VPN für mehrere Clients über ICS

havana

Können sich mehrere Clients eines Netzes per VPN mit einem entfernten VPN-Server verbinden, indem die ICS des lokalen Servers genutzt wird?

Hallo Admins,

auch nach lesen vieler Beiträge zum Thema VPN habe ich offenbar ein Verständnisproblem oder ich sehe die Sache zu kompliziert.

Problem:

Wir haben unter anderem ein kleines Netz, bestehend aus einem lokalen Server (2K Server SP4, kein DS) und vier Clients (XP Home), dass bisher aufgrund der Sicherheitsanforderungen keinen Internetzugang hatte.

Aufgrund veränderter Anforderungen müssen die Clients nun ins INet, um Mails abrufen und sich mit Behörden verbinden zu können.

Um die Sicherheit unkompliziert gewährleisten zu können, soll ein speziell zugeschnittenens Angebot eines Providers genutzt werden, der Mailkonten und einen Internetzugang bietet, wobei sämtliche Inhalte auf Seiten des Providers so gefiltert werden, dass hinreichende Sicherheit bestehen soll.

Die Verbindung zu dem Provider erfolgt über VPN.

Da bereits ein Netz besteht und zusätzliche Verkabelung der Clients sehr aufwändig wäre, soll nach Möglichkeit kein dezidierter Router verwendet werden, sondern die ICS-Funktion des lokalen Servers (der dann eine zweite NIC bekäme).

Es soll also schlicht die Möglichkeit eingerichtet werden, dass sich mehrer Clients mit Bordmitelln von XP oder ggfls. mit lokal installierten Clients über den lokalen Server eine INet-Verbindung verschaffen und durch diese je eine VPN-Verbindung mit dem VPN-Server des Providers aufbauen, der dann über diese Verbindung angeblich sichere Dienste bereitstellt.

Eine Anwahl des Lokalen Servers oder der Clients von aussen ist weder nötig noch gewünscht.

Frage also:

Geht das so einfach, wie ich mir das vorstelle?

Also Bereitstellen der INetverbindung durch den Server als Quasi-Router per ICS, wobei dann jeder einzelne Client über diese Verbindung eine VPN-Verbindung zu dem entfernten Server herstellen kann?

Oder muß, was ich tunlichst vermeiden will, auf dem Server selbst neben/statt ICS auch noch ein VPN-Server konfiguriert werden?

Wie gesagt, möglicherweise ein Verständnisproblem.

Hilft mir jemand?

Danke,

havana

Content-Key: 33312

Url: https://administrator.de/contentid/33312

Ausgedruckt am: 17.01.2022 um 11:01 Uhr

Mitglied: aqui
aqui 01.06.2006 um 00:25:47 Uhr
Goto Top
Ein Punkt ist in deiner Schilderung etwas unverständlich.... "Die Verbindung zum Provider geschieht über ein VPN...??" Wie ist das genau gemeint ???
Seit ihr Teil eines zentralen Netzes, was einen MPLS Anschluss nutzt und das mit "VPN" gemeint ist oder nutzt euer ISP ein MPLS Backbone für feste Kunden ???

Ein VPN zu einem öffentlichen Carrier aufzubauen und damit Email Verkehr abzuwickeln ist eigentlich recht unüblich, denn über welches Netz wenn nicht ein öffentliches sollte dann das VPN aufgebaut werden ?? ..und wer wenn nicht der Server sollte dann das VPN aufbauen ?
In der Regel nutzen Carrier in weiser Voraussicht keine Windows Software als Gegenpart auf ihrer Seite, so das ein MS VPN ala PPTP sowieso nicht laufen würde, von der fragwürdigen Sicherheit von PPTP einmal ganz abgesehen.
Generell ist es keine gute Lösung ein öffentliches Netz über eine 2.NIC und ICS an einen Server zu binden. Was nutzt dann eure ganze Sicherheit ala VPN wenn ihr das dann über solches Szenario wieder aushebelt ? Den Aufwand und die permanente Wartung den ihr treiben müsst um diesen MS Server dann wirklich sicher zu machen steht in keinem Verhältnis zumal bei MS immer ein unkalkulierbares "Restrisiko" bleibt.
Solche Verbindungen werden professionell meist immer mit Routern oder Firewalls mit VPN Funktion realisiert und dann über sichere Protokolle wie IPsec mit ESP oder AH. Das zweite Problem ist das ihr euch sicherheitstechnisch voll auf den Carrier und sein Angebot verlasst. Es gilt immer noch der gute alte Grundsatz ala Lenin: "Vertrauen ist gut, Kontrolle ist besser...!" Solange dessen Policies nicht transparent sind ist das immer so eine Sache....

