Netzwerksicherheit in Verbindung mit Internet und VPN
Welche Einstellungen sind am Sinnvollsten um ein Netzwerk genügend ab zu sichern, wenn am Server auch das Internet bzw. VPN eingerichtet werden sollen?
Hallo Gemeinde,
sehr lange habe ich hier gelesen und jetzt bin ich zwar ein wenig schlauer aber dennoch habe ich die optimale Lösung für mein Problem noch nicht gefunden.
Zuerst möchte ich mein Netzwerk beschreiben:
Beide Netzwerke sind bis auf die Netzwerkadressen identisch aufgebaut.
Auf dem Server, welches ein 2003 Standard Server ist sind folgende Komponeten eingerichtet:
- PDC
- DHCP
- DNS
Die Internetverbindung wird über NIC 1 an den installierten Janaserver gebunden und dieser
Stellt mir dann für die Clients den entsprechenden Proxy-Server zur Verfügung.
Als Anregeung hatte ich damals diese Konfiguration gewählt um dem "internen" Netzwerk mehr Sicherheit
von "außen" zu bieten.
Nun möchte ich gerne eine VPN Verbindung von Standort A nach Standort B erstellen.
Dazu habe ich für beide Standorte eine Regestrierung bei DynDNS vorgenommen.
Auch habe ich mir den VPN Client von AVM installiert und entsprchend versucht
von Standort B eine Verbindung zu Standort A zu erstellen.
Umgekehrt geht das ja leider nicht, da die FB 7050 wohl dieses Feature nicht unterstützt.
Eine Verbindung scheint tatsächlich zustande zu kommen, doch kann ich mich mit meinem Benutzernamen
und Passwort nicht anmelden.
Jetzt zu meinen Fragen und Vorstellungen
Ich möchte gerne von Standort A nach Standort B und auch umgekehrt eine Verbindung herstellen,
die mir erlauben mich ganz "normal" an die jeweilige Domäne an zu melden.
Dazu möchte ich am Server sowie an den jeweiligen Routern so wenige Ports auf machen müssen
wie unbedingt nötig und verschlüsseln möchte ich die Daten durch den VPN Kanal auch.
Ich wäre acuh bereit eine zweite FB mit entsprechenden VPN Fähigkeiten zu kaufen um beide
Server entsprechend anbinden zu können oder wäre es Sinnvoller andere Lösungswege zu beschreiten?
Auch würde ich sehr gerne Remotedesktop nutzen wollen.
Ich habe weder in den FB's noch an den PDC Servern Einstellungen vorgenommen (Routing / Portfreigaben)
Da ich mir nicht wirklich sicher bin, welche Lösungsansatz ich bevorzugen soll (evtl. OpenVPN?).
Wäre es Sinnvoll die FB's direkt ins Client Netz zu nehmen?
Bis dato hat mir der Janaserver immer viel Sicherheit suggestiert, die ich so nun nicht mehr habe.
Mich würde es sehr freuen Eure Meinung dazu zu lesen.
Wenn nach der Diskussion jemand bereit wäre mir dann ein entsprechendes Beispiel mit der Konfiguration
auf zu zeigen, so wäre für mich Weihnachten ein paar Tage vor gezogen.
Gruß Andreas
Hallo Gemeinde,
sehr lange habe ich hier gelesen und jetzt bin ich zwar ein wenig schlauer aber dennoch habe ich die optimale Lösung für mein Problem noch nicht gefunden.
Zuerst möchte ich mein Netzwerk beschreiben:
Beide Netzwerke sind bis auf die Netzwerkadressen identisch aufgebaut.
Auf dem Server, welches ein 2003 Standard Server ist sind folgende Komponeten eingerichtet:
- PDC
- DHCP
- DNS
Die Internetverbindung wird über NIC 1 an den installierten Janaserver gebunden und dieser
Stellt mir dann für die Clients den entsprechenden Proxy-Server zur Verfügung.
Als Anregeung hatte ich damals diese Konfiguration gewählt um dem "internen" Netzwerk mehr Sicherheit
von "außen" zu bieten.
