Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN über ISA-Server 2004 zu drei Netzwerken

Frage Sicherheit Firewall

Mitglied: Nixi

Nixi (Level 1) - Jetzt verbinden

08.08.2005, aktualisiert 02.11.2005, 7182 Aufrufe, 8 Kommentare

Habe bei uns im Hause einen MS ISA-Server 2004 mit 4 eingebauten Netzwerkkarten und möchte VPN in verschiedene Netzwerke einrichten.

Mein Ziel ist es nun VPN wie folgt einzurichten:
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP

Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.

Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.

Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.

Kann mir jemand helfen?
Mitglied: VNS
08.08.2005 um 21:26 Uhr
Hallöchen,

die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.

Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.

Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.

Grüße
Bitte warten ..
Mitglied: Nixi
30.08.2005 um 09:52 Uhr
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
01.09.2005 um 15:14 Uhr
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
Bitte warten ..
Mitglied: TEGO
30.10.2005 um 18:00 Uhr
Ich habe genau das gleiche Problem - wie ist die Lösung????

Danke im voraus!

TEGO

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
31.10.2005 um 16:52 Uhr
Im Textfeld "Angegebener Benutzername" muss der Syntax "domäne"\"benutzername" verwendet werden.
Bitte warten ..
Mitglied: TEGO
01.11.2005 um 02:31 Uhr
LOL

Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).

Habe mein Problem aber scheinbar auch gelöst:

Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.

Habe es aber schließlich hingekriegt.

Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.

Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.

Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.

Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).

Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Bitte warten ..
Mitglied: Nixi
01.11.2005 um 18:39 Uhr
Vielleicht nützt Dir dies noch:

Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.

Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
Bitte warten ..
Mitglied: TEGO
02.11.2005 um 02:39 Uhr
Danke für den Tipp!

Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...