10
Internet über VPN-Tunnel?
Hallo zusammen,
sollte meine folgende Frage schon in einem anderen Thread beantwortet worden sein, wäre ich für den entsprechenden Link sehr dankbar. Die Boardsuche hat mich leider nicht weitergebracht.
Zu meinem Problem:
Unsere Aussendienstler melden sich übers Internet per VPN an der AD-Domäne an, bekommen ihr Profil geladen und können auf die Ressourcen des LANs zugreifen. Soweit, so schön.
Jetzt wird bemängelt, dass bei aktivem VPN-Tunnel kein Zugriff aufs Internet mehr möglich ist. Ist ja auch logisch, da "Split-Tunneling" unterbunden wird, was auch so bleiben soll.
Welche Möglichkeiten habe ich, trotzdem einen Internetzugriff zu ermöglichen, ohne eine Sicherheitslücke aufzumachen?
Die Elemente des Netzwerks:
- VPN-Client: SafeNet (Netgear) auf WinXP Pro SP2
- Router: Netgear FVX538
- Domäne: WS2k3 mit Active Directory
- DHCP und DNS auf den Domänencontrollern
Vielen Dank schonmal für Eure Anregungen!
plonky
sollte meine folgende Frage schon in einem anderen Thread beantwortet worden sein, wäre ich für den entsprechenden Link sehr dankbar. Die Boardsuche hat mich leider nicht weitergebracht.
Zu meinem Problem:
Unsere Aussendienstler melden sich übers Internet per VPN an der AD-Domäne an, bekommen ihr Profil geladen und können auf die Ressourcen des LANs zugreifen. Soweit, so schön.
Jetzt wird bemängelt, dass bei aktivem VPN-Tunnel kein Zugriff aufs Internet mehr möglich ist. Ist ja auch logisch, da "Split-Tunneling" unterbunden wird, was auch so bleiben soll.
Welche Möglichkeiten habe ich, trotzdem einen Internetzugriff zu ermöglichen, ohne eine Sicherheitslücke aufzumachen?
Die Elemente des Netzwerks:
- VPN-Client: SafeNet (Netgear) auf WinXP Pro SP2
- Router: Netgear FVX538
- Domäne: WS2k3 mit Active Directory
- DHCP und DNS auf den Domänencontrollern
Vielen Dank schonmal für Eure Anregungen!
plonky
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59657
Url: https://administrator.de/contentid/59657
Printed on: April 28, 2024 at 15:04 o'clock
10 Comments
Latest comment
Deine Firma hat einen Internetzugang. Die Aussendienstler kommen über genau den selben Weg in's Internet wie die Leute, die im Büro sitzen.
- Wird der Zugang über einen Proxy gesteuert, dann trage einfach den Proxy im Browser der Aussendienstler ein.
- Wird der Zugang über einen Proxy gesteuert, dann trage einfach den Proxy im Browser der Aussendienstler ein.
Genau.
Ansonsten kann man die Proxyeinstellungen (falls ihr überhaupt einen verwendet) auch über WPAD oder PAC automatisiert ändern, sobald der VPN Tunnel aufgebaut wurde.
Ansonsten kann man die Proxyeinstellungen (falls ihr überhaupt einen verwendet) auch über WPAD oder PAC automatisiert ändern, sobald der VPN Tunnel aufgebaut wurde.
Wir verwenden keinen Proxy. Wäre die Einrichtung eines Proxies ein gangbarer oder der einzige Workaround zu dem Problem?
Ein Proxy ist empfehlenswert, denn darüber kann man den Zugriff auf das Internet sehr gut steuern. Darüber hinaus kann man das Netz besser abschotten, weil nur noch der Proxy raus können muss, alle anderen Rechner können vom Internet abgeriegelt werden.
Wie gesagt, die ADs kommen über den selben Weg wie die IDs raus, d.h. sie brauchen die selben Einstellungen in den Netzwerkeigenschaften unter TCP/IP (zumindest Netz und Gateway).
