ruepelz7
Goto Top

Mehrere VPN Verbindungen von einem Terminalserver ausgehend

Ich habe folgendes Problem und brauche unbedingt eine Lösung.

Ich möchte mich über RemoteDesktop auf einen Terminserver einwählen. Dort soll mir eine Auswahl von VPN-Berbindungen zum "Kunden" vorliegen. Ziel ist es, dass die Zugangsdaten zentral auf dem Server liegen und nicht auf den Notebooks die auf den TS zugreifen.
Soweit kein Problem. Die Einwahl auf den TS funktioniert ohne Probleme. Eine Verbindung von dort zum Kunden ist auch kein Prob. Möchte jetzt aber ein anderer Mitarbeiter über den TS auf einen anderen Kunden zugreifen, so dass auf dem TS 2 VPN Verbindungen parallel laufen (aber in getrennten Sessions) gibt es Probleme.

Hab schon viel im Inet recherchiert und gesehen dass es nicht einfach ist. Das es unmöglich ist will ich aber so recht nicht glauben.

Ich hoffe Ihr habt eine Idee wie ich weiter vorgehen kann.

Danke schonmal im vorraus.

Content-ID: 50754

Url: https://administrator.de/contentid/50754

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

Alfredus
Alfredus 05.02.2007 um 14:44:24 Uhr
Goto Top
Möchte jetzt aber ein anderer Mitarbeiter über den TS auf einen anderen Kunden zugreifen, so dass auf dem TS 2 VPN Verbindungen parallel laufen (aber in getrennten Sessions) gibt es Probleme.

Und die da wären?

Routing könnte ein Problem sein. Doppelte Subnets sind u.U. auch ein Quell mancher Freude. Gelockte Ressourcen sind auch drin. Also woran klemmt es?

BTW: Die getrennten Sessions setzen viel zu weit oben an. Die VPN-Netzwerkverbindungen betreffen alle Nutzer auf der Maschine/Gateway.

Gruss
Alfredus
ruepelz7
ruepelz7 05.02.2007 um 16:14:25 Uhr
Goto Top
Ich suche nach einer möglichkeit das nutzer 1 sich mittels remotedesktop auf den ts einwählen kann und von dort aus einen tunnel zu kunde A aufbaut UND nutzer 2 sich über sein notebook in den ts einwählen und dann zu kunde B einwählt. das problem sind die beiden Tunnel, es lässt sich immer nur einer gleichzeitig aufbauen.


du meinst die sessions setzen zu weit oben an. Vielleicht gibt es ja eine möglichkeit die vpn tunnel irgendwie anders zu trennen als über die sessions.
Sven-UP
Sven-UP 06.02.2007 um 10:14:25 Uhr
Goto Top
Tja ich würde ja fast sagen... falsche Architektur gewählt! :D
Alfredus
Alfredus 06.02.2007 um 14:00:53 Uhr
Goto Top
du meinst die sessions setzen zu weit oben an. Vielleicht gibt es ja eine möglichkeit die vpn tunnel irgendwie anders zu trennen als über die sessions.

Geht m.E. so nicht. Netzwerkverbindungen sind für "alle" verfügbar oder für keinen.

das problem sind die beiden Tunnel, es lässt sich immer nur einer gleichzeitig aufbauen.

Glaube ich nicht. Sternförmige VPNs sind immer möglich, auch unter Windows. Welche Basis nehmt ihr denn fürs VPN? IPSec über LT2P oder was anderes?

Tja ich würde ja fast sagen... falsche Architektur gewählt! :D

Allerdings. Ich würde es so nicht machen, ein paar Kunden mit einem VPN zusammen bretzeln. Wäre mir zu heiß.

Gruss
Alfredus
ruepelz7
ruepelz7 06.02.2007 um 14:53:06 Uhr
Goto Top
Allerdings. Ich würde es so nicht
machen, ein paar Kunden mit einem VPN
zusammen bretzeln. Wäre mir zu
heiß.


Vorher war es so: Jeder Mitarbeiter hatte bekam die Login Daten der Gegenseite (Kunde) und wählte sich so beim Kunden über ein VPN ein.

