Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Lösung vom SBS2003 für 2 Nutzer gesucht

Frage Netzwerke

Mitglied: Alex209

Alex209 (Level 1) - Jetzt verbinden

01.09.2009, aktualisiert 18.10.2012, 3951 Aufrufe, 12 Kommentare

Hallo an das Forum und alle Nutzer.

Ich betreue unser kleines Firmennetzwerk, welches durch Mobile Client´s erweitert werden soll.

Zur bisherigen Situation:

- T-Business Anschluss mit fester IP (3000 DSL Leitung)
- Teledat DSL Modem
- Linksys Linksys BEVP41 VPN Router
- SBS2003 Server inkl. 2 Netzwerkkarten
- HP Procurve 4000 Switch
- Auf dem Server laufen so ziemlich alle Dienste der er als SBS verichten muss & zusätzlich noch
Exchange sowie eine SQL Express Datenbank für unsere Warenwirtschaft.
- 7 Vista Business Clients & 8 XP Prof. Clients sind bisher angebunden.

Geplante Erweiterung:

2 Nutzer sollen sich von zuhause oder unterwegs an der Domäne anmelden können und alle Dienste wie in
der Firma nutzen können. (Eventuell mit Servergespeicherten Profilen)
Es brauchen jedoch nicht 2 Nutzer gleichzeitig von extern auf den Server zugreifen!!!

- 1 XP Prof. Notebook welches sich schon in der Domäne befindet, soll sich zukünftig
von extern (Privatanschluss bzw. über einen T-Mobile Datentarif an der Domäne anmelden können).

- Desweiteren soll ein weiterer neuer PC an einem privaten Anschluss sich an der Domäne anmelden können.
(T-Home DSL 16000 an einem Speedport W701V inkl. DynDns Account)

Frage: Wie kann man dieses Vorhaben realisieren bzw. welche weitere Hard & Software wäre angebracht oder reichen die Windows eigenen Mittel unter Berücksichtigung
der Sicherheit?

Vielen Dank!
Mitglied: neuni88
01.09.2009 um 17:23 Uhr
Wenn du nur die Verbindung haben willst ins Firmennetz ist das einfach gemacht:

1) Auf dem SBS-Server einrichten, dass eingehende VPN-Verbindungen erlaubt sind
2) Auf dem SBS-Server einrichten, dass der User sich auch einwählen darf (glaube das ist unter RAS bei den Benutzerdetails des jeweiligen Users)
3) Den Port fürs VPN an Firewall/Router/... freischalten und auf den SBS lenken.

4) An den Clients unter Netzwerkumgebung eine neue VPN-Verbindung einrichten. (IP eingeben, Benutzerdaten sind die gleichen wie in der Domäne auch)

Edit: Hab nochmal genau geguckt. Punkt 1) findest du in der Serververwaltungskonsole des SBS unter "Internet und E-Mail" -> "RAS konfigurieren"
Und für die jeweiligen Nutzer musst du dann unter "Einwählen" in deren Benutzereinstellungen "Zugriff gestatten" auswählen.

Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec. Wenn man sichere Passwörter für die VPN-User vorgibt (nicht "hans" oder so, sondern wirklich sichere) und nur den VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt für Windows 2003 weiß ich nicht. Sonst gibt es auch Firewall-Lösungen, die das können. Bin da Fan der m0n0wall (m0n0.ch) mit nem schönen ALIX-Board als kleine Verpackung. Da ist man mit 150€ gut dabei.
Bitte warten ..
Mitglied: Arch-Stanton
02.09.2009 um 01:24 Uhr
Das ist ja nun blödsinn, da der Fragesteller ja schon einen VPN-Router sein eigen nennt. Da muß er ja nur 2 + 2 zusammenzählen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Stephan.Betken
02.09.2009 um 03:17 Uhr
Zitat von neuni88:
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
Wenn man sichere Passwörter für die VPN-User vorgibt (nicht
"hans" oder so, sondern wirklich sichere) und nur den
VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das
ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt
für Windows 2003 weiß ich nicht.

Windows kann sehr wohl IPSEC, und das sogar nicht nur mit Preshared-Key, sondern auch mit zertifikatsbasierter Authentifizierung. Da eigentlich alle Lösungen im unteren Preissegment lediglich Preshared-Key-Authentifizierung bieten, sollte man anstatt Geld für ein VPN-Gateway zu "verbrennen", doch die Windows-Lösung nutzen.
http://technet.microsoft.com/de-de/library/cc736821(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc787915(WS.10).aspx

Bei einem vorhandenen IPSEC-Router sollte man diesen dann aber ruhig nutzen (obwohl das genannte Modell scheinbar nur Preshared-Key kann. Aber wenn nicht jeder den Key kennt, dann sollte das ausreichen ).
Bitte warten ..
Mitglied: rs-schmid
02.09.2009 um 07:25 Uhr
Zitat von neuni88:

Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.

das ist falsch, IPSec ist Bestandteil vom Tunnelprotokoll L2TP.
L2TP kommt sehr oft unter Windows zum Einsatz.

Gruss Roland
Bitte warten ..
Mitglied: aqui
02.09.2009, aktualisiert 18.10.2012
Die Umsetzung ist ja nun durch das Vorhandensein eines VPN Routers kinderleicht, wie Arch es schon richtig bemerkt !

