Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen Windows Terminal Server zu CISCO Konzentrator?

Mitglied: scrut

scrut (Level 1) - Jetzt verbinden

31.03.2006, aktualisiert 01.04.2006, 7715 Aufrufe, 7 Kommentare

Wie kann man einen Windows 2003 Server überreden, eine VPN-Verbindung zu einem VPN-Concentrator der Firma CISCO zu verbinden?

Ich habe in den vergangenen Tagen einen Windows 2003 Server als Terminal Server in Betrieb genommen. Dieses Gerät soll für eine kleine Arbeitsgruppe als Arbeitsplattform dienen.
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.

Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.

Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.

Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.

Ist das möglich? Wenn ja - wie?

Vielen Dank

scrut
Mitglied: 27119
31.03.2006 um 20:02 Uhr
Das geht über Remote Desktop aus einem einfach Grund nicht - wenn du die VPN Verbindung aufbaust, gibt es KEINE andere Verbindung mehr. Dies soll das Intranet schützen vor gekaperten User-Privat-PCs. Ein Angreifer könnte nämlich (theoretisch) Deinen Rechner übernehmen, und über die VPN Verbindung in das Intranet deines Unternehmens eindringen. Sobald du RD Verbindung hast, kannst du kein VPN Tunnel aufbauen - bzw. es geht nicht beides. Ist ein Sicherheitsfeatur - Verhinderung von "split-tunneling".
Wenn du lokal an der Maschine den VPN aufmachst, klappt das - jedoch KEINE andere Verbindung, nur der Tunnel.

Hast du deine Server-Aktion mit den Uni KA Netz- Verantwortlichen abgesprochen?
Gefahren für ein Netz drohen oft durch das Internet - oft aber auch durch experimentierfreudige Freigeister.
Selbst eine super-sicher Lösung wie die Token Authentifizierung wird so durch Hobby-Admins die private Netz-Erweiterungen basteln zum Einfallsloch für Schädlinge.

Ich denke, du willst einfach Token Kosten sparen. Ein Benutzer hat den Token, der VPN Tunnel läuft ständig, und viele andere können über den Terminal Server auf das Intranet zugreifen. Super Lösung! Dass durch den VPN Tunnel auch allerhand anderes flattern kann (was euch nicht bewusst sein muss) ist die Natur der Sache. Der VPN Tunnel ist eine Brücke in das LAN, und über diese Brücke gehen alle anderen Protokolle - erwünschte wie unerwünschte.
Genau dem will eure VPN Lösung aber vorbeugen, indem NUR der VPN Tunnel gestattet ist, und nichts anderes.

Falls ich mich fachlich oder menschlich irren sollte, bitte ich um Berichtigung!
Falls du dazu befugt bist dies zu tun - viel Erfolg! So wird es aber nicht klappen.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 20:37 Uhr
Aus sicherheitstechnischer Sicht hat duno Recht!

Ob die RDP-Verbindung davon betroffen ist, kann ich nicht sagen.
Das Feature, das, falls dem so ist, dein Vorhaben ermöglichen würde heißt split-tunneling.

Darauf hat der User aber keinen Einfluß, das wird in der VPN-Konfig auf dem Cisco-Concentrator festgelegt.
Bitte warten ..
Mitglied: scrut
31.03.2006 um 20:45 Uhr
Vielen Dank für diese Antwort.
Nun - meine Intention bei dieser Sache ist ganz einfach: statt 10 Mitarbeiter-PCs haben wir genau eine Maschine, auf der alle (über Thin Clients) arbeiten.
Diese Mitarbeiter haben derzeit jeder ihren eigenen, von ihnen selbst administrierten, PC - und greifen von dort aus per VPN aufs Uni-Netz zu.

Mit dem Terminal Server passiert genau dasselbe. Nur halt, dass alle 10 Mitarbeiter ihren VPN-Zugriff über dieselbe Maschine ausführen sollen. Das muss doch möglich sein, oder?
Ich meine - ich will doch nur eine Reihe von PCs durch eine zentrale Maschine ersetzen, die genau dasselbe tun soll wie die 10 existierenden PCs.

Beispielsweise durch die Verwendung einer zweiten Netzwerkkarte, die den Client-Traffic handelt?

Danke

scrut
Bitte warten ..
Mitglied: meinereiner
31.03.2006 um 21:51 Uhr
Darauf hat der User aber keinen
Einfluß, das wird in der VPN-Konfig
auf dem Cisco-Concentrator festgelegt.

Hmm, bist du da sicher?
Zumindest in den alten Client Versionen gabs da ein Häkchen für "lokales LAN", mit dem der LAN Access dann möglich war. Das konnte aber "serverseitig" verhindert werden.
Hat sich das geändert???

