Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN über ISA-Server 2004 zu drei Netzwerken

Frage Sicherheit Firewall

Mitglied: Nixi

Nixi (Level 1) - Jetzt verbinden

08.08.2005, aktualisiert 02.11.2005, 7210 Aufrufe, 8 Kommentare

Habe bei uns im Hause einen MS ISA-Server 2004 mit 4 eingebauten Netzwerkkarten und möchte VPN in verschiedene Netzwerke einrichten.

Mein Ziel ist es nun VPN wie folgt einzurichten:
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP

Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.

Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.

Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.

Kann mir jemand helfen?
Mitglied: VNS
08.08.2005 um 21:26 Uhr
Hallöchen,

die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.

Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.

Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.

Grüße
Bitte warten ..
Mitglied: Nixi
30.08.2005 um 09:52 Uhr
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
01.09.2005 um 15:14 Uhr
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
Bitte warten ..
Mitglied: TEGO
30.10.2005 um 18:00 Uhr
Ich habe genau das gleiche Problem - wie ist die Lösung????

Danke im voraus!

TEGO

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Bitte warten ..
Mitglied: Nixi
31.10.2005 um 16:52 Uhr
Im Textfeld "Angegebener Benutzername" muss der Syntax "domäne"\"benutzername" verwendet werden.
Bitte warten ..
Mitglied: TEGO
01.11.2005 um 02:31 Uhr
LOL

Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).

Habe mein Problem aber scheinbar auch gelöst:

Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.

Habe es aber schließlich hingekriegt.

Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.

Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.

Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.

Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).

Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Bitte warten ..
Mitglied: Nixi
01.11.2005 um 18:39 Uhr
Vielleicht nützt Dir dies noch:

Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.

Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
Bitte warten ..
Mitglied: TEGO
02.11.2005 um 02:39 Uhr
Danke für den Tipp!

Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Drei Standorte über VPN miteinander Verbinden
gelöst Frage von Diamond72Router & Routing9 Kommentare

Hallo zusammen, ich möchte gerne drei Standorte netzwerktechnisch per VPN miteinander verbinden, sodass alle drei Standorte in einem Netzwerk ...

Router & Routing
IP Kamera für drei unabhängige Netzwerke
gelöst Frage von ProfessorZRouter & Routing16 Kommentare

Hallo Administratoren! Ich habe mir ein kleines privates Projekt vorgenommen, aber stecke in der Planung fest. Basiswissen im Netzwerken ...

Router & Routing
Zwei Router - Drei Internetanschlüsse - VPN Verbindung
gelöst Frage von mcmaccaRouter & Routing14 Kommentare

Hallo zusammen, ich versuche aktuell folgendes Szenario einzurichten, aber ich glaube meine erste Idee könnte zu Problemen führen - ...

Video & Streaming
Drei Webseiten auf drei Monitoren automatisch im Vollbild starten
Frage von BirdyBVideo & Streaming9 Kommentare

Hallo zusammen, ich bräuchte bitte einen Rat von euch: Derzeit hängen in unserer Einsatzzentrale 3 Statusmonitore nebeneinander. Jeder von ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 51 MinutenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 1 StundeMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 8 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...