Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wo im Netzwerk sollte der VPN Server stehen ?

Frage Microsoft Windows Netzwerk

Mitglied: candle

candle (Level 1) - Jetzt verbinden

11.12.2006, aktualisiert 17.12.2006, 3447 Aufrufe, 5 Kommentare

Hallo,

Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".

Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?

Bring dochmal jemand Licht in mein Leben
Danke im voraus.

Candle
Mitglied: aqui
11.12.2006 um 19:00 Uhr
Nein, ein Subnetz benötigst du nicht, denn der Server vergibt meist interne IP aus dem lokalen Netz in dem er selber steht !
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Bitte warten ..
Mitglied: candle
13.12.2006 um 13:55 Uhr
Hallo Aqui,

erstmal vielen Dank für die ausführliche Antwort. Ein Router als VPN Gateway wäre natürlich eine glückliche Lösung, ich habe allerdings nur eine Virtual Server Umgebung und eine Fritz Box zur Verfügung. Solange ich mit PPTP (und nicht L2TP) arbeite, sollte doch eine revers Übertragung über NAT funktionieren ?!??

zu 1: Die Client Daten gehen nicht über den Tunnel, das ist klar, müssen doch aber doch trotzdem über den VPN geroutet werden, da dieser quasi "in Reihe" geschaltet wäre und jeglichen Datenverkehr zum Internetrouter übtragen müsste ..

zu 2: Beim Einrichten von RRAS für VPN werden automatisch IP Filter auf der externen Seite (richtung Router) eingerichtet, was ja eigentlich auch Sinn macht. Zugelassen werden auschliesslich GRE, ESP und die Ports 500 UDP, 1723 TCP, 1701 UDP und 4500 UDP.
In dem Fall kann ja kein anderer Verkehr ausser VPN geroutet werden.
Spricht eigentlich etwas dagegen, den VPN parallel zur Firewall (ISA Server) zu betreiben ? (Beide Rechner eine Fuß richtung Router, den Anderen intern) Sollte doch mit den IP Filtern kein großes Sicherheitsproblem darstellen ??

Das Ganze funktioniert mittels Zertifikate und IAS in der virtuellen Umgebung auch prima, in der Realität scheitert die Verbindung leider an der Fritz Box 7050. Portforwarding (GRE, ESP, Ports 500 und 1723) ist eingerichtet.
Die Fehler meldung lautet sinngemäß: " ..Verbindung wurde initiiert, konnte aber nicht hergestellt werden. Vermutliche Ursache ist, das GRE Pakete nicht zugelassen sind.."
Die Fehlermeldung tritt auch dann auf, wenn ich MS Chap oder sogar unverschlüsselt Pap über PPTP benutze.

Bevor ichs vergesse: Das der ISA Server auch als VPN Server fungieren kann ist klar, ich möchte das Testszenario aber vorerst mit eigenem VPN Server lösen.

Candle
Bitte warten ..
Mitglied: aqui
14.12.2006 um 20:40 Uhr
Wie meinst du das mit den Filtern die automatisch eingerichtet werden ??? Das mag stimmen für die Windows Maschine aber nicht für den Router. Der kann natürlich NICHT automatisch wissen was du in deinem internen Netzwerk konfigurierst.
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.

Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz
Bitte warten ..
Mitglied: candle
15.12.2006 um 19:12 Uhr
Hallo Aqui,

ich habe mich vielleicht etwas unglücklich ausgedrückt, natürlich meine ich die Windows Maschine.
Letztendlich war ich einfach nicht sicher, ob ich den VPN sicherheitstechnisch seriell oder parallel zum ISA stellen soll. Mittlerweile läuft das Ganze jetzt auch ausserhalb der VM sauber, wenn auch die Fritz Box dank NAT nur PPTP revers zulässt.
Etwas komplizierter wirds jetzt wohl mit der Quarantänesteuerung und dem Verbindungsmanagement Kit

Jedenfalls vielen Dank erstmal für die Hilfe ..

Candle
Bitte warten ..
Mitglied: aqui
17.12.2006 um 12:27 Uhr
...deshalb ist ja auch der beste Standort für den VPN Server der Router selber
Bitte warten ..
Ähnliche Inhalte
Windows 7
(Netzwerk)Drucker druckt nur eine Seite und bleibt dann stehen
Frage von harald.schmidtWindows 75 Kommentare

Hallo! Wir haben im Büro einen Netzwerkdrucker von HP. 3 Clients können über diesen Drucker problemlos drucken. Client 4 ...

Netzwerkmanagement
Es stehen keine Anmeldeserver zu bearbeitung zur Verfügung
Frage von M.MarzNetzwerkmanagement4 Kommentare

Hallo zusammen, ich habe eine Testumgebung aufgebaut und einen DC (DC,DNS,DHCP) mit einem anderen Server (WDS) und einem Client ...

Router & Routing
Pc nur über VPN ins Netzwerk
Frage von goldyroesslerRouter & Routing4 Kommentare

Hallo leute habe da eine frage ist es möglich das ich nur ins Internet komme wenn mein VPN Aktive ...

Router & Routing
VPN IPsec zweier Netzwerke
gelöst Frage von shearer9Router & Routing28 Kommentare

Hallo, habe bei uns in der Firma den zweiten Standort mit einer VPN IPsec Verbindung vernetzt. Habe dazu zwei ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 4 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 8 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 8 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 12 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...