4
VPN von Windows 2003 Server (Terminal Server) zu CISCO Konzentrator?
Wie kann man einen Windows 2003 Server überreden, eine VPN-Verbindung zu einem VPN-Concentrator der Firma CISCO zu verbinden?
Ich habe in den vergangenen Tagen einen Windows 2003 Server als Terminal Server in Betrieb genommen. Dieses Gerät soll für eine kleine Arbeitsgruppe als Arbeitsplattform dienen.
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.
Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.
Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.
Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.
Ist das möglich? Wenn ja - wie?
Vielen Dank
scrut
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.
Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.
Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.
Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.
Ist das möglich? Wenn ja - wie?
Vielen Dank
scrut
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29445
Url: https://administrator.de/contentid/29445
Printed on: April 24, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo scrut,
der Ciscodeamon (cvpnd.exe) wird beim Systemstart unter local System gestartet.
Aktiviere in der GUI des Clients unter Options > Preferences ... 'Hide upon connect' und 'Enable connect on open' und deaktiviere ''Enable accesssibility options'.
Nun verbindet der Client unmittelbar nachdem er gestartet wurde und verschwindet als Icon im Systray.
Die GUI wird mit Userrechten gestartet, du könntest versuchen die vpngui.exe entweder als Dienst oder über HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run zu starten.
In Programmverzeichnis befindet sich aber auch eine CLI-Version die sich sicher scripten lässt
Der Client startet dann für den User unsichtbar.
C:\Programme\Cisco Systems\VPN Client\vpnclient.exe
Cisco Systems VPN Client Version 4.8.00.0440
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client\
Usage:
vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]
[nocertpwd] [cliauth] [stdin] [sd]
vpnclient disconnect
vpnclient stat [reset] [traffic] [tunnel] [route] [firewall] [repeat]
vpnclient notify
vpnclient verify [autoinitconfig]
vpnclient suspendfw
vpnclient resumefw
Ist natürlich alles ungetestet, dafür hab ich momentan keine Zeit, sry
H.
NACHTRAG: Es gibt in der vpnclient.ini in der Sektion [main] einen Eintrag RunAtLogon=0.
Wenn man den auf 1 setzt verbindet der Client bereits vor der Useranmeldung.
Bei mir funktioniert das allerdings nicht beim Neustart, sondern nur beim Ab-/Anmelden.
In der Sektion [GUI] muss dafür bei DefaultConnectionEntry= natürlich ein Wert stehen.
der Ciscodeamon (cvpnd.exe) wird beim Systemstart unter local System gestartet.
Aktiviere in der GUI des Clients unter Options > Preferences ... 'Hide upon connect' und 'Enable connect on open' und deaktiviere ''Enable accesssibility options'.
Nun verbindet der Client unmittelbar nachdem er gestartet wurde und verschwindet als Icon im Systray.
Die GUI wird mit Userrechten gestartet, du könntest versuchen die vpngui.exe entweder als Dienst oder über HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run zu starten.
In Programmverzeichnis befindet sich aber auch eine CLI-Version die sich sicher scripten lässt
Der Client startet dann für den User unsichtbar.
C:\Programme\Cisco Systems\VPN Client\vpnclient.exe
Cisco Systems VPN Client Version 4.8.00.0440
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client\
Usage:
vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]
[nocertpwd] [cliauth] [stdin] [sd]
vpnclient disconnect
vpnclient stat [reset] [traffic] [tunnel] [route] [firewall] [repeat]
vpnclient notify
vpnclient verify [autoinitconfig]
vpnclient suspendfw
vpnclient resumefw
Ist natürlich alles ungetestet, dafür hab ich momentan keine Zeit, sry
H.
NACHTRAG: Es gibt in der vpnclient.ini in der Sektion [main] einen Eintrag RunAtLogon=0.
Wenn man den auf 1 setzt verbindet der Client bereits vor der Useranmeldung.
Bei mir funktioniert das allerdings nicht beim Neustart, sondern nur beim Ab-/Anmelden.
In der Sektion [GUI] muss dafür bei DefaultConnectionEntry= natürlich ein Wert stehen.
Danke für diese ausführliche Antwort.
Gilt dies auch für die Verwendung dieses Client-Programms auf einem Windows 2003 Terminal Server?
Denn normalerweise kappt eine VPN-Verbindung ja den "normalen" LAN-Zugang, den ich aber brauche, um meine clientseitigen RDP-Sessions zu betreiben.
Danke
scrut
Gilt dies auch für die Verwendung dieses Client-Programms auf einem Windows 2003 Terminal Server?
Denn normalerweise kappt eine VPN-Verbindung ja den "normalen" LAN-Zugang, den ich aber brauche, um meine clientseitigen RDP-Sessions zu betreiben.
Danke
scrut
Wie sich das auf einem TS verhält kann ich nicht sagen, siehe deinen anderen Beitrag.
Wenn diese Verbindung auch betroffen ist, was ich vermute, müsste das in der Konfig des Concentrators umgestellt werden.
Wenn dessen Admin nicht will/kann/darf wird das nicht funktionieren.
Das Problem bei der Sache ist, dass der Split-Tunnel einen direkten Weg vom unsicheren Internet ins UNI-LAN eröffnet.
Bspw. könnte jemand, der in euer Netz eingedrungen ist aber auch jeder Wurm ins Uni-LAN ohne von der Firewall auch nur erkannt geschweige denn geblockt zu werden.
Freilich hätte er in Uni-LAN nur die Rechte des VPN-Users, trotzdem ist es ein ziemliches Risiko.
Am besten wende dich an den Admin des Concentrators und besprich die Sache mit ihm.
Der weiß am besten wie das zu bewerkstelligen wäre, außerdem erspart es dir mglw. Ärger.
H.
Wenn diese Verbindung auch betroffen ist, was ich vermute, müsste das in der Konfig des Concentrators umgestellt werden.
Wenn dessen Admin nicht will/kann/darf wird das nicht funktionieren.
Das Problem bei der Sache ist, dass der Split-Tunnel einen direkten Weg vom unsicheren Internet ins UNI-LAN eröffnet.
Bspw. könnte jemand, der in euer Netz eingedrungen ist aber auch jeder Wurm ins Uni-LAN ohne von der Firewall auch nur erkannt geschweige denn geblockt zu werden.
Freilich hätte er in Uni-LAN nur die Rechte des VPN-Users, trotzdem ist es ein ziemliches Risiko.
Am besten wende dich an den Admin des Concentrators und besprich die Sache mit ihm.
Der weiß am besten wie das zu bewerkstelligen wäre, außerdem erspart es dir mglw. Ärger.
H.
Ah, danke.
Ich hab gerade gesehen, dass der Eintrag
EnableLocalLAN=1
der von der Uni vorgegebenen config gesetzt ist.
Das deutet für mich auf split tunneling hin...
Danke
Gruss
scrut
Ich hab gerade gesehen, dass der Eintrag
EnableLocalLAN=1
der von der Uni vorgegebenen config gesetzt ist.
Das deutet für mich auf split tunneling hin...
Danke
Gruss
scrut
