plonky
Goto Top

Internet über VPN-Tunnel?

Hallo zusammen,

sollte meine folgende Frage schon in einem anderen Thread beantwortet worden sein, wäre ich für den entsprechenden Link sehr dankbar. Die Boardsuche hat mich leider nicht weitergebracht.

Zu meinem Problem:
Unsere Aussendienstler melden sich übers Internet per VPN an der AD-Domäne an, bekommen ihr Profil geladen und können auf die Ressourcen des LANs zugreifen. Soweit, so schön.

Jetzt wird bemängelt, dass bei aktivem VPN-Tunnel kein Zugriff aufs Internet mehr möglich ist. Ist ja auch logisch, da "Split-Tunneling" unterbunden wird, was auch so bleiben soll.

Welche Möglichkeiten habe ich, trotzdem einen Internetzugriff zu ermöglichen, ohne eine Sicherheitslücke aufzumachen?

Die Elemente des Netzwerks:
- VPN-Client: SafeNet (Netgear) auf WinXP Pro SP2
- Router: Netgear FVX538
- Domäne: WS2k3 mit Active Directory
- DHCP und DNS auf den Domänencontrollern

Vielen Dank schonmal für Eure Anregungen!
plonky

Content-ID: 59657

Url: https://administrator.de/forum/internet-ueber-vpn-tunnel-59657.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

chris67
chris67 23.05.2007 um 20:58:11 Uhr
Goto Top
Deine Firma hat einen Internetzugang. Die Aussendienstler kommen über genau den selben Weg in's Internet wie die Leute, die im Büro sitzen.

- Wird der Zugang über einen Proxy gesteuert, dann trage einfach den Proxy im Browser der Aussendienstler ein.
spacyfreak
spacyfreak 23.05.2007 um 21:21:05 Uhr
Goto Top
Genau.
Ansonsten kann man die Proxyeinstellungen (falls ihr überhaupt einen verwendet) auch über WPAD oder PAC automatisiert ändern, sobald der VPN Tunnel aufgebaut wurde.
plonky
plonky 23.05.2007 um 21:32:07 Uhr
Goto Top
Wir verwenden keinen Proxy. Wäre die Einrichtung eines Proxies ein gangbarer oder der einzige Workaround zu dem Problem?
chris67
chris67 23.05.2007 um 21:42:33 Uhr
Goto Top
Ein Proxy ist empfehlenswert, denn darüber kann man den Zugriff auf das Internet sehr gut steuern. Darüber hinaus kann man das Netz besser abschotten, weil nur noch der Proxy raus können muss, alle anderen Rechner können vom Internet abgeriegelt werden.

Wie gesagt, die ADs kommen über den selben Weg wie die IDs raus, d.h. sie brauchen die selben Einstellungen in den Netzwerkeigenschaften unter TCP/IP (zumindest Netz und Gateway).
spacyfreak
spacyfreak 23.05.2007 um 22:18:43 Uhr
Goto Top
Wir verwenden keinen Proxy. Wäre die
Einrichtung eines Proxies ein gangbarer oder
der einzige Workaround zu dem Problem?

NEIN! Wenn ihr eh keinen Proxy verwendet, müssten die Aussendienstmitarbeiter nach VPN Tunnel Aufbau automatisch im Intenet browsen können!


RemoteClient----------Internet------------VPN-Server--------INTRANET(LAN)-------------Internet

Comprende?
Du solltest also schauen, wiso ein VPN Client nicht ins Internet kommt.
Firewallsettings, Routing usw.
plonky
plonky 23.05.2007 um 22:40:12 Uhr
Goto Top
NEIN! Wenn ihr eh keinen Proxy verwendet, müssten die Aussendienstmitarbeiter nach
VPN Tunnel Aufbau automatisch im Intenet browsen können!
RemoteClient----------Internet------------VPN-Server--------INTRANET(LAN)-------------Internet
Comprende?

Jepp. Genau so isses ja auch gedacht.

Du solltest also schauen, wiso ein VPN
Client nicht ins Internet kommt.
Firewallsettings, Routing usw.