Nun möchte ich gerne eine VPN Verbindung von Standort A nach Standort B erstellen.
Dazu habe ich für beide Standorte eine Regestrierung bei DynDNS vorgenommen.
Auch habe ich mir den VPN Client von AVM installiert und entsprchend versucht
von Standort B eine Verbindung zu Standort A zu erstellen.
Umgekehrt geht das ja leider nicht, da die FB 7050 wohl dieses Feature nicht unterstützt.
Eine Verbindung scheint tatsächlich zustande zu kommen, doch kann ich mich mit meinem Benutzernamen
und Passwort nicht anmelden.
Jetzt zu meinen Fragen und Vorstellungen
Ich möchte gerne von Standort A nach Standort B und auch umgekehrt eine Verbindung herstellen,
die mir erlauben mich ganz "normal" an die jeweilige Domäne an zu melden.
Dazu möchte ich am Server sowie an den jeweiligen Routern so wenige Ports auf machen müssen
wie unbedingt nötig und verschlüsseln möchte ich die Daten durch den VPN Kanal auch.
Ich wäre acuh bereit eine zweite FB mit entsprechenden VPN Fähigkeiten zu kaufen um beide
Server entsprechend anbinden zu können oder wäre es Sinnvoller andere Lösungswege zu beschreiten?
Auch würde ich sehr gerne Remotedesktop nutzen wollen.
Ich habe weder in den FB's noch an den PDC Servern Einstellungen vorgenommen (Routing / Portfreigaben)
Da ich mir nicht wirklich sicher bin, welche Lösungsansatz ich bevorzugen soll (evtl. OpenVPN?).
Wäre es Sinnvoll die FB's direkt ins Client Netz zu nehmen?
Bis dato hat mir der Janaserver immer viel Sicherheit suggestiert, die ich so nun nicht mehr habe.
Mich würde es sehr freuen Eure Meinung dazu zu lesen.
Wenn nach der Diskussion jemand bereit wäre mir dann ein entsprechendes Beispiel mit der Konfiguration
auf zu zeigen, so wäre für mich Weihnachten ein paar Tage vor gezogen.
Gruß Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 103124
Url: https://administrator.de/forum/netzwerksicherheit-in-verbindung-mit-internet-und-vpn-103124.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo Andreas,
wenigstens hast du ein schönes Bild mit reingenommen, das macht die sache teilweise schon ein bisschen einfacher. Leider weiß ich jetzt nicht ganz genau worauf du hinaus willst und wo das problem ist und ob es überhaupt eins gibt. Also so wie ich das sehe hast du schon mal das Problem das du keine Verbindung über VPN bekommst. Ich bin mir da nicht 100%ig sicher, aber VPN über DynDNS geht glaube ich nicht. Eigentlich sollten deine Router beide VPN können und das in beide richtungen, das wäre schon ziemlich arm wenn ein gerät sowas nicht könnte.
Da du einen Windows 2003 Server benutzt würde ich dir raten auch das VPN zu benutzen. Ich hoffe du kennst dich ein bisschen mit Routing und RAS aus
Also noch mal zusammengefasst, ich glaube das liegt am DynDNS das es nicht klappt. Wenn du die möglichkeit hast das mit 2 analogen Telefonleitungen zu testen würde ich dir das empfehlen. So hab ichs mir beigebracht.
Gruß Tobi
wenigstens hast du ein schönes Bild mit reingenommen, das macht die sache teilweise schon ein bisschen einfacher. Leider weiß ich jetzt nicht ganz genau worauf du hinaus willst und wo das problem ist und ob es überhaupt eins gibt. Also so wie ich das sehe hast du schon mal das Problem das du keine Verbindung über VPN bekommst. Ich bin mir da nicht 100%ig sicher, aber VPN über DynDNS geht glaube ich nicht. Eigentlich sollten deine Router beide VPN können und das in beide richtungen, das wäre schon ziemlich arm wenn ein gerät sowas nicht könnte.
