3
Externen Windows Server 2016 per VPN in Intranet einbinden
Hallo in die Runde,
ich lese seit schon seit einiger Zeit mit und konnte hier schon viel lernen.
(Danke dafür)
Im Moment verzweifele ich aber gerade an folgendem Problem:
Unsere Firma hat drei Standorte, die jeweils über einen LANCOM Router (883VAW und 883+) eine VPN Verbindung miteinander aufbauen.
Die Rechner sind zu 90% Macs, weshalb es auch keinen Domaincontroller gibt.
Außerdem betreiben wir in einem externen Rechenzentrum einen Windows Server 2016 der per RDS und MultiPointServices eine Branchensoftware bereitstellt.
Die Einwahl geschieht aktuell per RemoteDesktop über das WWW. (Eine Firewall blockiert brute force Versuche)
Die Frage ist nun, wie wir den externen Windows Server per VPN in unser Intranet einbinden können, damit der Server auch auf Lokale Ressourcen wie Drucker und NAS zugreifen kann.
Die erste Idee, einfach den Lancom VPN Clienten auf dem Server zu installieren scheiterte daran, dass dieser Client offenbar nicht für Windows Server vorgesehen ist und die Installation ohne Fehlermeldung abbricht und Rückgängig gemacht wird.
Die nächste Idee nach dieser Anleitung mit den Boardmitteln des Windows Servers eine VPN Verbindung zu einem der LANCOM Router aufzubauen (per IKEv2 und MSChapv2)scheiterte leider daran, dass der Lancom 883 leider keine CA Funktion bietet.
Dritte Idee: auf dem externen Windows Server das RAS/VPN Modul installieren und den LANCOM Router als Client dort einwählen lassen.
Hier bin ich mittlerweile soweit, dass ich mich von einem Windows PC mit dem Server verbinden kann. allerdings nur per PPTP, was ja nicht mehr sicher ist.
Die Einwahl per L2TP/IPSec oder IKEv2 einzuwählen (was der LANCOM theoretisch können sollte) funktioniert leider nicht.
Auch hier stellt sich wieder die Frage wo ich die Zertifikate herbekomme.
Bevor ich hier jetzt noch tiefer in die Materie einsteige wollte ich kurz eure Meinung einholen, ob da auf dem richtigen Weg bin, oder ob ich mich da gerade verrenne...
Es ist doch jetzt auch nicht so außergewöhnlich externe Server mit einzubinden.
Habe mir das ganze unterfangen irgendwie einfacher vorgestellt ...
Wie würdet Ihr vorschlagen, um einen einzelnen externen Server ins Intranet zu bringen.
Bin für alle Vorschläge offen
ich lese seit schon seit einiger Zeit mit und konnte hier schon viel lernen.
(Danke dafür)
Im Moment verzweifele ich aber gerade an folgendem Problem:
Unsere Firma hat drei Standorte, die jeweils über einen LANCOM Router (883VAW und 883+) eine VPN Verbindung miteinander aufbauen.
Die Rechner sind zu 90% Macs, weshalb es auch keinen Domaincontroller gibt.
Außerdem betreiben wir in einem externen Rechenzentrum einen Windows Server 2016 der per RDS und MultiPointServices eine Branchensoftware bereitstellt.
Die Einwahl geschieht aktuell per RemoteDesktop über das WWW. (Eine Firewall blockiert brute force Versuche)
Die Frage ist nun, wie wir den externen Windows Server per VPN in unser Intranet einbinden können, damit der Server auch auf Lokale Ressourcen wie Drucker und NAS zugreifen kann.
Die erste Idee, einfach den Lancom VPN Clienten auf dem Server zu installieren scheiterte daran, dass dieser Client offenbar nicht für Windows Server vorgesehen ist und die Installation ohne Fehlermeldung abbricht und Rückgängig gemacht wird.
Die nächste Idee nach dieser Anleitung mit den Boardmitteln des Windows Servers eine VPN Verbindung zu einem der LANCOM Router aufzubauen (per IKEv2 und MSChapv2)scheiterte leider daran, dass der Lancom 883 leider keine CA Funktion bietet.
Dritte Idee: auf dem externen Windows Server das RAS/VPN Modul installieren und den LANCOM Router als Client dort einwählen lassen.
Hier bin ich mittlerweile soweit, dass ich mich von einem Windows PC mit dem Server verbinden kann. allerdings nur per PPTP, was ja nicht mehr sicher ist.
Die Einwahl per L2TP/IPSec oder IKEv2 einzuwählen (was der LANCOM theoretisch können sollte) funktioniert leider nicht.
Auch hier stellt sich wieder die Frage wo ich die Zertifikate herbekomme.
Bevor ich hier jetzt noch tiefer in die Materie einsteige wollte ich kurz eure Meinung einholen, ob da auf dem richtigen Weg bin, oder ob ich mich da gerade verrenne...
Es ist doch jetzt auch nicht so außergewöhnlich externe Server mit einzubinden.
Habe mir das ganze unterfangen irgendwie einfacher vorgestellt ...
Wie würdet Ihr vorschlagen, um einen einzelnen externen Server ins Intranet zu bringen.
Bin für alle Vorschläge offen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 429030
Url: https://administrator.de/contentid/429030
Printed on: April 26, 2024 at 05:04 o'clock
3 Comments
Latest comment
Die Frage ist nun, wie wir den externen Windows Server per VPN in unser Intranet einbinden können
Ganz einfach indem du den Server als VPN IPsec Client sich in das bestehende VPN einwählen lässt.Wenn die Lancom Gurke kein IKEv2 kann dann macht sie ja ganz sicher IKEv1 und dann realsiert dir das der Klassiker der Shrew Client in 10 Minuten: https://www.shrew.net/download
Bzw.: https://www.shrew.net/support/Howto_Lancom
Das ist im Handumdrehen erledigt auch ohne Freitags Thread
Besser natürlich immer bordeigene Clients wie hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber wenn der Lancom kein IKEv2 kann und du als HW dabei bleiben musst, dann hilft dir das wenig, dann brauchst du nur den richtigen Client ! Dann klappt das auch mit Lancom.
An die Lösung hatte ich tatsächlich auch schonmal ins Auge gefasst, ich ließ mich aber davon abschrecken, dass shrew seit 2013 keine Updates mehr bekommen hat...
Mit den Anleitungen war es tatsächlich nur eine sache von 10 Minuten, und jetzt läuft's
Vielen Dank!
Mit den Anleitungen war es tatsächlich nur eine sache von 10 Minuten, und jetzt läuft's
Vielen Dank!
dass shrew seit 2013 keine Updates mehr bekommen hat...
Das muss man nicht und sollte man auch nicht. Am Client ist alles ausentwickelt und er somit "rock solid" !Dazu kommt das so gut wie alle Betriebssysteme, Smartphones etc. jetzt IPsec Clients immer auch "onboard" haben. So ist logischerwesie kein großer Druck mehr da das Rad irgendwie nochmal neu zu erfinden ! Was ja auch absolut verständlich ist !
Mit den Anleitungen war es tatsächlich nur eine sache von 10 Minuten, und jetzt läuft's
Glückwunsch ! Wie erwartet Case closed !
