78742
Oct 13, 2009, updated at Oct 18, 2012 (UTC)
4700
5
1
Brauche Infos zu Site to Site zwischen zwei Domänen über OpenVPN
Ich bin grad dabei ein theoretisches Konzept für eine VPN-Verbindung zwischen 2 Domänen auszuarbeiten und ich würde gerne wissen, ob ich evtl. einen eklatanten Denkfehler drin habe bzw. was ihr generell davon haltet.
Also, Ausgangsposition sind zwei physikalisch getrennte Netzwerke in verschiedenen Subnetzen. Beide Netzwerke (Domäne A und Domäne B) verfügen über ein AD mit einem primären W2K3 Domänencontroller mit jeweils eigenem DHCP, DNS und Benutzerverwaltung. Die Verbindung zum Internet kommt jeweils über einen DSL Router zustande. Dahinter ist dann ein Switch, an dem der Server und jeweils 10 Clients sitzen.
Ich setz mal ein Bild rein, wie das bis jetzt aussieht:
Zielsetzung ist, dass diese beiden Domänen über eine OpenVPN Verbindung zu "einem" Netz in verschiedenen Subnetzenverbunden werden.
Dazu wird Server A (192.168.3.1) als OpenVPN Server eingerichtet, der Server B(192.168.4.1) als VPN-Client.
Weiterhin soll die Möglichkeit bestehen, sich auf Server A als "Roadwarrior" an das Netzwerk anzumelden, dabei ist es nicht wichtig, dass sich alle Clients untereinander sehen können. Wichtig ist, dass der File- und Exchangeserver von Server A von jedem Client im Netzwerk erreicht werden kann.
Meine Hauptfrage ist, wie bei zwei primären Domänencontrollern die Benutzerverwaltung funktioniert, sodass zB auch Clients aus Netz B, die sich von unterwegs auf den OpenVPN Server A anmelden, Zugriff auf ihre Daten haben.
Reicht es einfach, eine Vertrauensstellung einzurichten?
Synchronisieren sich dann die Benutzerkonten?
Bzw., was wichtiger ist, gibt es eine Möglichkeit, die Serverprofile von Domäne B auf Domäne A zu synchronisieren, damit die Daten bei Verbindung von ausserhalb zur Verfügung stehen?
Ich setz mal ein Bild rein, wie das bis jetzt aussieht:
Dazu wird Server A (192.168.3.1) als OpenVPN Server eingerichtet, der Server B(192.168.4.1) als VPN-Client.
Weiterhin soll die Möglichkeit bestehen, sich auf Server A als "Roadwarrior" an das Netzwerk anzumelden, dabei ist es nicht wichtig, dass sich alle Clients untereinander sehen können. Wichtig ist, dass der File- und Exchangeserver von Server A von jedem Client im Netzwerk erreicht werden kann.
Meine Hauptfrage ist, wie bei zwei primären Domänencontrollern die Benutzerverwaltung funktioniert, sodass zB auch Clients aus Netz B, die sich von unterwegs auf den OpenVPN Server A anmelden, Zugriff auf ihre Daten haben.
Reicht es einfach, eine Vertrauensstellung einzurichten?
Synchronisieren sich dann die Benutzerkonten?
Bzw., was wichtiger ist, gibt es eine Möglichkeit, die Serverprofile von Domäne B auf Domäne A zu synchronisieren, damit die Daten bei Verbindung von ausserhalb zur Verfügung stehen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127016
Url: https://administrator.de/contentid/127016
Printed on: April 19, 2024 at 15:04 o'clock
5 Comments
Latest comment
Grundlegendes zum VPN Adressdesign findest du hier:
VPNs einrichten mit PPTP
Generelle Infos zu OpenVPN hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit wäre dann das ToDo der Netzkopplung abgehakt. Der Rest ist in der Tat nur die Vertrauensstellung !
Das ist analog als wären beide Server in einem LAN.
Letztlich bleibt dann nur die Kardinalsfrage warum du nicht einfach die VPN Funktionalitäten der Fritzboxen nutzt die ja schon alles an Bord haben ?? Damit ist eine Netzwerk Kopplung viel einfacher und sinnvoller zu realisieren in deinem Umfeld !
Damit wäre der Overhead von OpenVPN eigentlich überflüssig, denn die FBs habens ja eh für so eine VPN Kopplung schon alles "an Bord" und das auch noch unabhängig von der Verfügbarkeit der Server. Vom Infrastruktur Design wäre das die beste Lösung, denn das erspart dir die Frickelei mit Port Forwarding etc. auf den Routern.
Wie das geht sagt dir das AVM VPN Portal im Detail:
http://www.avm.de/vpn/
VPNs einrichten mit PPTP
Generelle Infos zu OpenVPN hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Damit wäre dann das ToDo der Netzkopplung abgehakt. Der Rest ist in der Tat nur die Vertrauensstellung !