Da du einen Windows 2003 Server benutzt würde ich dir raten auch das VPN zu benutzen. Ich hoffe du kennst dich ein bisschen mit Routing und RAS aus
Also noch mal zusammengefasst, ich glaube das liegt am DynDNS das es nicht klappt. Wenn du die möglichkeit hast das mit 2 analogen Telefonleitungen zu testen würde ich dir das empfehlen. So hab ichs mir beigebracht.
Gruß Tobi
Hast du alle Routen sauber in den FBs eingeragen wie hier beschrieben ??
Ferner solltest du mal beschreiben ob du NAT auf dem Server machst oder richtiges Routing ??
(Siehe Beschreibung im Tutorial !)
Vermutlich aber Routing, denn mit ICS ist die 172.16er Adressierung nicht möglich !
Desweiteren ist die Frage unklar ob du jetzt de facto nun mit dem VPN Client der FB arbeitetst oder nicht ??
Bei FB VPN müssen beide FBs das VPN Feature supporten, sonst geht es nicht !!
Wenn ja, muss ein Ping vom 192.168.1.0er Netz ins 172.16.18.0er Netz und andersrum problemlos möglich sein sofern die Firewalls der Endgeräte entsprechen customized sind !
Wenn nein, ist kein VPN Tunnel zustande gekommen !!
Ferner solltest du mal beschreiben ob du NAT auf dem Server machst oder richtiges Routing ??
(Siehe Beschreibung im Tutorial !)
Vermutlich aber Routing, denn mit ICS ist die 172.16er Adressierung nicht möglich !
Desweiteren ist die Frage unklar ob du jetzt de facto nun mit dem VPN Client der FB arbeitetst oder nicht ??
Bei FB VPN müssen beide FBs das VPN Feature supporten, sonst geht es nicht !!
Wenn ja, muss ein Ping vom 192.168.1.0er Netz ins 172.16.18.0er Netz und andersrum problemlos möglich sein sofern die Firewalls der Endgeräte entsprechen customized sind !
Wenn nein, ist kein VPN Tunnel zustande gekommen !!
Ich stehe also vor der Frage:
- Kaufe ich eine zweite FB und nutze die VPN Tools von AVM incl. der
Client Software
- Kaufe ich eine zweite FB und nutze die VPN Tools von AVM incl. der
Client Software
Normalerweise ist der Router der Endpunkt der Verbindung, Du solltest da auch keine Hersteller-Tools oder irgendwas brauchen. Per VPN-Endpunkt werden also die beiden Netze miteinander verbunden und damit auch automatisch geroutet. Die VPN-Endpunkte kümmern sich um alles.
MS-Bordmittel sind für VPN nicht die allerbesten, aber funktionieren (zumindest beim 2003er), wenn Du RAS konfigurierst. Bei den heutigen Rechnern merkst Du dabei auch keinen Performanceverlust mehr.
bis dato habe ich:
zwei DynDns Accounts, die auch in beiden FB's eingetragen sind
und zum Testen habe ich auf
ein Notebook das AVM Client Tool installiert um den VPN Tunnel testen
zu können.
Welche VPN Verbindung (avm/OpenVPN) würdet Ihr Favorisieren?
Ganz normalen L2TP/IPSEC Tunnel und darauf aufbauen. Bastellösungen oder herstellerspezifische Sachen rächen sich früher oder später......
...da kann man sysad nur zustimmen !!
Wenn du noch nichts hast ist die Entscheidung eigentlich einfach:
1.) Port Forwarding hat erhebliche Nachteile ausserdem hängt dein VPN dann von einer beidseitigen Serververfügbarkeit ab.. nicht gut...vergessen !
2.) AVM Router zu Router ist OK erfordert aber eine Investition in einen neuen AVM Router !
Der Proprietäre Client gilt nur für remotes Dialin für VPN User..ist aber auch ein Nachteil, da dich das abhängig macht von einem Hersteller..keine Frage
Lösung: 3.) Besorge dir 2 neue VPN Router die das können. Wenn du keine 16 Mbit DSL hast hast du hier ein preiswertes Angebot mit Draytek Systemen:
http://www3.computeruniverse.net/info.asp?id=90156784&used=&idu ...
