6
Best Practice bei VPN SBS2011-Server - Filiale und Remotebenutzer
Hallo,
bin mir momentan nicht ganz sicher, wie ich folgendes Problem am besten lösen kann.
5 Filialen sind per VPN an einem SBS2011 angeschlossen. Die VPN-Verbindung wird mit DrayTek-Routern (Vigor 2200 / 2700) hergestellt und funktioniert auch wunderbar.
Des weiteren gibt es mehrere Laptops die sich per VPN einwählen, sobald sie ausserhalb des Firmenverbunds sind. Die VPN-Verbindung wird dabei mit den Zentralrouter hergestellt. Dafür habe ich beim Router für jeden Laptop eine VPN-Kennung eingerichtet. Diese Kennung unterscheidet sich "natürlich" vom angemeldeten Benutzer. Wenn der Benutzer nun aber auf die freigegebenen Shares zugreifen will, dann wird ihm dies verweigert, da er sich mit der VPN-Kennung ausweist und die exisitert momentan nur auf den Routern.
Ich habe nun mehrere Möglichkeiten:
1. Die Shares werden explizit mit Benutzername & Kennwort (-> andere Anmeldeinformationen) eingebunden, das geht aber nicht über GPO, oder lieg ich falsch
2. Ich richte die VPN-Kennung zusätzlich im SBS ein und weise die selben Rechte wie dem Benutzer zu. Benutzer selber merkt keinen Unterschied, nur ist dann der Besitzer eben nicht "username" sondern "vpnUsername"
3. Ich lasse mir die Kennwörter vom Benutzer geben und gebe diese Anmeldeinformationen in den Router ein. Finde ich persönlich nicht so toll.
4. Ich richte eine zweite Internetverbindung ein und lasse die VPN-Verbindung der Remoteuser direkt vom SBS händeln.
Momentan würde ich die 2 Möglickeit favorisieren. Wie sieht Ihr das oder noch besser, wie löst Ihr so was am besten auf.
Gruß
bin mir momentan nicht ganz sicher, wie ich folgendes Problem am besten lösen kann.
5 Filialen sind per VPN an einem SBS2011 angeschlossen. Die VPN-Verbindung wird mit DrayTek-Routern (Vigor 2200 / 2700) hergestellt und funktioniert auch wunderbar.
Des weiteren gibt es mehrere Laptops die sich per VPN einwählen, sobald sie ausserhalb des Firmenverbunds sind. Die VPN-Verbindung wird dabei mit den Zentralrouter hergestellt. Dafür habe ich beim Router für jeden Laptop eine VPN-Kennung eingerichtet. Diese Kennung unterscheidet sich "natürlich" vom angemeldeten Benutzer. Wenn der Benutzer nun aber auf die freigegebenen Shares zugreifen will, dann wird ihm dies verweigert, da er sich mit der VPN-Kennung ausweist und die exisitert momentan nur auf den Routern.
Ich habe nun mehrere Möglichkeiten:
1. Die Shares werden explizit mit Benutzername & Kennwort (-> andere Anmeldeinformationen) eingebunden, das geht aber nicht über GPO, oder lieg ich falsch
2. Ich richte die VPN-Kennung zusätzlich im SBS ein und weise die selben Rechte wie dem Benutzer zu. Benutzer selber merkt keinen Unterschied, nur ist dann der Besitzer eben nicht "username" sondern "vpnUsername"
3. Ich lasse mir die Kennwörter vom Benutzer geben und gebe diese Anmeldeinformationen in den Router ein. Finde ich persönlich nicht so toll.
4. Ich richte eine zweite Internetverbindung ein und lasse die VPN-Verbindung der Remoteuser direkt vom SBS händeln.
Momentan würde ich die 2 Möglickeit favorisieren. Wie sieht Ihr das oder noch besser, wie löst Ihr so was am besten auf.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180234
Url: https://administrator.de/contentid/180234
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Wenn es in dem VPN Client (Die Software mit der sich die Mitarbeiter mit ihren Laptops ins VPN einwählen meine ich) die Möglichkeit gibt nach erfolgreicher Verbindung ein Batch skript auszuführen, könntest du somit eine Verbindung unter anderen Anmeldeinformationen realisieren.
Es wird kein spezieller Client eingesetzt. VPN-Verbindung wird über die Standart-Windows 7-Verbindung hergestellt.
Hallo,
Gruß,
Peter
Zitat von @opalka:
Dafür habe ich beim Router für jeden Laptop eine VPN-Kennung eingerichtet. Diese Kennung unterscheidet sich "natürlich" vom angemeldeten Benutzer.
Und wenn du die mit dem AD abgleichst? Radius Server oder LDAP oder so.Dafür habe ich beim Router für jeden Laptop eine VPN-Kennung eingerichtet. Diese Kennung unterscheidet sich "natürlich" vom angemeldeten Benutzer.
Gruß,
Peter
Hi.
Und warum lässt du den SBS 2011 nicht VPN Server spielen, dann haben sich die Probleme erledigt.
LG Günther
Dafür habe ich beim Router für jeden Laptop eine VPN-Kennung eingerichtet
Und warum lässt du den SBS 2011 nicht VPN Server spielen, dann haben sich die Probleme erledigt.
LG Günther
Wenn ich mich nicht irre, müsste ich ja dafür dann die zweite Internetverbindung einrichten, da sich der Router schon für die Filialanbindung als VPN-Server anbieten und deswegen die anfragen der Benutzer nicht an den Server weiterleitet.
Die Anmeldung mit RADIUS wäre auch ne Idee. Hat jemand Erfahrung mit dem Draytek oder kennt ein Tutorial?
Die Anmeldung mit RADIUS wäre auch ne Idee. Hat jemand Erfahrung mit dem Draytek oder kennt ein Tutorial?
Hallo,
Gruß,
Peter
Zitat von @opalka:
Wenn ich mich nicht irre, müsste ich ja dafür dann die zweite Internetverbindung einrichten, da sich der Router schon
für die Filialanbindung als VPN-Server anbieten und deswegen die anfragen der Benutzer nicht an den Server weiterleitet.
Nein, Ja, Vielleicht, Nicht unbedingt... Ohne dir etwas zu wollen, aber VPN ist ein Sammelbegriff für verschiedene Verfahren. Welches (oder auch mehrere) VPN du hier verwendest hast du nicht gesagt. Daher ist eine genauere Antwort nicht möglich. Auch deine Vigor können verschiedenes gleichzeitig. Dazu zählt auch selbst als VPN Server zu arbeiten unds andere VPN's durchzuleiten. Mögliches Szenario: Die Vigor machen IPsec als Standort - Standort VPN und deine Clients direkt mit dem SBS PPTP (weniger Probleme mit VPN hinter NAT und fast alle Clients inkl. IPhones etc. können es von Haus aus) vom OS aus.Wenn ich mich nicht irre, müsste ich ja dafür dann die zweite Internetverbindung einrichten, da sich der Router schon
für die Filialanbindung als VPN-Server anbieten und deswegen die anfragen der Benutzer nicht an den Server weiterleitet.
Gruß,
Peter