Zum Problem: ich würde mich da mal mit dem Admin an der Uni kurzschliessen. Ich kann mir vorstellen das es solche Wünsche nicht so selten sind und vielleicht hat die Uni da ja auch Lösungen für.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 22:01 Uhr
Hmm, bist du da sicher?
EnableLocalLAN gibts immer noch.
Wenn das Spliting auf dem VPN-Server abgeschalten ist, wird das Häckchen aber auch nichts nützen.
Den Concentrator kenn ich nicht, auf der PIX kann man hierzu split-tunnel <acl> setzen.
Bitte warten ..
Mitglied: 27119
31.03.2006 um 22:32 Uhr
Ja, verstehe ich. Ich unterstelle dir auch keine unlauteren Beweggründe.

Ob es mit einer zweiten Netzwerkkarte auf dem Terminalserver klappen würde, was du vorhast kann ich nicht sagen. Sprich es auf jeden Fall mit den Netzbetreibern ab, die helfen bestimmt gerne, wenn du eine spezielle Anforderung hast, die du für Deine Arbeit brauchst.
Die IT ist schliesslich für den User da, und nicht umgekehrt.
Selbständige Eigenkreationen bzw. Zugriffserweiterungen von im Grunde Zugriffsberechtigten sind Admins halt aus Prinzip ein Dorn im Auge, da nicht kontrollierbar.

Vor Internet-Angreifern ist ein Netz relativ leicht schützen - vor Gefahren die von Zugriffsberechtigten ausgehen leider viel schwerer.
Bitte warten ..
Mitglied: scrut
01.04.2006 um 17:27 Uhr
Hallo an alle
ganz herzlichen Dank für Eure super schnelle, freundliche und qualifizierte Hilfe!

Inzwischen habe ich in der vpnclient.ini den einen Eintrag RunAtLogon=1 gesetzt, so dass der Client beim Serverstart automatisch losläuft und sich dann versteckt -> Der User kriegt davon nichts mit.
Leider wird trotz des in der pcf-Datei angegebenen Passworts der Login-Screen auf der Server-Konsole gezeigt. Aber nur einmal beim hochfahren und dann nicht wieder. Zwar unschön, aber noch akzeptabel.

Den Eintrag EnableLocalLAN konnte ich auch auf 1 setzen, so dass nun trotz VPN auch RDP-Clients Zugriff behalten können. Offenbar waren die Uni-Admins freundlich und akzeptieren split tunneling.

Allerdings habe ich diese natürlich auch kontaktiert und ihnen gesagt, was ich hier vorhabe. Auf unserer Seite bin ich zu der Aktion natürlich befugt, aber die Uni-Admins sollen schon Bescheid wissen und ggf. ein Veto einlegen können.

Vielen Dank noch einmal

Gruss

s.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Was ist ein VPN-Konzentrator?
Frage von griss2015Netzwerke3 Kommentare

Moin, was ist ein VPN-Konzentrator? Ist das nur ein Synonym für "VPN-Gateway"? Konnte dazu leider nichts im Netz finden. ...

Windows Server
Windows Terminal Server - Lizenzen
gelöst Frage von Goldenone95Windows Server6 Kommentare

Hallo liebe Community, ich habe eine Frage bezüglich der Windows Server Lizenzierung. Wir haben einen WTS und wollen nun ...

Windows Server
Windows Server 2016 - Terminal Server
Frage von artus-ExcaliburWindows Server2 Kommentare

Hallo zusammen, ich habe einen Windows Server 2016 als Terminal-Server im Einsatz und möchte, dass die Benutzer im Startmenü ...

Netzwerkgrundlagen

VPN Lösung zu Terminal Server bei Server-Hosting in RZ

Frage von kermitgreenfrogNetzwerkgrundlagen9 Kommentare

Liebe Gemeinde, leider bin ich unbedarft was VPN angeht und brauche deshalb mal euren fachmännischen Rat. Ausgangslage: Wir haben ...

Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 22 StundenExchange Server4 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 1 TagSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 2 TageniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 2 TagenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerk einrichten - wie mache ich es richtig?
Frage von gintonikWindows Netzwerk23 Kommentare

Hallo, ich bin neu hier und erhoffe mir hier ein paar Antworten für meine Umsetzung zu erhalten. Kurz zu ...

CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Microsoft Office
Druckdatum nur auf ausgedrucktem Dokument anzeigen
gelöst Frage von eichi18Microsoft Office16 Kommentare

Hallo zusammen Ich versuche in einem Word Dokument das Druckdatum nur auf dem eigentlichen Ausdruck auszugeben und am Bildschirm ...

Batch & Shell
Auswahlfenster Batch
gelöst Frage von FrankreichBatch & Shell12 Kommentare

Liebes Forum! Ich habe ein Batch Script geschrieben, bei welchem man die IP changen kann denn Namen und den ...