Nun aber zu deiner eigentlichen Frage: Eine Outbound Verbindung ist nur bedingt möglich sofern dazwischen ein NAT Prozess ist. IPsec hat damit Probleme und meist auch Protokolle wie PPTP die einen verschlüsselten GRE Tunnel nutzen. Besser ist es dann mit SSL zu arbeiten was proplemlos NAT verkraftet. Sitzt der VPN Server nicht hinter einem NAT Prozess gibts auch mit IPsec kein Problem. Bei den Clients ist das aber meist nie der Fall deshalb lässt man solcherlei VPN Verbindungen meist auch global für alle Clients durch ein zentrales Device erledigen ohne die Clients einzeln anfassen zu müssen.
Heiß diskutierte Beiträge
question
Welches Anti Spam Gateway verwendet ihr?jojo0411Vor 1 TagFrageExchange Server9 Kommentare

Hallo Leute, Wir verwenden seit Jahren GFI Mailessentials. Ist OK. Aber mir kommt so vor als tut sich dort nicht mehr viel neues. Was verwendet ...

question
White Label Cloud Speicher (EU) gelöst IllusionFACTORYVor 1 TagFrageCloud-Dienste13 Kommentare

Hallo, zusammen, ich möchte unseren Kunden gerne Cloud Speicher anbieten, das soll a) auf uns gebrandet sein und b) in der EU (wegen DSGVO). Kennt ...

question
Lexmark M3150 - Firmware downgrade gesucht gelöst Strahlemann-69Vor 1 TagFrageDrucker und Scanner9 Kommentare

Hallo an alle, ich bekam einen Lexmark M3150 mit 3 Papierfächern + Toner geschenkt. Nun wollte ich ihn leerdrucken und dann entsorgen, da unrentabel. Jetzt ...

question
10Gbit Netzwerkkabel HPE J9287b X242 SFP+ gelöst jedineo2002Vor 18 StundenFrageNetzwerke10 Kommentare

Hallo zusammen, ich hätte hier zwei HPE J9287B SFP+ Kabel zur Verfügung, in der Länge von 15 Metern, was zumindest schon einmal perfekt wäre von ...

question
SQL Daten in Excel gelöst robdoxVor 1 TagFrageMicrosoft Office6 Kommentare

Hallo zusammen und ein schönen Start ins Wochenende! Ich habe vorab eine Frage zu einem bestimmten Vorgehen, was meinerseits noch teils theoretischer Natur ist. Ich ...

question
Windows Server 2012 - LSASS 1000 1015 RebootfrunkyVor 19 StundenFrageWindows Server9 Kommentare

Hallo Zusammen, ich habe einen Windows Server 2012 als Domänen Controller diese Woche neu aufgesetzt. Der Server macht ca. alle 3 Stunden einen Reboot. Die ...

question
Fujitsu TX 2540 M1 - Netzteil Lüfter drehen täglich hoch gelöst CrallyVor 1 TagFrageServer-Hardware5 Kommentare

Hallo zusammen, Ich habe einen Fujitsu TX 2540 M1, auf welchem Proxmox als OS läuft. Jeden Tag um genau 23:00 Uhr drehen die Lüfter der ...

question
Windows Exchange-Server benötige ich eine Domaine?Bella21Vor 9 StundenFrageWindows Server4 Kommentare

Hallo alle zusammen, ich bin neu auf dem Gebiet. Ich habe Exchange Server auf einen Windows Server 2012 installiert. Nach der Installation fertig war, ist ...