Um die Login nicht auf allen Rechnern zu verteilen (sicherheitsproblem) sollen die verbindungen(zugangsdaten) zentral abgelegt werden.
Wenn ihr meint, es wäre eine falsche architektur..wie dann??
Alfredus
Alfredus 06.02.2007 um 16:04:48 Uhr
Goto Top
Wenn ihr meint, es wäre eine falsche architektur..wie dann??

Einfach anders. VPNs sind zur Fernwartung m.E. nicht geeignet. Folgendes Szenario kann das gut veranschaulichen:

Kunde A hat ein unkontrollierten, und vor allem unbemerkten, Ausbruch von Schadsoftware. Kunde B freut sich seines Lebens und hat keine technischen Probleme, noch nicht. Kunde A ruft Firma C wegen technischer Probleme an. Firma C verbindet sich mit VPN zur Störungsbehebung. Zur gleichen Zeit werden bei Firma B Routinewartungsarbeiten durchgeführt. Durch eine Fehlkonfiguration des TS-Servers(Routing, IP-Forwarding) bei Firma C kommt es zur Infektion von Kunde B mit den Schadprogrammen von Kunde A. Firma C hat jetzt ein richtiges Problem!

Fürs grobe Verständnis: Ihr verbindet da 3 Netzwerke miteinander! Je nach Kundenanzahl können das auch mehr sein. So etwas kann irgendwann einen richtigen Bumms geben. Es ist besser die VPNs von einander zu isolieren oder eben eine andere Technik(SSH, RDP) zu verwenden. Fürs Helpdesk geht Netviewer ganz gut. Wir haben ein paar Firmen in unserem Netzwerk, die den Support darüber abwickeln.

Aber egal, zurück zum Punkt: Warum kannst du nur eine VPN-Verbindung aufbauen? Fehlt da ein Dialogelement oder gibt es ein technisches Problem?

Gruss
Alfredus
Sven-UP
Sven-UP 07.02.2007 um 01:33:05 Uhr
Goto Top
Generell ist der Aufbau von VPN Tunnels mit einem Terminalserver nicht so prikelnd. Es gibt einige VPN Clients die sperren einfach alles andere und lassen nur den Verkehr im Tunnel zu - d.h. falls Ihr so einen VPN Client nutzt, würdest du dich selbst vom internen Netzwerk ausschließen. Ist ja nicht so wirklich prikelnd oder?

Der Nutzen eines Terminalserver liegt doch eigentlich im genau umgekehrten Wege... Mitarbeiter loggen sich auf die Firewall ein und sollen dank eines Terminalservers meinetwegen noch mit Citrix oder 2X ausgestattet schneller die Daten bekommen und oder von aussen arbeiten können etc...

Das was du willst, macht man nicht mit einem Terminalserver... dafür nutzt man ein normalen PC oder einen ThinClient.

Viele Grüße
Sven
ruepelz7
ruepelz7 21.02.2007 um 08:27:24 Uhr
Goto Top
Das was du willst, macht man nicht mit einem
Terminalserver... dafür nutzt man ein
normalen PC oder einen ThinClient.

Verstehe ich ja, doch sollen die Logindaten zentral gespeichert werden.

Mit welchen Clients würde es denn funktionieren?
ruepelz7
ruepelz7 21.02.2007 um 08:27:36 Uhr
Goto Top
Das was du willst, macht man nicht mit einem
Terminalserver... dafür nutzt man ein
normalen PC oder einen ThinClient.

Verstehe ich ja, doch sollen die Logindaten zentral gespeichert werden.

Mit welchen Clients würde es denn funktionieren?
Sven-UP
Sven-UP 21.02.2007 um 12:58:57 Uhr
Goto Top
Ich denke mal du brauchst ThinClients, wo du lokal noch die Möglichkeit hast etwas zu installieren... sei es eine VPN Software oder eine Fernwartungsproblem à la PCAnywhere oder Dameware...

Ein Beispiel wäre ein ThinClient mit Windows XPe drauf der noch eine Speicherkarte besitzt... IGEL, WinTerm... glaube die können was alle!

Die Logindaten speichert man am besten in einem zentralen WIKI, Intranet oder CRM System ab, wo dann jeder User nachschlagen kann.