08fresh15
Goto Top

Netzwerksicherheit in Verbindung mit Internet und VPN

Welche Einstellungen sind am Sinnvollsten um ein Netzwerk genügend ab zu sichern, wenn am Server auch das Internet bzw. VPN eingerichtet werden sollen?

Hallo Gemeinde,
sehr lange habe ich hier gelesen und jetzt bin ich zwar ein wenig schlauer aber dennoch habe ich die optimale Lösung für mein Problem noch nicht gefunden.
Zuerst möchte ich mein Netzwerk beschreiben:

18c4c3284a072ddea7704a00e29b3fdf-zwei_dc-netze

Beide Netzwerke sind bis auf die Netzwerkadressen identisch aufgebaut.
Auf dem Server, welches ein 2003 Standard Server ist sind folgende Komponeten eingerichtet:
- PDC
- DHCP
- DNS

Die Internetverbindung wird über NIC 1 an den installierten Janaserver gebunden und dieser
Stellt mir dann für die Clients den entsprechenden Proxy-Server zur Verfügung.

Als Anregeung hatte ich damals diese Konfiguration gewählt um dem "internen" Netzwerk mehr Sicherheit
von "außen" zu bieten.

Nun möchte ich gerne eine VPN Verbindung von Standort A nach Standort B erstellen.
Dazu habe ich für beide Standorte eine Regestrierung bei DynDNS vorgenommen.
Auch habe ich mir den VPN Client von AVM installiert und entsprchend versucht
von Standort B eine Verbindung zu Standort A zu erstellen.
Umgekehrt geht das ja leider nicht, da die FB 7050 wohl dieses Feature nicht unterstützt.
Eine Verbindung scheint tatsächlich zustande zu kommen, doch kann ich mich mit meinem Benutzernamen
und Passwort nicht anmelden.

Jetzt zu meinen Fragen und Vorstellungen
Ich möchte gerne von Standort A nach Standort B und auch umgekehrt eine Verbindung herstellen,
die mir erlauben mich ganz "normal" an die jeweilige Domäne an zu melden.
Dazu möchte ich am Server sowie an den jeweiligen Routern so wenige Ports auf machen müssen
wie unbedingt nötig und verschlüsseln möchte ich die Daten durch den VPN Kanal auch.
Ich wäre acuh bereit eine zweite FB mit entsprechenden VPN Fähigkeiten zu kaufen um beide
Server entsprechend anbinden zu können oder wäre es Sinnvoller andere Lösungswege zu beschreiten?
Auch würde ich sehr gerne Remotedesktop nutzen wollen.

Ich habe weder in den FB's noch an den PDC Servern Einstellungen vorgenommen (Routing / Portfreigaben)
Da ich mir nicht wirklich sicher bin, welche Lösungsansatz ich bevorzugen soll (evtl. OpenVPN?).
Wäre es Sinnvoll die FB's direkt ins Client Netz zu nehmen?
Bis dato hat mir der Janaserver immer viel Sicherheit suggestiert, die ich so nun nicht mehr habe.

Mich würde es sehr freuen Eure Meinung dazu zu lesen.
Wenn nach der Diskussion jemand bereit wäre mir dann ein entsprechendes Beispiel mit der Konfiguration
auf zu zeigen, so wäre für mich Weihnachten ein paar Tage vor gezogen.

Gruß Andreas

Content-ID: 103124

Url: https://administrator.de/forum/netzwerksicherheit-in-verbindung-mit-internet-und-vpn-103124.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

Tobbel
Tobbel 02.12.2008 um 15:51:25 Uhr
Goto Top
Hallo Andreas,

wenigstens hast du ein schönes Bild mit reingenommen, das macht die sache teilweise schon ein bisschen einfacher. Leider weiß ich jetzt nicht ganz genau worauf du hinaus willst und wo das problem ist und ob es überhaupt eins gibt. Also so wie ich das sehe hast du schon mal das Problem das du keine Verbindung über VPN bekommst. Ich bin mir da nicht 100%ig sicher, aber VPN über DynDNS geht glaube ich nicht. Eigentlich sollten deine Router beide VPN können und das in beide richtungen, das wäre schon ziemlich arm wenn ein gerät sowas nicht könnte.
Da du einen Windows 2003 Server benutzt würde ich dir raten auch das VPN zu benutzen. Ich hoffe du kennst dich ein bisschen mit Routing und RAS aus face-smile
Also noch mal zusammengefasst, ich glaube das liegt am DynDNS das es nicht klappt. Wenn du die möglichkeit hast das mit 2 analogen Telefonleitungen zu testen würde ich dir das empfehlen. So hab ichs mir beigebracht.