Für schlappe 60 Euronen hast du eine perfekte VPN Lösung mit unabhängigen VPN Protokollen. Ausserdem supportet die Maschine ein gleichzeitiges VPN Dialin zu Wartungszwecken oder was auch immer mit allen verfügbaren VPN Clients die Windows, Apple Mac, Linux und die meisten PDAs usw. gleich mit an Bord haben.
Das der auch noch VoIP macht zusätzlich ist ein weiterer Pluspunkt !
Nachteil des o.a. Modells: Das integrierte Modem supportet nur Anschlüsse bis 6 Mbit/s
Wenn du höhere DSL Raten hast musst du dich hier umsehen:
http://www.draytek.de/Produkte.htm
Wenn du noch nichts hast ist die Entscheidung eigentlich einfach:
1.) Port Forwarding hat erhebliche Nachteile ausserdem hängt dein VPN dann von einer beidseitigen Serververfügbarkeit ab.. nicht gut...vergessen !
2.) AVM Router zu Router ist OK erfordert aber eine Investition in einen neuen AVM Router !
Der Proprietäre Client gilt nur für remotes Dialin für VPN User..ist aber auch ein Nachteil, da dich das abhängig macht von einem Hersteller..keine Frage
Lösung: 3.) Besorge dir 2 neue VPN Router die das können. Wenn du keine 16 Mbit DSL hast hast du hier ein preiswertes Angebot mit Draytek Systemen:
http://www3.computeruniverse.net/info.asp?id=90156784&used=&idu ...
Für schlappe 60 Euronen hast du eine perfekte VPN Lösung mit unabhängigen VPN Protokollen. Ausserdem supportet die Maschine ein gleichzeitiges VPN Dialin zu Wartungszwecken oder was auch immer mit allen verfügbaren VPN Clients die Windows, Apple Mac, Linux und die meisten PDAs usw. gleich mit an Bord haben.
Das der auch noch VoIP macht zusätzlich ist ein weiterer Pluspunkt !
Nachteil des o.a. Modells: Das integrierte Modem supportet nur Anschlüsse bis 6 Mbit/s
Wenn du höhere DSL Raten hast musst du dich hier umsehen:
http://www.draytek.de/Produkte.htm
Zitat von @08fresh15:
Danke für die Informationen,
das hat mich nun ein ganze Stück weiter gebracht und nun werde
ich den VPN Tunnel
mit dem Router realisieren und nicht über die Server.
Danke für die Informationen,
das hat mich nun ein ganze Stück weiter gebracht und nun werde
ich den VPN Tunnel
mit dem Router realisieren und nicht über die Server.
Da bist Du auf jeden Fall besser dran als mit RAS.
Müsste ich dann in den Routern Ports freigeben um RDP und das
anmelden an der Domäne realisieren zu können?
Nein, denn wenn der VPN-Tunnel steht bist Du ja schon im 'anderen' NW drin, d.h. quasi 'lokal'.
Das sollte es dann gewesen sein so hoffe ich. Würde mir das
jemand bestätigen?
jemand bestätigen?
Öhh, wer weis, was dann noch alles kommt. Aber es sieht so erst mal gut aus.
Gruß Andreas
Das ist jetzt mehr oder minder ein Windows Problem !!
Ob man das generell machen kann Domänen mit gleichem Namen parallel laufen zu lassen sollen die Winblows Wizzards hier beantworten...vermutlich aber nicht ohne die PDC anzufassen.
Sonst kann (und muss) man eine Domänenbeziehund definieren in jedem Falle !
So einfach parallel laufen zu lassen geht de facto nicht !
Die MS Knowledgebase oder Dr. Google sollten da eigentlich Infos für dich haben....
Ob man das generell machen kann Domänen mit gleichem Namen parallel laufen zu lassen sollen die Winblows Wizzards hier beantworten...vermutlich aber nicht ohne die PDC anzufassen.
Sonst kann (und muss) man eine Domänenbeziehund definieren in jedem Falle !
So einfach parallel laufen zu lassen geht de facto nicht !
Die MS Knowledgebase oder Dr. Google sollten da eigentlich Infos für dich haben....