  • VPN Konfig auf dem Linksys BEVP aktivieren
  • Einen VPN Client auf den remoten Maschinen installieren wie z.B. den freien Shrew_VPN_Client ! Ein Anleitung wie der mit dem Linksys zusammenspielt sieht man HIER
  • ...fertig ist der VPN Zugriff !

Einfacher und schneller gehts ja nun wirklich nicht mehr wenn schon die richtige Hardware vorhanden ist.

Aufpassen musst du lediglich mit den remoten Usern die sich selbst hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers überwinden kann muss hier IMMER ein Port Forwarding (Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht werden mit dem Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, wird meist dynmaisch gemacht wenn die DSL Router VPN Passthrough supporten !)
Das VPN Passthrough Feature ist dann ein Muss auf den remoten Routern.

Ein wenig Zusatzinfo zum IPsec Protokoll findest du hier:
http://www.administrator.de/IPSEC_Protokoll_-_Einsatz%2C_Aufbau%2C_ben% ...
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Bitte warten ..
Mitglied: neuni88
02.09.2009 um 13:01 Uhr
Gut, mag sein, dass es Win2003 kann. Mir ist es bisher nicht ins Auge gesprungen. Deswegen sagte ich ja, dass es durch "Addons" oder ähnliches sicherlich möglich ist, dass der SBS es kann. Aber der komische Assistent macht doch erstmal ein PPTP, oder nicht?
Bitte warten ..
Mitglied: aqui
02.09.2009 um 13:26 Uhr
Vergiss doch einfach mal den Winblows Server ! Er hat doch einen VPN Router und kann doch die VPN Session direkt auf dem Router terminieren !!!
Das erspart ihm zusätzlich die überflüsige Frickelei mit VPN Port Weiterleitungs usw. auf dem Router.
Warum sollte er dann den Router brach lassen und alles über den Server machen...das wäre doch Blödsinn, denn die richtige HW ist ja vorhanden !
Wenn er das ohne den Server macht ist er zudem unabhängig von dessen Verfügbarkeit !
Bitte warten ..
Mitglied: Stephan.Betken
02.09.2009 um 20:05 Uhr
Zitat von aqui:
Aufpassen musst du lediglich mit den remoten Usern die sich selbst
hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers
überwinden kann muss hier IMMER ein Port Forwarding
(Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht
werden mit dem Ports:

Öhmm,
dir ist aber schon bewusst, dass das bei NAT-T nicht der Fall ist (und selbst die Anleitung zu dem von dir empfohlenen VPN-Client nichts davon weiß)?
Ich stimme dir ja zu, dass der Router eigentlich die angenehmere Wahl ist, aber ich muss zugeben, dass ich bei der Begründung aus eben genannten Gründen doch etwas Schmunzeln musste. (Über die überflüssige Frickelei mit den Weiterleitungen). Sorry dafür.
Bitte warten ..
Mitglied: aqui
04.09.2009 um 10:43 Uhr
@Stevie-B
Ja da hast du natürlich Recht. Leider supporten aber die wenigstens VPN Server auf IPsec ESP Basis NAT-T so das man immer besser vom Worst Case ausgehen sollte.
Mit NAT Traversal auf UDP 4500, hast du Recht, ist ein Port Forwarding dann nicht mehr erforderlich !
Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....
Bitte warten ..
Mitglied: rs-schmid
04.09.2009 um 15:18 Uhr
Hallo,

der ISA-Server kann L2TP/IPsec mit nat traversal.
Der OP dieses threads setzt SBS 2003 ein, muss gehen, eventuell auf die Premium Version upgraden, die enthält in jedem Fall den ISA-Server.

Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....

Auf jeden Fall sollte man sich vorher gründlich Gedanken machen, schließlich werden vertrauliche Daten über das unsichere Trägermedium Internet transportiert.

Gruss Roland
Bitte warten ..
Mitglied: Stephan.Betken
06.09.2009 um 15:55 Uhr
Windows Server 2003 kann das von Haus aus, es ist also kein ISA erforderlich.

Natürlich sollte man noch folgende Artikel beachten:
- http://support.microsoft.com/kb/885348 Der Artikel basiert aber auf einem "Fehler", der eher theoretischer Natur ist.
- http://support.microsoft.com/kb/885407
Bitte warten ..
Mitglied: rs-schmid
06.09.2009 um 21:54 Uhr
richtig, Windows Server 2003 kann von Haus aus VPN Tunnel (PPTP, L2TP, IPSec) aufbauen für die Einwahl von Clients.
http://support.microsoft.com/kb/323441/de

Ein ISA macht nach meiner Auffassung dennoch Sinn, denn man kann Firewall- und Überwachungsregeln anlegen.
Bleibt aber dem OP dieses Threads überlassen....

Gruss Roland
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
Einfache VPN Lösung für Backup Verkehr gesucht (8)

Frage von SPAGHETTI zum Thema Netzwerkgrundlagen ...

Monitoring
Kostenlose Lösung für Desktop-Support gesucht (10)

Frage von Kraemer zum Thema Monitoring ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...