Gruß Tobi
aqui
aqui 02.12.2008 um 18:24:03 Uhr
Goto Top
Hast du alle Routen sauber in den FBs eingeragen wie hier beschrieben ??


Ferner solltest du mal beschreiben ob du NAT auf dem Server machst oder richtiges Routing ??
(Siehe Beschreibung im Tutorial !)


Vermutlich aber Routing, denn mit ICS ist die 172.16er Adressierung nicht möglich !

Desweiteren ist die Frage unklar ob du jetzt de facto nun mit dem VPN Client der FB arbeitetst oder nicht ??
Bei FB VPN müssen beide FBs das VPN Feature supporten, sonst geht es nicht !!
Wenn ja, muss ein Ping vom 192.168.1.0er Netz ins 172.16.18.0er Netz und andersrum problemlos möglich sein sofern die Firewalls der Endgeräte entsprechen customized sind !

Wenn nein, ist kein VPN Tunnel zustande gekommen !!
sysad
sysad 02.12.2008 um 22:41:06 Uhr
Goto Top
Mit FB 7050 geht das so nicht. Dort müsstest Du die entsprechenden Ports forwarden und auf dem Server RAS machen. Läuft bei mir gut so.
Generell sind aber VPN-fähige Router (mein Favorit ist da Draytek) nervenschonender.
08fresh15
08fresh15 03.12.2008 um 08:45:05 Uhr
Goto Top
Hallo Tobbel, auqui und sysad,

ich habe mich wahrscheinlich nicht gut ausgedrückt.
Bei meinem Problem welches ich habe, habe ich bis dato noch keinerlei Routen
in die FB's sowie im Server eingetragen.
Ziel ist es die "Beste" konfiguration zu finden.
Dabei scheidet NAT wegen den beschrieben Nachteilen von auqi aus.

Ich stehe also vor der Frage:
- Kaufe ich eine zweite FB und nutze die VPN Tools von AVM incl. der Client Software oder
(Hier sehe ich als Laie den Nachteil das AVM ein Tool installiert, wo ich nicht
Nachvollziehen kann, was alles wo installiert und frei gegeben wird.
- nutze ich z.B. OpenVPN und kann so den Rest mit Microsoft Boardmitteln konfigurieren?

Dabei scheue ich mich nicht davor mehr konfigurieren zu müssen.
Ich möchte "nur" erreichen das ich die jeweils "sicherste" Konfiguration gewählt habe
und ich mich in beiden Domänen als User anmelden kann, als auch Remotedesktop ausfürhen kann.
Erst wenn ich mir diese Frage beantwortet habe, möchte ich zur konfiguration und Einrichtung schreiten.

bis dato habe ich:
zwei DynDns Accounts, die auch in beiden FB's eingetragen sind und zum Testen habe ich auf
ein Notebook das AVM Client Tool installiert um den VPN Tunnel testen zu können.

Welche VPN Verbindung (avm/OpenVPN) würdet Ihr Favorisieren?

Auch muß ich mir für mein Heimnetz (Standort B) einen neuen Switch zu legen. Würde es Sinn machen hier einen Linksys SRW2024 zu kaufen und die FB evtl. direkt über das Switch ins interne Netz zu hängen oder ist das Perlen vor die .....

Über eine rege Diskussion und Eure Vorschläge/Meinungen würde ich mich freuen.

