Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen Windows Terminal Server zu CISCO Konzentrator?

Mitglied: scrut

scrut (Level 1) - Jetzt verbinden

31.03.2006, aktualisiert 01.04.2006, 7720 Aufrufe, 7 Kommentare

Wie kann man einen Windows 2003 Server überreden, eine VPN-Verbindung zu einem VPN-Concentrator der Firma CISCO zu verbinden?

Ich habe in den vergangenen Tagen einen Windows 2003 Server als Terminal Server in Betrieb genommen. Dieses Gerät soll für eine kleine Arbeitsgruppe als Arbeitsplattform dienen.
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.

Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.

Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.

Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.

Ist das möglich? Wenn ja - wie?

Vielen Dank

scrut
Mitglied: 27119
31.03.2006 um 20:02 Uhr
Das geht über Remote Desktop aus einem einfach Grund nicht - wenn du die VPN Verbindung aufbaust, gibt es KEINE andere Verbindung mehr. Dies soll das Intranet schützen vor gekaperten User-Privat-PCs. Ein Angreifer könnte nämlich (theoretisch) Deinen Rechner übernehmen, und über die VPN Verbindung in das Intranet deines Unternehmens eindringen. Sobald du RD Verbindung hast, kannst du kein VPN Tunnel aufbauen - bzw. es geht nicht beides. Ist ein Sicherheitsfeatur - Verhinderung von "split-tunneling".
Wenn du lokal an der Maschine den VPN aufmachst, klappt das - jedoch KEINE andere Verbindung, nur der Tunnel.

Hast du deine Server-Aktion mit den Uni KA Netz- Verantwortlichen abgesprochen?
Gefahren für ein Netz drohen oft durch das Internet - oft aber auch durch experimentierfreudige Freigeister.
Selbst eine super-sicher Lösung wie die Token Authentifizierung wird so durch Hobby-Admins die private Netz-Erweiterungen basteln zum Einfallsloch für Schädlinge.

Ich denke, du willst einfach Token Kosten sparen. Ein Benutzer hat den Token, der VPN Tunnel läuft ständig, und viele andere können über den Terminal Server auf das Intranet zugreifen. Super Lösung! Dass durch den VPN Tunnel auch allerhand anderes flattern kann (was euch nicht bewusst sein muss) ist die Natur der Sache. Der VPN Tunnel ist eine Brücke in das LAN, und über diese Brücke gehen alle anderen Protokolle - erwünschte wie unerwünschte.
Genau dem will eure VPN Lösung aber vorbeugen, indem NUR der VPN Tunnel gestattet ist, und nichts anderes.

Falls ich mich fachlich oder menschlich irren sollte, bitte ich um Berichtigung!
Falls du dazu befugt bist dies zu tun - viel Erfolg! So wird es aber nicht klappen.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 20:37 Uhr
Aus sicherheitstechnischer Sicht hat duno Recht!

Ob die RDP-Verbindung davon betroffen ist, kann ich nicht sagen.
Das Feature, das, falls dem so ist, dein Vorhaben ermöglichen würde heißt split-tunneling.

Darauf hat der User aber keinen Einfluß, das wird in der VPN-Konfig auf dem Cisco-Concentrator festgelegt.
Bitte warten ..
Mitglied: scrut
31.03.2006 um 20:45 Uhr
Vielen Dank für diese Antwort.
Nun - meine Intention bei dieser Sache ist ganz einfach: statt 10 Mitarbeiter-PCs haben wir genau eine Maschine, auf der alle (über Thin Clients) arbeiten.
Diese Mitarbeiter haben derzeit jeder ihren eigenen, von ihnen selbst administrierten, PC - und greifen von dort aus per VPN aufs Uni-Netz zu.

Mit dem Terminal Server passiert genau dasselbe. Nur halt, dass alle 10 Mitarbeiter ihren VPN-Zugriff über dieselbe Maschine ausführen sollen. Das muss doch möglich sein, oder?
Ich meine - ich will doch nur eine Reihe von PCs durch eine zentrale Maschine ersetzen, die genau dasselbe tun soll wie die 10 existierenden PCs.

Beispielsweise durch die Verwendung einer zweiten Netzwerkkarte, die den Client-Traffic handelt?

Danke

scrut
Bitte warten ..
Mitglied: meinereiner
31.03.2006 um 21:51 Uhr
Darauf hat der User aber keinen
Einfluß, das wird in der VPN-Konfig
auf dem Cisco-Concentrator festgelegt.

