Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RAS Server Windows 2003 Lokale Netze eingewählter User erreichen ?!?!?

Frage Microsoft

Mitglied: CaspaJones

CaspaJones (Level 1) - Jetzt verbinden

04.02.2010 um 17:19 Uhr, 4139 Aufrufe, 3 Kommentare

Hallo Zusammen!
Wir haben in unserer Firma folgendes Problem und ich hoffe, ihr könnt mir weiterhelfen.
Wir haben einen RAS Server Windows 2003, den wir über eine öffentliche IP Adresse „ansteuern“ zur Einwahl „in“ unsere Hauptverwaltung nutzen und hierüber SAP, Outlook, Netzlaufwerke, Intranet etc. nutzen. Soweit klappt das alles bestens und zufriedenstellend.
Der User, der sich von außen über Bsp.weise eine DSL Leitung einwählt erhält einen virtuellen Netzwerkadapter mit einer vom RAS Server per DHCP zugewiesenen IP Adresse aus einem IP-Pool (Bsp. 10.11.12.2 – 10.11.12. 240)
Über die virtuelle IP Adresse (10.11.12.5) lassen sich die entfernten Rechner (Home- Office, Außenstellen, Außendienstmitarbeiter) „anpingen“ und via VNC oder Remotedesktop auch problemlos erreichen und „steuern“.
Die Verschlüsselung der VPN Einwahl erfolgt über L2TP mit einem IPSec Schlüssel.
Als „VPN-Client“ benutzen wir die bei Windows XP vorhandene Methode über die Einrichtung in der Netzwerkumgebung.
Auf dem Windows 2003 RAS Server haben wir wie folgt IP Forwarding eingestellt:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters
Hier finden Sie den Eintrag "IPEnableRouter" als Datentyp REG_DWORD. Setzen Sie den Wert auf 1
und die Routingtabellen sind auch soweit gepflegt.


UNSER Problem:

Wir würden gerne von der Hauptverwaltung aus das LOKALE NETZWERK der Außenstellen, Home-Officemitarbeiter und Außendienstmitarbeitern erreichen.
(Bsp: Lokale IP des PCs eines Mitarbeiters192.168.100.5)
Die virtuelle IP des PCs die vom RAS Server zugewiesen wurde ( 10.11.12.5) ist erreichbar, jedoch nicht das LOKALE NETZ dahinter.

"Der Routing-Modus ist die einfachste Form der sicheren Kommunikation und stellt einen verschlüsselten Tunnel zwischen zwei Gegenstellen her, über den ausschließlich IP-Pakete geleitet werden (Layer 3). Dazu wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen (z. B. 10.8.0.1 und 10.8.0.2).
Der Zugriff auf das dahinter liegende Netzwerk ist grundsätzlich nicht direkt möglich (Point-to-Point Verbindung). Um die dortigen Adressen zu erreichen, muss die Gegenstelle die Datenpakete mittels IP-Forwarding und Einträgen in der Routingtabelle weitervermitteln."


Wer kann uns weiterhelfen und mir sagen, wie dies mit Windows 2003 Server und Windows XP zu realisieren ist?
Mitglied: SamvanRatt
04.02.2010 um 17:45 Uhr
Hi
dein CLient müsste a) Portforwarding eingestellt haben (um damit als Gateway zu fungieren) und b) du müßtest deinem VPN Netz sagen er solle eine Route dorthin schlagen via GAteway des Clients. Ich kenne sowas schon nur auf Hardware Basis (Router mit VPN Funktion ausf beiden Seiten; bei uns ist es eine CheckPoint One mit Bintec DSL/ISDN Routern auf der Client Seite). Ich kann mir auch vorstellen das dies mit gateway Routern wie wingate möglich ist, nur sehe ich bei dynamischen Netzen ohne dyn Routen da eher Probleme. Die unsere Lösung geht da recht und kann mittels PKI/SecureID auch gut abgesichert werden.
Gruß
Sam
Bitte warten ..
Mitglied: CaspaJones
05.02.2010 um 08:30 Uhr
Hi SamvanRatt!

Vielen Dank für Deine Antwort. Portforwarding am Client haben wir natürlich aktiviert und auf dem RAS Server auch die Route ins gewünschte "Heimnetz" eingestellt. Jedoch leider ohne Erfolg, der RAS Server will das Netz einfach nicht finden.


Generell funktioniert das mit dynamischer IP- Adresse und fest zugewiesener Adresse, wir haben es an einer Außenstelle so "laufen" mit einer Checkpoint Edge, die zu ner (Nokia) Checkpoint Firewall NGX R65 connected. Weiterhin haben wir VPN Boxen (Netscreen Juniper 5GT) im Einsatz mit denen wir von statischer IP zu Statischer IP "connecten", diese Lösung sind aber recht kostenintensiv, da VPN Boxen und öffentliche, statische IP vom Provider gestellt werden. IKE Verschlüsselung. Alles Hardwarelösungen

Uns ist noch nicht so ganz klar, wie bei einem normalen DSL Zugang, von dem sich die Mitarbeiter alle einwählen, das LOKALE NETZWERK erreichbar sein soll ?!
Was passiert denn dann, wenn zufällig zwei Mitarbeiter an unterschiedlichen Standorten oder HomeOfficeplätzen das "gleiche" LOKALE NETZ konfigurieren?

Über mögliche Antworten und Hilfe wären wir Euch echt dankbar!
Bitte warten ..
Mitglied: SamvanRatt
05.02.2010 um 09:36 Uhr
Im Endeffekt darf jedes Netz natürlich nur einmal sichtbar sein. Beim Forwarden wird ja normal NATing mit gemacht, alternativ richtiges Routing mit passenden Netzen. Wichtig ist eigentlich nur das dein RAS Server die Routen eben dynamisch bindet und konfiguriert. Im besten Fall (sowas habe ich bisher noch nicht gemacht) verweigert er die zweite Route da selbes Endnetz. Bei uns läuft das mit der obigen Konstellation nur mit DHCP Adressen des Providers (ENX) und beliebigen DSL Stellen der Telekom. Bei ISDN muß meist eine umkonfig gemacht werden. Da die Box das Routing/DHCP/... macht bekommt sie auch eine öffentliche IP (bei uns 10.x.y.z/255.255.255.248) und jeder der paar Anderen dann auch [klar das da nur zertifizierte Endgeräte angeschlossen werden dürfen, wie ipod, handy, PSP, und ab und an auch mal ein richtiger PC mit Drucker ]
Die Netze/Daten sieht natürlich nur dein RAS Server da er das Routing macht und nur er die Netze sieht; er ist dann halt Gateway. Nachteil ist halt das dein RAS Server/Gateway ja nie weiß was sich in den Netzen befindet, sprich keine Namensauflösung, keine Verbindlichkeiten, keine was auch immer. Damit der RAS Client überhaupt weiß was er dort hat muß er nicht nur Ports Forwarden sondern auch noch DHCP/DDNS spielen.
Gefährlich wird's aber wenn dein Netz dann einen offenen Zugang zum Inet hat, denn dann hast du jeden Angreifer gleich in der Firma oder du schottest deinen Client ab. Bei uns macht die Bintec dicht sobald sie einen VPN Tunnel aufgebaut hat. Da wir etwa 1k User in Heimarbeit haben mußte sich der Datenschützer da schon was überlegen bis es ausgereift war. Billig ist es nicht, aber der Datenschutz ist schon wichtig
Gruß
Sam
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Routing und Ras bei Windows Server 2012 R2 (12)

Frage von BlacksGood zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Windows Server
Rechtevergabe Fileserver Windows 2003 (1)

Frage von bluepython zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...