Ich meine zwar entsprechende Einstellungen schon gecheckt zu haben, werde sie aber nochmal prüfen und entsprechend Feedback geben.
plonky
plonky 24.05.2007 um 20:24:44 Uhr
Goto Top
Die Einstellungen der Firewall sind soweit korrekt. Bei der Routingtabelle der Clients bin ich mir nicht sicher, ob das so wie es unten angegeben ist funktioniert wie es soll.
Zur Erläuterung:
Interface 0x20006 ist die UMTS-Karte (IP 90.xxx.xxx.xx).
Interface 0x30007 ist die virtuelle Netzwerkkarte (IP 192.168.9.1).
84.xx.xx.xxx ist die WAN-IP des Routers.
Der Router ist auch Standardgateway für das LAN (192.168.10.0/24)und hat die IP 192.168.10.1.

Da ich mich mit Routing "zu Fuss" noch nicht wirklich auskenne, geht die Frage an euch, ob die Tabelle so korrekt ist, oder ob ich da noch etwas tweaken kann.

Routingtabelle:
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 18 f3 ae 34 75 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Paketplaner-Miniport
0x10004 ...00 18 de 7j b3 73 ...... Intel(R) PRO/Wireless 3945ABG Network Connection - Deterministic Network Enhancer Miniport
0x10005 ...00 18 f3 ab 21 75 ...... Bluetooth Personal Area Network - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
NetzwerkzielNetzwerkmaskeGatewaySchnittstelleAnzahl
0.0.0.00.0.0.090.xxx.xxx.xx90.xxx.xxx.xx3
0.0.0.00.0.0.0192.168.9.1192.168.9.11
84.xx.xx.xxx255.255.255.255 90.xxx.xxx.xx 90.xxx.xxx.xx 1
90.xxx.xxx.xx255.255.255.255 127.0.0.1 127.0.0.1 50
90.255.255.255255.255.255.255 90.xxx.xxx.xx 90.xxx.xxx.xx 50
127.0.0.0255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.9.1255.255.255.255 127.0.0.1 127.0.0.1 50
92.168.9.255255.255.255.255 192.168.9.1 192.168.9.1 50
192.168.10.0255.255.255.0 192.168.9.1 192.168.9.1 1
224.0.0.0 240.0.0.0 90.xxx.xxx.xx 90.xxx.xxx.xx 2
224.0.0.0 240.0.0.0 192.168.9.1 192.168.9.1 1
255.255.255.255 255.255.255.255 90.xxx.xxx.xx 90.xxx.xxx.xx 1
255.255.255.255 255.255.255.255 192.168.9.1 2 1
255.255.255.255 255.255.255.255 192.168.9.1 10004 1
255.255.255.255 255.255.255.255 192.168.9.1 192.168.9.1 1
255.255.255.255 255.255.255.255 192.168.9.1 10005 1
Standardgateway: 192.168.9.1
Ständige Routen:
Keine
spacyfreak
spacyfreak 24.05.2007 um 22:41:15 Uhr
Goto Top
Ich meine das routing innerhalb der Firma.
Ein Client, der nen VPN Tunnel aufgebaut hat, kann ja mal ein traceroute auf www.google.de machen zum Beispiel.
Also

tracert www.google.de
oder
pathping www.google.de

Wenn er ne positive Antwort kriegt, ist das Routing ok.
Falls nicht, sieht man wo die route fehlt.
plonky
plonky 25.05.2007 um 10:04:20 Uhr
Goto Top
tracert auf google.de hatte ich ebenfalls schon versucht und es endete mit einem Timeout. Ein pathping auf google.de verlässt noch nicht mal den Laptop. Darum vielleicht auch die Vermutung, dass die Routen auf dem Laptop noch angepasst werden müssen ...
kerberosv5
kerberosv5 26.05.2007 um 13:08:32 Uhr
Goto Top
Ich hatte das selbe Problem mit meinen Netgear FWG114 PV2 ... nur der Lan verkehr wurde übers VPN geroutet, auch ändern des Traffic selectors brachte nix...
Ich habe dann hinter meinen Netgear noch einen Draytek 2900VGI installiert der als PPTP Gateway läuft.Also baue ich erst eine IPSEC Verbindung über den Netgear auf, und dann eine PPTP Verbindung über Draytek , und schon wird der IP Traffic komplett über VPN geroutet