Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wo im Netzwerk sollte der VPN Server stehen ?

Frage Microsoft Windows Netzwerk

Mitglied: candle

candle (Level 1) - Jetzt verbinden

11.12.2006, aktualisiert 17.12.2006, 3409 Aufrufe, 5 Kommentare

Hallo,

Ich betreibe gerade etwas Grundlagenforschung zum Thema VPN Tunnel
Wo im Netz sollte der VPN Server stehen ? Empfohlen wird ja die Reihenfolge "Internetrouter - Firewall - VPN Server - Internes Netz".

Was ich nicht verstehe :
1. In dem Fall muß ja ebenfalls der gesamte Internetverkehr der Clients aus dem internen Netz über diesen VPN Server geroutet werden ?
2. Beim Einrichten von RRAS als VPN werden IP Filter eingerichtet die nur VPN Tunnel zulassen, wie kommen die normalen Clients dann über den VPN Server?
3. Zwischen Firewall und VPN Server müsste ja dann noch ein extra Subnetz eingerichtet werden ?!?

Bring dochmal jemand Licht in mein Leben
Danke im voraus.

Candle
Mitglied: aqui
11.12.2006 um 19:00 Uhr
Nein, ein Subnetz benötigst du nicht, denn der Server vergibt meist interne IP aus dem lokalen Netz in dem er selber steht !
Der beste Platz für das VPN Gateway ist der Router ! Der hat ein Bein im öffentlichen Netz, an das du ja immer ran musst !
Vorteile liegen klar auf der Hand: Um Zugriff zu bekommen muss nicht immer ein Server laufen !
Realisierst du das auf einem Server der nicht in einer DMZ mit öffentlichen Adressen steht musst du am Router deine VPN Protokolle zwangsweise forwarden, denn der Router lässt nichts über seinen NAT prozess revers passieren ! Das ist nicht immer ganz trivial je nachdem WELCHES VPN Protokoll du denn benutzt, denn machen Protokolle lassen sich gar nicht revers über NAT übertragen wie IPsec im AH mode z.B. !
Alle diese Probleme hast du nicht wenn der Router der VPN Server ist und außerdem verbraucht er erheblich weniger Strom als ein "dicker" Server".
Zu deinen Fragen:
1.) Nein, über den Tunnel gehen nur die Daten in das betreffende VPN Netz. alles anderen nicht dieses Netz betreffenden Daten gehen am Tunnel vorbei ins Internet. Es sei denn.... dein default Gateway des VPN Client liegt auf dem Tunnelgateway, dann wird sämtlicher Traffic in den Tunnel geschickt. Ist. z.B. relevant wenn man immer über sein Heimnetz ins Internet möchte...
2.) VPNs haben erstmal nichts mit Filtern zu tun ! Normalerweise ist so ein Server offen, es sei denn du filterst über eine Firewall, das er nur auf VPN Verbindungen antworten soll und sonst nichts.
3.) Nein, es ist nur relevant wo der Tunnelendpoint ist. Dort werden die VPN Daten ausgepackt und ins lokale Netz geroutet. Es steht dir aber frei das in einem weiteren Subnetz oder einer speziellen DMZ zu machen aus Sicherheitsgründen.
Bitte warten ..
Mitglied: candle
13.12.2006 um 13:55 Uhr
Hallo Aqui,

erstmal vielen Dank für die ausführliche Antwort. Ein Router als VPN Gateway wäre natürlich eine glückliche Lösung, ich habe allerdings nur eine Virtual Server Umgebung und eine Fritz Box zur Verfügung. Solange ich mit PPTP (und nicht L2TP) arbeite, sollte doch eine revers Übertragung über NAT funktionieren ?!??

zu 1: Die Client Daten gehen nicht über den Tunnel, das ist klar, müssen doch aber doch trotzdem über den VPN geroutet werden, da dieser quasi "in Reihe" geschaltet wäre und jeglichen Datenverkehr zum Internetrouter übtragen müsste ..

zu 2: Beim Einrichten von RRAS für VPN werden automatisch IP Filter auf der externen Seite (richtung Router) eingerichtet, was ja eigentlich auch Sinn macht. Zugelassen werden auschliesslich GRE, ESP und die Ports 500 UDP, 1723 TCP, 1701 UDP und 4500 UDP.
In dem Fall kann ja kein anderer Verkehr ausser VPN geroutet werden.
Spricht eigentlich etwas dagegen, den VPN parallel zur Firewall (ISA Server) zu betreiben ? (Beide Rechner eine Fuß richtung Router, den Anderen intern) Sollte doch mit den IP Filtern kein großes Sicherheitsproblem darstellen ??

Das Ganze funktioniert mittels Zertifikate und IAS in der virtuellen Umgebung auch prima, in der Realität scheitert die Verbindung leider an der Fritz Box 7050. Portforwarding (GRE, ESP, Ports 500 und 1723) ist eingerichtet.
Die Fehler meldung lautet sinngemäß: " ..Verbindung wurde initiiert, konnte aber nicht hergestellt werden. Vermutliche Ursache ist, das GRE Pakete nicht zugelassen sind.."
Die Fehlermeldung tritt auch dann auf, wenn ich MS Chap oder sogar unverschlüsselt Pap über PPTP benutze.

Bevor ichs vergesse: Das der ISA Server auch als VPN Server fungieren kann ist klar, ich möchte das Testszenario aber vorerst mit eigenem VPN Server lösen.

Candle
Bitte warten ..
Mitglied: aqui
14.12.2006 um 20:40 Uhr
Wie meinst du das mit den Filtern die automatisch eingerichtet werden ??? Das mag stimmen für die Windows Maschine aber nicht für den Router. Der kann natürlich NICHT automatisch wissen was du in deinem internen Netzwerk konfigurierst.
Dein Szenario mit 2 Netzwerkkarten ist aber problemlos so einrichtbar. Der Vorteil ist dann das die eingehenden VPN Verbindungen nicht im lokalen Segment landen zusammen mit dem Client Traffic.
Du musst dann allerdings dran denken für das Segment "hinter" dem server noch eine statische Route auf der FB einzutragen.
Bei diesem Setup musst du dann natürlich auf der FB die entsprechenden Ports deines verwendeten VPN Protokolls auf die Server IP forwarden, sonst wird nichts funktionieren.

Somit erübrigt sich dann ja eigentlich deine ursprüngliche Frage nach dem besten Standort für den VPN Server wenn du es gar nicht anders realisieren kannst als in einem internen Netz
Bitte warten ..
Mitglied: candle
15.12.2006 um 19:12 Uhr
Hallo Aqui,

ich habe mich vielleicht etwas unglücklich ausgedrückt, natürlich meine ich die Windows Maschine.
Letztendlich war ich einfach nicht sicher, ob ich den VPN sicherheitstechnisch seriell oder parallel zum ISA stellen soll. Mittlerweile läuft das Ganze jetzt auch ausserhalb der VM sauber, wenn auch die Fritz Box dank NAT nur PPTP revers zulässt.
Etwas komplizierter wirds jetzt wohl mit der Quarantänesteuerung und dem Verbindungsmanagement Kit

Jedenfalls vielen Dank erstmal für die Hilfe ..

Candle
Bitte warten ..
Mitglied: aqui
17.12.2006 um 12:27 Uhr
...deshalb ist ja auch der beste Standort für den VPN Server der Router selber
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...