Wie gesagt, die ADs kommen über den selben Weg wie die IDs raus, d.h. sie brauchen die selben Einstellungen in den Netzwerkeigenschaften unter TCP/IP (zumindest Netz und Gateway).
Wir verwenden keinen Proxy. Wäre die
Einrichtung eines Proxies ein gangbarer oder
der einzige Workaround zu dem Problem?
Einrichtung eines Proxies ein gangbarer oder
der einzige Workaround zu dem Problem?
NEIN! Wenn ihr eh keinen Proxy verwendet, müssten die Aussendienstmitarbeiter nach VPN Tunnel Aufbau automatisch im Intenet browsen können!
RemoteClient----------Internet------------VPN-Server--------INTRANET(LAN)-------------Internet
Comprende?
Du solltest also schauen, wiso ein VPN Client nicht ins Internet kommt.
Firewallsettings, Routing usw.
NEIN! Wenn ihr eh keinen Proxy verwendet, müssten die Aussendienstmitarbeiter nach
VPN Tunnel Aufbau automatisch im Intenet browsen können!
RemoteClient----------Internet------------VPN-Server--------INTRANET(LAN)-------------Internet
Comprende?
VPN Tunnel Aufbau automatisch im Intenet browsen können!
RemoteClient----------Internet------------VPN-Server--------INTRANET(LAN)-------------Internet
Comprende?
Jepp. Genau so isses ja auch gedacht.
Du solltest also schauen, wiso ein VPN
Client nicht ins Internet kommt.
Firewallsettings, Routing usw.
Client nicht ins Internet kommt.
Firewallsettings, Routing usw.
Ich meine zwar entsprechende Einstellungen schon gecheckt zu haben, werde sie aber nochmal prüfen und entsprechend Feedback geben.
Die Einstellungen der Firewall sind soweit korrekt. Bei der Routingtabelle der Clients bin ich mir nicht sicher, ob das so wie es unten angegeben ist funktioniert wie es soll.
Zur Erläuterung:
Interface 0x20006 ist die UMTS-Karte (IP 90.xxx.xxx.xx).
Interface 0x30007 ist die virtuelle Netzwerkkarte (IP 192.168.9.1).
84.xx.xx.xxx ist die WAN-IP des Routers.
Der Router ist auch Standardgateway für das LAN (192.168.10.0/24)und hat die IP 192.168.10.1.
Da ich mich mit Routing "zu Fuss" noch nicht wirklich auskenne, geht die Frage an euch, ob die Tabelle so korrekt ist, oder ob ich da noch etwas tweaken kann.
Routingtabelle:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 18 f3 ae 34 75 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Paketplaner-Miniport
0x10004 ...00 18 de 7j b3 73 ...... Intel(R) PRO/Wireless 3945ABG Network Connection - Deterministic Network Enhancer Miniport
0x10005 ...00 18 f3 ab 21 75 ...... Bluetooth Personal Area Network - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Standardgateway: 192.168.9.1
Ständige Routen:
Keine
Zur Erläuterung:
Interface 0x20006 ist die UMTS-Karte (IP 90.xxx.xxx.xx).
Interface 0x30007 ist die virtuelle Netzwerkkarte (IP 192.168.9.1).
84.xx.xx.xxx ist die WAN-IP des Routers.
Der Router ist auch Standardgateway für das LAN (192.168.10.0/24)und hat die IP 192.168.10.1.
Da ich mich mit Routing "zu Fuss" noch nicht wirklich auskenne, geht die Frage an euch, ob die Tabelle so korrekt ist, oder ob ich da noch etwas tweaken kann.