Hmm, bist du da sicher?
Zumindest in den alten Client Versionen gabs da ein Häkchen für "lokales LAN", mit dem der LAN Access dann möglich war. Das konnte aber "serverseitig" verhindert werden.
Hat sich das geändert???

Zum Problem: ich würde mich da mal mit dem Admin an der Uni kurzschliessen. Ich kann mir vorstellen das es solche Wünsche nicht so selten sind und vielleicht hat die Uni da ja auch Lösungen für.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 22:01 Uhr
Hmm, bist du da sicher?
EnableLocalLAN gibts immer noch.
Wenn das Spliting auf dem VPN-Server abgeschalten ist, wird das Häckchen aber auch nichts nützen.
Den Concentrator kenn ich nicht, auf der PIX kann man hierzu split-tunnel <acl> setzen.
Bitte warten ..
Mitglied: 27119
31.03.2006 um 22:32 Uhr
Ja, verstehe ich. Ich unterstelle dir auch keine unlauteren Beweggründe.

Ob es mit einer zweiten Netzwerkkarte auf dem Terminalserver klappen würde, was du vorhast kann ich nicht sagen. Sprich es auf jeden Fall mit den Netzbetreibern ab, die helfen bestimmt gerne, wenn du eine spezielle Anforderung hast, die du für Deine Arbeit brauchst.
Die IT ist schliesslich für den User da, und nicht umgekehrt.
Selbständige Eigenkreationen bzw. Zugriffserweiterungen von im Grunde Zugriffsberechtigten sind Admins halt aus Prinzip ein Dorn im Auge, da nicht kontrollierbar.

Vor Internet-Angreifern ist ein Netz relativ leicht schützen - vor Gefahren die von Zugriffsberechtigten ausgehen leider viel schwerer.
Bitte warten ..
Mitglied: scrut
01.04.2006 um 17:27 Uhr
Hallo an alle
ganz herzlichen Dank für Eure super schnelle, freundliche und qualifizierte Hilfe!

Inzwischen habe ich in der vpnclient.ini den einen Eintrag RunAtLogon=1 gesetzt, so dass der Client beim Serverstart automatisch losläuft und sich dann versteckt -> Der User kriegt davon nichts mit.
Leider wird trotz des in der pcf-Datei angegebenen Passworts der Login-Screen auf der Server-Konsole gezeigt. Aber nur einmal beim hochfahren und dann nicht wieder. Zwar unschön, aber noch akzeptabel.

Den Eintrag EnableLocalLAN konnte ich auch auf 1 setzen, so dass nun trotz VPN auch RDP-Clients Zugriff behalten können. Offenbar waren die Uni-Admins freundlich und akzeptieren split tunneling.

Allerdings habe ich diese natürlich auch kontaktiert und ihnen gesagt, was ich hier vorhabe. Auf unserer Seite bin ich zu der Aktion natürlich befugt, aber die Uni-Admins sollen schon Bescheid wissen und ggf. ein Veto einlegen können.

Vielen Dank noch einmal

Gruss

s.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Was ist ein VPN-Konzentrator?
Frage von griss2015Netzwerke3 Kommentare

Moin, was ist ein VPN-Konzentrator? Ist das nur ein Synonym für "VPN-Gateway"? Konnte dazu leider nichts im Netz finden. ...

Windows Server
Windows Terminal Server - Lizenzen
gelöst Frage von Goldenone95Windows Server6 Kommentare

Hallo liebe Community, ich habe eine Frage bezüglich der Windows Server Lizenzierung. Wir haben einen WTS und wollen nun ...

Windows Server
Windows Terminal Server + OneDrive
gelöst Frage von winlin999Windows Server2 Kommentare

Kann man eigentlich OneDrive auf einem Windows Terminal Server einrichten? Klar, dass man die Online-Dienste nutzen kann, aber kann ...

Windows Server
Windows Server 2016 - Terminal Server
Frage von artus-ExcaliburWindows Server2 Kommentare

Hallo zusammen, ich habe einen Windows Server 2016 als Terminal-Server im Einsatz und möchte, dass die Benutzer im Startmenü ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 1 TagSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 2 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless16 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Exchange Server
Outlook findet Postfach nicht
Frage von MaximaxExchange Server11 Kommentare

Hallo, und zwar haben wir auf der Arbeit ein kleines (großes) Exchange 2016 Problem. Exchange meldete gestern, dass die ...

Informationsdienste
Probleme auf dem Server
Frage von LangeLangeInformationsdienste9 Kommentare

Hallo zusammen, ich betreibe die Seite Keine Werbelinks. In der Analyse stellen wir fest, dass die Ladezeit in der ...