu machen sonst kannst du die NAT Firewall nicht überwinden um von aussen auf deine virtuellen Server zu kommen.
Generell ist das kein gutes Konzept was du da machst. Als allererstes ist es die bedenkliche Konstellation den Hostserver direkt im Internet zu exponieren. Und dann auch noch mit einem OS von Microsoft !
Eigentlich zeugt das heutzutage von Unkenntniss oder Fahrlässigkeit im Umgang mit Sicherheit. Unverständlich wo es heutzutage in jedem Baumarkt Router für 20 Euro gibt die wenigstens deine Server besser schützen.
Besser wäre in jedem Fall ein solches Konstrukt:
Im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp veränderst du einfach bei RDP den Zielport im Wert PortNumber.
Dann trägst du in den Router 2 Port Weiterleitungsregeln ein und zwar TCP 53389 auf VS1 und TCP 54389 auf VS1.
Nun kannst du problemlos auf deine beiden virtuellen Server zugreifen.
Wichtig ist noch das du statt NAT nun eine bridged Kopplung der virtuellen Server zum Hostserver wählst !!
Für den Zugriff auf Webseiten bei VS1 und VS2 macht du es analog:
TCP 80 leitest du auf VS1 z.B. und TCP 8080 leitest du auf VS2
Wenn du nun noch den DynDNS Client auf dem Router aktivierst (sofern du keine feste IP von deinem Provider hast) kannst du von remote mit dem RDP Client und der Zieladresse des Routers mit
<Router_Dyn_DNS_Adresse>:53389 auf VS1
und
<Router_Dyn_DNS_Adresse>:54389 auf VS2
remote auf die Server zugreifen.
Mit den Webseiten klappt es analog wenn du im Browser
http://<Router_Dyn_DNS_Adresse>:80 für VS1
und
http://<Router_Dyn_DNS_Adresse>:8080 für VS2
eingibst.
Eine VPN Verbindung zu 2 Zielsystemen ist technisch nicht zu realisieren, das PPTP, oder IPsec für den VPN Tunnel aus mehreren Protokollen besteht und eine Portveränderung den sofortigen Abbruch bedeuten würden wenn man es auf 2 Server splitten sollte.
Bei einer VPN Verbindung ist das aber auch gar nicht nötig, denn es reicht vollkommen diese z.B. auf dem Hostserver zu realisieren. Damit hast du ja dein gesamtes netzwerk im Zugriff und kannst dann transparent mit allen Applikationen auch auf die beiden virtuellen Server VS1 und VS2 zugreifen.
Bei PPTP trägst du dann z.B. nur TCP 1723 und das GRE Protokoll in die Port Weiterleitung auf die lokale IP des Hostservers ein und gut ist.
Technisch besser ist es gleich einen Router mit aktiver VPN Funktion zu verwenden, dann ersparst du dir die Frickelei mit VPN Port Forwarding auf dem Router !!
Generell ist das kein gutes Konzept was du da machst. Als allererstes ist es die bedenkliche Konstellation den Hostserver direkt im Internet zu exponieren. Und dann auch noch mit einem OS von Microsoft !
Eigentlich zeugt das heutzutage von Unkenntniss oder Fahrlässigkeit im Umgang mit Sicherheit. Unverständlich wo es heutzutage in jedem Baumarkt Router für 20 Euro gibt die wenigstens deine Server besser schützen.
Besser wäre in jedem Fall ein solches Konstrukt:
Im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp veränderst du einfach bei RDP den Zielport im Wert PortNumber.
Dann trägst du in den Router 2 Port Weiterleitungsregeln ein und zwar TCP 53389 auf VS1 und TCP 54389 auf VS1.
Nun kannst du problemlos auf deine beiden virtuellen Server zugreifen.
Wichtig ist noch das du statt NAT nun eine bridged Kopplung der virtuellen Server zum Hostserver wählst !!
Für den Zugriff auf Webseiten bei VS1 und VS2 macht du es analog:
TCP 80 leitest du auf VS1 z.B. und TCP 8080 leitest du auf VS2
Wenn du nun noch den DynDNS Client auf dem Router aktivierst (sofern du keine feste IP von deinem Provider hast) kannst du von remote mit dem RDP Client und der Zieladresse des Routers mit
<Router_Dyn_DNS_Adresse>:53389 auf VS1
und
<Router_Dyn_DNS_Adresse>:54389 auf VS2
remote auf die Server zugreifen.
Mit den Webseiten klappt es analog wenn du im Browser
http://<Router_Dyn_DNS_Adresse>:80 für VS1
und
http://<Router_Dyn_DNS_Adresse>:8080 für VS2
eingibst.
Eine VPN Verbindung zu 2 Zielsystemen ist technisch nicht zu realisieren, das PPTP, oder IPsec für den VPN Tunnel aus mehreren Protokollen besteht und eine Portveränderung den sofortigen Abbruch bedeuten würden wenn man es auf 2 Server splitten sollte.
Bei einer VPN Verbindung ist das aber auch gar nicht nötig, denn es reicht vollkommen diese z.B. auf dem Hostserver zu realisieren. Damit hast du ja dein gesamtes netzwerk im Zugriff und kannst dann transparent mit allen Applikationen auch auf die beiden virtuellen Server VS1 und VS2 zugreifen.
Bei PPTP trägst du dann z.B. nur TCP 1723 und das GRE Protokoll in die Port Weiterleitung auf die lokale IP des Hostservers ein und gut ist.
Technisch besser ist es gleich einen Router mit aktiver VPN Funktion zu verwenden, dann ersparst du dir die Frickelei mit VPN Port Forwarding auf dem Router !!