none
VPN über Routing & RAS: "Internetzugriff über das Unternehmensintranet" RRS feed

  • Frage

  • Hallo,

    ich kann mir zwar vorstellen, dass dieses Thema bereits häufig besprochen wurde. Dennoch habe ich trotz längerer Suche nichts wirklich passendes zu diesem Thema gefunden.

    Mein Problem ist, dass ich einen Windows Server 2003, welcher auch gleichzeitig die DHCP-Aufgaben erfüllt, mit Routing und RAS verwende. IP-Adressen (10.0.5.0 - 255.255.255.255) werden derzeit über diesen automatisch vergeben, da ich hier gerne andere Adressbereiche verwenden möchte als die vom Intranet-DHCP (10.0.2.0 - 255.0.0.0). [Klar ist ein 10er-Netz übetrieben, aber auf lange Sicht soll unterteilt werden können]

    Die VPN-Verbindung klappt soweit auch. Ich kann auf alle Intranetressourcen zugreifen, nur eben der Internetzugriff funktioniert nicht. Mir ist durchaus bewusst, dass man z.B. das Häkchen "Standardgateway" beim Client entfernen kann, um über das Gateway am entfernten Standort ins Internet zu gelangen, doch das ist in meinen Augen eine unsichere Alternative. Mir ist es wichtig, dass sämtlicher Internetverkehr durch den VPN-Tunnel geschleust wird, um diesen zu überwachen.

    In folgendem Technet-Artikel unter dem Punkt "Übersicht über Virtuelle Private Netzwerke > Arten von VPN-Verbindungen > RAS" ist dieses Thema ja grundsätzlich angeschnitten, nur weiß ich nicht genau, wie man die Konfiguration umsetzen müsste:
    http://www.microsoft.com/germany/technet/itsolutions/network/evaluate/technol/tcpipfund/tcpipfund_ch14.mspx#EEC

    Ich schätze mal, das hängt sicherlich mit irgendeiner IP-Geschichte zusammen, wo ich einfach ein Brett vorm Kopf hab.
    Dienstag, 5. Januar 2010 19:18

Antworten

  • aua .... manchmal muss muss man auch ein Brett vorm Kopf haben. T-Schuldige die Störung und die Nerverei. Ich hatte die ganze Zeit das versucht mit einem Server, der nur eine NIC hatte. Kann natürlich mit RRAS nicht wirklich klappen. OK, jetzt klappts jedenfalls ;)
    Hätte mich auch sehr stark gewundert, warum das bei andern mit den selben Einstellungen funktioniert und bei mir nicht klappen sollte.

    Wobei: Eine Frage hätte ich da noch. Wie kann man denn einstellen, dass auch der VPN-Server alle DNS-Anfragen annimmt? Weil ich sag mal so: Es muss ja nicht unbedingt sein, dass an unsicheren Public-WLAN-Points jeder mitlesen kann, welche Domains aufgelöst im Augenblick aufgelöst werden.
    edit: ok, hat sich auch erledigt, man muss wohl sicherheitshalber ein script laufen lassen, welches die bindungsreihenfolge in der registry vernünftig ändert^^

    • Als Antwort markiert lewald Montag, 11. Januar 2010 21:02
    Mittwoch, 6. Januar 2010 23:19

Alle Antworten

  • Hi,

    in dem von Dir genannten Link/Artikel ist doch beschrieben wie Du Dein Vorhaben umsetzen könntest.

    Eine pauschale Antwort und/oder Hilfe kann ich Dir hier nicht geben, da Du Dich nicht über Deine Netzwerktopologie
    ausgelassen hast. Du wirst ja sicherlich noch eine Firewall vor Deinem Server haben, damit verbunden muß Du den
    VPN-Clients entweder über einen Proxy und/oder Route mitteilen, wie sie wieder "zurück" ins Interenet kommen können.

