geocast
Goto Top

Direct Access mit VPN aufbau

Hallo Zusammen

Ich überlege mir gerade ein Konzept und wollte mal fragen, was ihr davon haltet.

Es geht um die Verwaltung von Laptops, die ausßerhalb vom Netzwerk agieren. Da nicht immer festgestellt werden kann, wie lange sie unterwegs sind, wollte ich diese in unsere Umgebung anbinden über Direct Access.

Das Problem ist, wir haben mehrere Außenstandorte mit einer Zentrale. Die AD liegt in der Zentrale. Die Außenstandorte haben meist nur ein NAS auf denen ihre Daten liegen um das WAN zu entlasten. Die Außenstandorte sind aber über Site2Site angebunden. Die PCs der Außenstandorte sind mit der AD Verbunden und werden hierüber verwaltet. Leitungs ist groß genug in der Zentrale (Symmetrische 100/100Mbit mit Optionen nach oben) und wir reden von ca. 30 Usern die nicht immer Simultan unterwegs sind und auch keine großen Dateien abholen.

Jetzt war meine Überlegung, ich führe Direct Access ein (2012R2 Server und Windows 10 Clients), damit sich die Clients darüber mit der Zentrale verbinden und verwaltet werden können, wenn sie unterwegs sind.

Zusätzlich haben sie wie bisher OpenVPN installiert um sich mit ihrer Geschäftsstelle direkt zu verbinden falls sie Daten benötigen. Oder die alternative wäre den Traffic von der Zentrale weiter zu Routen durch die Site2Site verbindung. Wobei ich denke das ist höchstens ein weiterer Schritt.

Kommen die OpenVPN und Direct Access verbindungen sich in die Quere? Sind alles in verschiedenen Subnetzen.

Danke für euer Input!!

Content-ID: 322739

Url: https://administrator.de/contentid/322739

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

clSchak
clSchak 02.12.2016 um 15:35:13 Uhr
Goto Top
Hi

DirectAccess setzt eine Enterprise Lizenz vom Clientbetriebssystem voraus. Die Installation ist recht einfach bei der geringen Anzahl an Client und erfordert keine sonstige Lizenz. Mit Server 2012+ ist auch eine Implementierung via NAT möglich, was den Sicherheitsaspekt seht zu gute kommt wenn man das noch nie gemacht hat.

Wenn du DAC am laufen hast, wird das OpenVPN überflüssig - es sei denn: du hast Applikationen die native IPv4 voraussetzen, die funktionieren damit nicht (wir haben 2 Applikationen die über DAC nicht funktionieren, erst wenn man einen separaten IPv4 VPN Tunnel aufbaut).

Ein gutes Tutorials findest du hier: http://jackstromberg.com/2013/12/tutorial-configuring-direct-access-on- ...

Gruß
@clSchak
131381
131381 02.12.2016 aktualisiert um 15:41:17 Uhr
Goto Top
es sei denn: du hast Applikationen die native IPv4 voraussetzen, die funktionieren damit nicht
Jepp, man muss hier auch sämtliche Ressouren per FQDN ansprechen d.h. wenn man eine IPv4 Ressource ansprechen möchte die noch keinen FQDN im DNS besitzt muss dieser angelegt werden, dann gelingt der Kontakt auch zu diesen IPv4 Ressourcen welcher über NAT64 auf dem DA-Server umgesetzt wird.

Gruß
geocast
geocast 02.12.2016 um 15:57:41 Uhr
Goto Top
Vielen Dank für die Antworten. Allerdings würde ein OpenVPN noch benötigt, da wenn man direkt in eine Nebenstelle sich einwählen will kein DA vorhanden ist. Nur zur Zentrale für die Verwaltung. Die Netzlaufwerke der einzelnen liegen in der Nebenstellen direkt. Updates und GPOs etc. werden von der Zentrale abgeholt.
131381
131381 02.12.2016 aktualisiert um 16:07:30 Uhr
Goto Top
Du kannst beides auch parallel nutzen, DAC und OVPN nutzen unterschiedliche Ports DA = 443 HTTPs und bei Bedarf kann man ja bei beiden Ports anpassen.
Du solltest nur aufpassen das du dir keine Schleife baust.
Dani
Dani 03.12.2016 um 19:18:54 Uhr
Goto Top
Moin,
Du kannst beides auch parallel nutzen, DAC und OVPN nutzen unterschiedliche Ports DA = 443 HTTPs und bei Bedarf kann man ja bei beiden Ports anpassen.
DA stellt aber automatisch eine Verbindung her, sobald die Gegenstelle erreichbar ist. Somit würde doch OVPN durch den DA-Tunnel eine Verbindung aufbauen oder?


Gruß,
Dani
131381
131381 03.12.2016 aktualisiert um 19:41:51 Uhr
Goto Top
Zitat von @Dani:
DA stellt aber automatisch eine Verbindung her,
Das ist richtig.
sobald die Gegenstelle erreichbar ist.
Du meinst wenn er sich nicht im LAN der Zentrale befindet und den konfigurierten Test-FQDN des DA nicht auflösen kann, dann ja.
Somit würde doch OVPN durch den DA-Tunnel eine Verbindung aufbauen oder?
Nein, nicht unbedingt. Es kommt drauf an wie sein DNS strukturiert ist.
Wenn er in der DA Config bestimmte DNS-Namespaces außen vor lässt geht dieser Traffic auch nicht über den Tunnel.
Nur die DNS-Zonen die er explizit im DA Server einträgt dessen Traffic wandert über den IPv6 Tunnel.

Auch wenn er zum Connecten des OVPN eine IPv4 Adresse nimmt geht diese nicht durch den Tunnel, denn DA benötigt zur Kommunikation zwingend entweder eine IPv6 Adresse oder einen FQDN, alles andere geht aus Prinzip von DA nicht durch den Tunnel!

Gruß