Routingtabelle:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 18 f3 ae 34 75 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Paketplaner-Miniport
0x10004 ...00 18 de 7j b3 73 ...... Intel(R) PRO/Wireless 3945ABG Network Connection - Deterministic Network Enhancer Miniport
0x10005 ...00 18 f3 ab 21 75 ...... Bluetooth Personal Area Network - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
| Netzwerkziel | Netzwerkmaske | Gateway | Schnittstelle | Anzahl |
| 0.0.0.0 | 0.0.0.0 | 90.xxx.xxx.xx | 90.xxx.xxx.xx | 3 |
| 0.0.0.0 | 0.0.0.0 | 192.168.9.1 | 192.168.9.1 | 1 |
| 84.xx.xx.xxx | 255.255.255.255 | 90.xxx.xxx.xx | 90.xxx.xxx.xx | 1 |
| 90.xxx.xxx.xx | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 50 |
| 90.255.255.255 | 255.255.255.255 | 90.xxx.xxx.xx | 90.xxx.xxx.xx | 50 |
| 127.0.0.0 | 255.0.0.0 | 127.0.0.1 | 127.0.0.1 | 1 |
| 192.168.9.1 | 255.255.255.255 | 127.0.0.1 | 127.0.0.1 | 50 |
| 92.168.9.255 | 255.255.255.255 | 192.168.9.1 | 192.168.9.1 | 50 |
| 192.168.10.0 | 255.255.255.0 | 192.168.9.1 | 192.168.9.1 | 1 |
| 224.0.0.0 | 240.0.0.0 | 90.xxx.xxx.xx | 90.xxx.xxx.xx | 2 |
| 224.0.0.0 | 240.0.0.0 | 192.168.9.1 | 192.168.9.1 | 1 |
| 255.255.255.255 | 255.255.255.255 | 90.xxx.xxx.xx | 90.xxx.xxx.xx | 1 |
| 255.255.255.255 | 255.255.255.255 | 192.168.9.1 | 2 | 1 |
| 255.255.255.255 | 255.255.255.255 | 192.168.9.1 | 10004 | 1 |
| 255.255.255.255 | 255.255.255.255 | 192.168.9.1 | 192.168.9.1 | 1 |
| 255.255.255.255 | 255.255.255.255 | 192.168.9.1 | 10005 | 1 |
Ständige Routen:
Keine
Ich meine das routing innerhalb der Firma.
Ein Client, der nen VPN Tunnel aufgebaut hat, kann ja mal ein traceroute auf www.google.de machen zum Beispiel.
Also
tracert www.google.de
oder
pathping www.google.de
Wenn er ne positive Antwort kriegt, ist das Routing ok.
Falls nicht, sieht man wo die route fehlt.
Ein Client, der nen VPN Tunnel aufgebaut hat, kann ja mal ein traceroute auf www.google.de machen zum Beispiel.
Also
tracert www.google.de
oder
pathping www.google.de
Wenn er ne positive Antwort kriegt, ist das Routing ok.
Falls nicht, sieht man wo die route fehlt.
tracert auf google.de hatte ich ebenfalls schon versucht und es endete mit einem Timeout. Ein pathping auf google.de verlässt noch nicht mal den Laptop. Darum vielleicht auch die Vermutung, dass die Routen auf dem Laptop noch angepasst werden müssen ...
Ich hatte das selbe Problem mit meinen Netgear FWG114 PV2 ... nur der Lan verkehr wurde übers VPN geroutet, auch ändern des Traffic selectors brachte nix...
Ich habe dann hinter meinen Netgear noch einen Draytek 2900VGI installiert der als PPTP Gateway läuft.Also baue ich erst eine IPSEC Verbindung über den Netgear auf, und dann eine PPTP Verbindung über Draytek , und schon wird der IP Traffic komplett über VPN geroutet
Ich habe dann hinter meinen Netgear noch einen Draytek 2900VGI installiert der als PPTP Gateway läuft.Also baue ich erst eine IPSEC Verbindung über den Netgear auf, und dann eine PPTP Verbindung über Draytek , und schon wird der IP Traffic komplett über VPN geroutet
