Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Active Directory über VPN (Cisco Pix?)

Mitglied: WolfgangW
Hallo zusammen!

Das ist mein erster Beitrag, da ich normalerweise als Student mit Netzwerk- Administration nicht viel zu tun habe.

Kurz:
Wir wollen ein VPN aufbauen, das 3 Standorte miteinander verbindet. Zusätzlich sollte man sich von außen einwählen können.

Ist:
3 WGs mit Kabelanschluss, Router (fixe IP), mehreren Rechnern

Soll:
Standort 1: mit win2003 Server als Domain-Controller (Active Directory) +Cisco Pix oder ähnliches
Standort 2 & 3: WGs wie gehabt aber mit Cisco Pix oder ähnlicher Hardware

- Welche Firewall Hardware verwendet wird ist grundsätzlich egal- ich würde Pix bevorzugen. Wir können uns leider nicht an jedem Standort einen Server aufstellen, ansonsten würden wir Linux verwenden)
- Den Win2003 Server wollen wir nicht als VPN-Gateway verwenden! Dieser soll nur intern zugänglich sein. Die Pix wäre also auch als DHCP konfiguriert.
- Am Standort 1 sollte man sich auch von außen per VPN/DFÜ- Verbindung übers Internet anmelden können (möglichst ohne den Cisco Client zu installieren)
- Alle PCs im VPN können sich dann direkt an der Domäne anmelden


Da ergeben sich jetzt einige Fragen:

Zur Pix:
Ist es möglich diese so zu konfigurieren, dass sowohl eine Verknüpfung zu Netzwerken als auch (gleichzeitig) eine externe Einwahl möglich ist? (am Standort 1)

Wie werden die IPs in den Externen Netzwerken vergeben?
Ich habe das so verstanden, dass bei einer Einwahl von außen dem einzelnen PC mit der VPN- Verbindung auch eine IP vom internen DHCP zugewiesen wird.. also nicht dem PC.. sondern der Verbindung wird diese zugewiesen.

Die Frage bezieht sich jetzt also auf verbundene Netzwerke (Standort2 & 3)!

Natürlich würde ich mich freuen, wenn mir Leute die hiermit schon Erfahrung haben gleich noch einige Probleme und Stolpersteine aufzeigen würden.. ich denke die wirklichen Fragen werden erst kommen wenn wir uns an die Konfiguration machen.
Vorerst wollte ich sichergehen, dass wir nicht in die falsche Hardware investieren!

Vielen Dank an euch alle!

Wolfgang

Content-Key: 68082

Url: https://administrator.de/contentid/68082

Ausgedruckt am: 21.10.2021 um 14:10 Uhr

Mitglied: aqui
aqui 06.09.2007 um 16:03:18 Uhr
Goto Top
Nein, du hast alles richtig gemacht und mit der Hardware habt ihr natürlich was sehr hochwertiges und das sich damit solch eine sehr einfache Konfiguration abbilden lässt ist klar.
Über andere preiswertere Alternativen ist hier auch schon berichtet worden...

https://www.administrator.de/VPN_Einrichtung_mit_DSL_Routern_und_DD-WRT_ ...
und
https://www.administrator.de/Fernzugriff_aufs_Firmen-Intranet_-_sicher%2 ...

Ansonsten wäre auch eine einfache Realisation mit einfachen und preiswerten VPN Routern möglich, wie sie z.B. die Firma Draytek (www.draytek.de) im Portfolio hat. Aber wenn die Pixen schon vorhanden sind können die das genau so gut...

Was du beachten musst ist das du an allen 3 Standorten unterschiedliche IP Netzwerke benutzt also z.B.
Standort 1: 172.16.1.0/24
Standort 2: 172.16.2.0/24
Standort 3: 172.16.3.0/24

Die PIX baut dann IPsec Tunnel übers Internet auf und vernetzt diese Standorte so als ob sie lokal vernetzt wären.
Remote Clients die sich per Dialin in eins der Netze einwählen bekommen immer eine lokale IP Adresse aus dem lokalen Netz zugewiesen und sind somit virtuell Teil dieses Netzes, werden also genauso behandelt wie ein lokaler PC. Er kann damit auch transparent auf alle Netze zugreifen egal an welchem Standort er sich einwählt.

Normalerweise kann man an solch einem kleinen und recht einfachem VPN Konzept gar nichts falsch machen und es lauern auch keine Fussfallen irgendwo.
Wie du die PIX für deine VPN und Dialin Anforderung einrichtest sagt die die Cisco Seite mit vielen Beispielen:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...

(Remote Access und Easy VPN)
Erste Schritte mit der Pix sind hier erklärt:

http://www.cisco.com/en/US/docs/security/pix/pix52/eal4/eal4v523.html
Heiß diskutierte Beiträge
question
IT Dienstleister und VPN Zugang gelöst Eduard.DVor 23 StundenFrageZusammenarbeit33 Kommentare

Hallo zusammen, ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
RDP funktioniert auf 2 Monitoren, nicht aber auf 3spufi77Vor 1 TagFrageWindows 109 Kommentare

Hallo ich habe meinen Laptop über eine DockingStation USB-C an zwei Monitore angeschlossen. Wenn ich nun eine RDP Verbindung aufbaue, bekomme ich die trotz Haken ...

question
Arbeitsordnern Beine machen? gelöst dertowaVor 1 TagFrageWindows Netzwerk1 Kommentar

Hallo zusammen, mein HomeLab lässt mich leider noch nicht los. Nachdem ich gestern Abend soweit erfolgreich war und nach einer Test-VM mein Notebook umgestellt habe ...

tip
KB5006670 macht Drucker-ProblemeLochkartenstanzerVor 23 StundenTippWindows Update10 Kommentare

Moin, Seit Montag haben diverse Kunden Probleme mit dem Drucken. Nach Recherchen hat sich herausgestellt, daß KB5006670 dazu führt, daß statt einen Ausdruck nur noch ...

question
Suche einfaches Filesharing od. Sharing-CloudYan2021Vor 1 TagFrageCloud-Dienste17 Kommentare

Hallo Ihr Lieben ;-) Chef hat mal wieder ne neue Idee. Wir wollen für Kunden anbieten, dass sie Dateien über Internet mit uns austauschen können. ...

question
Windows 11 verhindernpitamericaVor 8 StundenFrageWindows 1116 Kommentare

Hallo zusammen, verstehe ich es richtig, dass Windows 11 nur installiert wird, wenn man aktiv in der Suche bei Windows Update auf das Update klickt ...

question
PowerEdge T640 Server (ESXi) mit "normalen" SSDs erweitern?ralfiiiVor 1 TagFrageServer-Hardware7 Kommentare

Ìch habe einen PowerEdge T640 Server. Die von Dell angebotenen Festplatten sind ja absurd teuer (ich nehme mal an spezielle Serverhardware, robust etc), da hab ...