    Auch das ist im o.g. Artikel angerissen. Evtl. könnte Dir das CMAK hier weiterhelfen, oder die VPN Verbindungen an
    der Firewall enden lassen und über Regeln in der FW die Zugriffe steuern.
    Gruß Ralph Andreas Altermann
    Mittwoch, 6. Januar 2010 10:15
  • Hallo,

    dann werd ich mich mal über die Netzwerktopologie auslassen. Es gibt zwar eine Firewall vor dem Server, aber nichts großartiges (kein Proxy,...), halt typische Router-Firewall. Und dann kommt dann halt der Server mit 2 Netzwerkkarten. Die 1. Karte für die Verbindung ins Internet (192.168.XXX.XXX). Die 2. Karte für das Intranet (10.0.2.0 - 255.0.0.0) und für VPN (10.0.5.0). Insofern muss im Prinzip jeglicher Internetverkehr ja einfach nur den Server (10.0.0.2) passieren und wenn das geschehen würde, düfte es ja eigentlich kein Problem sein?!

    Würde mir in diesem Szenario also tatsächlich das CMAK weiterhelfen oder welche Route müsste ich hier einstellen?

    Denn ich hatte als statische Route testweise mal als Ziel 0.0.0.0 und als entsprechendes Gateway 10.0.0.2 angegeben, was aber (logischerweise?) nicht klappte.
    Mittwoch, 6. Januar 2010 14:41
  • Bevor wir hier weiter machen, ist es richtig das Du in Deinem LAN einen Adressbereich

    >IP-Adressen (10.0.5.0 - 255.255.255.255) <

    adressierst ?
    Das wären ja 2/3 alle Internetadressen der Welt :-)
    Gruß Ralph Andreas Altermann
    Mittwoch, 6. Januar 2010 17:41
  • Ich meine mit der 255.255.255.255 natürlich die Subnetmask, die automatisch den durch RRAS vergebenen IP-Adressen zugeordnet wird. ;) Ansonsten wäre das tatsächlich etwas sehr viel. Hätte ich vielleicht noch deutlicher kennzeichnen sollen.
    Kann es vielleicht einfach sein, dass ich die VPN-IPs einfach über den installierten Intranet-DHCP laufen lassen sollte? Jedoch würde ich bei dieser Lösung gerne angeben können wollen, dass ein bestimmter Adressraum nur an Clients vergeben wird, die per VPN reinkommen.

    Mittwoch, 6. Januar 2010 19:14
  • Hi lewald,

    im AD kannst du sogar festlegen, welche IP jew. User zugewiesen bekommen, wenn sie sich über RAS einwählen. Wäre das nicht was, was du suchst?
    Mittwoch, 6. Januar 2010 19:22
  • aua .... manchmal muss muss man auch ein Brett vorm Kopf haben. T-Schuldige die Störung und die Nerverei. Ich hatte die ganze Zeit das versucht mit einem Server, der nur eine NIC hatte. Kann natürlich mit RRAS nicht wirklich klappen. OK, jetzt klappts jedenfalls ;)
    Hätte mich auch sehr stark gewundert, warum das bei andern mit den selben Einstellungen funktioniert und bei mir nicht klappen sollte.

    Wobei: Eine Frage hätte ich da noch. Wie kann man denn einstellen, dass auch der VPN-Server alle DNS-Anfragen annimmt? Weil ich sag mal so: Es muss ja nicht unbedingt sein, dass an unsicheren Public-WLAN-Points jeder mitlesen kann, welche Domains aufgelöst im Augenblick aufgelöst werden.
    edit: ok, hat sich auch erledigt, man muss wohl sicherheitshalber ein script laufen lassen, welches die bindungsreihenfolge in der registry vernünftig ändert^^

    • Als Antwort markiert lewald Montag, 11. Januar 2010 21:02
    Mittwoch, 6. Januar 2010 23:19
  • Danke fürs Feedback und schön das jetzt alles läuft.
    Gruß Ralph Andreas Altermann
    Dienstag, 12. Januar 2010 09:11