Das ist analog als wären beide Server in einem LAN.
Letztlich bleibt dann nur die Kardinalsfrage warum du nicht einfach die VPN Funktionalitäten der Fritzboxen nutzt die ja schon alles an Bord haben ?? Damit ist eine Netzwerk Kopplung viel einfacher und sinnvoller zu realisieren in deinem Umfeld !
Damit wäre der Overhead von OpenVPN eigentlich überflüssig, denn die FBs habens ja eh für so eine VPN Kopplung schon alles "an Bord" und das auch noch unabhängig von der Verfügbarkeit der Server. Vom Infrastruktur Design wäre das die beste Lösung, denn das erspart dir die Frickelei mit Port Forwarding etc. auf den Routern.
Wie das geht sagt dir das AVM VPN Portal im Detail:
http://www.avm.de/vpn/
Danke!
Hab mich versucht intensiv schlauzulesen, aber manchmal ist "direkte Frage - direkte Antwort" doch am hilfreichsten.
Aber sorry wenn ich nochmal nachhake:
So funktioniert dann auch die Anmeldung von "Netz B" Clients von unterwegs mit OpenVPN an dem OpenVPN Server A inkl. Verbindung zu den Nutzerprofilen?
Hab mich versucht intensiv schlauzulesen, aber manchmal ist "direkte Frage - direkte Antwort" doch am hilfreichsten.
Aber sorry wenn ich nochmal nachhake:
So funktioniert dann auch die Anmeldung von "Netz B" Clients von unterwegs mit OpenVPN an dem OpenVPN Server A inkl. Verbindung zu den Nutzerprofilen?
Deine "Netz B" Clients gibt es ja in dem Sinne gar nicht mehr wenn sie unterwegs sind !!
Unterwegs bekommen diese Clients dann ja logischerweise vollkommen andere IP Adressen als die des "Netz Bs", nämlich solche wo sie sich gerade befinden !
Also z.B. im GSM/UMTS Mobilnetzen, Hotspots auf Flughäfen/Bahnhöfen, Zuhause, in anderen Kundennetzen, usw. usw. Netz B gibt es also gar nicht in dem Sinne von unterwegs.
Deswegen der wichtige Hinweis auf ein intelligentes VPN IP #comment-toc5 Adressdesign oben, was für alle VPN Lösungen generell gilt !
Letztlich lautet die Antwort aber: JA, damit kann OpenVPN problemlos umgehen.
Ebenso auch das VPN von der Fritzbox selber wenn du denn die sinnvollere Alternative der VPN Einrichtung auf den FBen verfolgen solltest und den Fritz VPN Client aka Fritz_Fernzugang verwendest oder einen freien Client wie z.B. den von Shrew:
http://www.shrew.net/
bzw.:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Unterwegs bekommen diese Clients dann ja logischerweise vollkommen andere IP Adressen als die des "Netz Bs", nämlich solche wo sie sich gerade befinden !
Also z.B. im GSM/UMTS Mobilnetzen, Hotspots auf Flughäfen/Bahnhöfen, Zuhause, in anderen Kundennetzen, usw. usw. Netz B gibt es also gar nicht in dem Sinne von unterwegs.
Deswegen der wichtige Hinweis auf ein intelligentes VPN IP #comment-toc5 Adressdesign oben, was für alle VPN Lösungen generell gilt !
Letztlich lautet die Antwort aber: JA, damit kann OpenVPN problemlos umgehen.
Ebenso auch das VPN von der Fritzbox selber wenn du denn die sinnvollere Alternative der VPN Einrichtung auf den FBen verfolgen solltest und den Fritz VPN Client aka Fritz_Fernzugang verwendest oder einen freien Client wie z.B. den von Shrew:
http://www.shrew.net/
bzw.:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Hallo!
Werd mich dann nochmal näher mit den Alternativen (Router-VPN) beschäftigen und gucken ob das in der Form zu realisieren wäre.
Auf jeden Fall danke für die schnelle Antworten!
Werd mich dann nochmal näher mit den Alternativen (Router-VPN) beschäftigen und gucken ob das in der Form zu realisieren wäre.
Auf jeden Fall danke für die schnelle Antworten!
Könnte dann nur an der Fritzbox HW scheitern, denn nicht alle FBs supporten das VPN Feature. Das AVM_VPN_Portal gibt darüber aber genaue Auskunft !
Dann ist aber der OpenVPN Weg von dir der richtige. Sei es auf deinen Servern als SW oder auf einer kostenfreien externen_Router-Firewall als HW.
Dann ist aber der OpenVPN Weg von dir der richtige. Sei es auf deinen Servern als SW oder auf einer kostenfreien externen_Router-Firewall als HW.