Gruß Andreas
sysad
sysad 03.12.2008 um 10:54:57 Uhr
Goto Top
Zitat von @08fresh15:
Hallo Tobbel, auqui und sysad,

Ich stehe also vor der Frage:
- Kaufe ich eine zweite FB und nutze die VPN Tools von AVM incl. der
Client Software

Normalerweise ist der Router der Endpunkt der Verbindung, Du solltest da auch keine Hersteller-Tools oder irgendwas brauchen. Per VPN-Endpunkt werden also die beiden Netze miteinander verbunden und damit auch automatisch geroutet. Die VPN-Endpunkte kümmern sich um alles.
MS-Bordmittel sind für VPN nicht die allerbesten, aber funktionieren (zumindest beim 2003er), wenn Du RAS konfigurierst. Bei den heutigen Rechnern merkst Du dabei auch keinen Performanceverlust mehr.



bis dato habe ich:
zwei DynDns Accounts, die auch in beiden FB's eingetragen sind
und zum Testen habe ich auf
ein Notebook das AVM Client Tool installiert um den VPN Tunnel testen
zu können.

Welche VPN Verbindung (avm/OpenVPN) würdet Ihr Favorisieren?


Ganz normalen L2TP/IPSEC Tunnel und darauf aufbauen. Bastellösungen oder herstellerspezifische Sachen rächen sich früher oder später......
aqui
aqui 03.12.2008 um 15:03:20 Uhr
Goto Top
...da kann man sysad nur zustimmen !!

Wenn du noch nichts hast ist die Entscheidung eigentlich einfach:

1.) Port Forwarding hat erhebliche Nachteile ausserdem hängt dein VPN dann von einer beidseitigen Serververfügbarkeit ab.. nicht gut...vergessen !

2.) AVM Router zu Router ist OK erfordert aber eine Investition in einen neuen AVM Router !
Der Proprietäre Client gilt nur für remotes Dialin für VPN User..ist aber auch ein Nachteil, da dich das abhängig macht von einem Hersteller..keine Frage

Lösung: 3.) Besorge dir 2 neue VPN Router die das können. Wenn du keine 16 Mbit DSL hast hast du hier ein preiswertes Angebot mit Draytek Systemen:

http://www3.computeruniverse.net/info.asp?id=90156784&used=&idu ...

Für schlappe 60 Euronen hast du eine perfekte VPN Lösung mit unabhängigen VPN Protokollen. Ausserdem supportet die Maschine ein gleichzeitiges VPN Dialin zu Wartungszwecken oder was auch immer mit allen verfügbaren VPN Clients die Windows, Apple Mac, Linux und die meisten PDAs usw. gleich mit an Bord haben.

Das der auch noch VoIP macht zusätzlich ist ein weiterer Pluspunkt !

Nachteil des o.a. Modells: Das integrierte Modem supportet nur Anschlüsse bis 6 Mbit/s

Wenn du höhere DSL Raten hast musst du dich hier umsehen:
http://www.draytek.de/Produkte.htm
08fresh15
08fresh15 04.12.2008 um 08:26:26 Uhr
Goto Top
Danke für die Informationen,
das hat mich nun ein ganze Stück weiter gebracht und nun werde ich den VPN Tunnel
mit dem Router realisieren und nicht über die Server.

Müsste ich dann in den Routern Ports freigeben um RDP und das anmelden an der Domäne realisieren zu können?

Das Routing in den internen Netzen werde ich dann nach der Anleitung von aqui realisieren.

Das sollte es dann gewesen sein so hoffe ich. Würde mir das jemand bestätigen?

Gruß Andreas
sysad
sysad 04.12.2008 um 13:41:48 Uhr
Goto Top
Zitat von @08fresh15:
Danke für die Informationen,
das hat mich nun ein ganze Stück weiter gebracht und nun werde
ich den VPN Tunnel
mit dem Router realisieren und nicht über die Server.

Da bist Du auf jeden Fall besser dran als mit RAS.


Müsste ich dann in den Routern Ports freigeben um RDP und das
anmelden an der Domäne realisieren zu können?

Nein, denn wenn der VPN-Tunnel steht bist Du ja schon im 'anderen' NW drin, d.h. quasi 'lokal'.

Das sollte es dann gewesen sein so hoffe ich. Würde mir das
jemand bestätigen?

Öhh, wer weis, was dann noch alles kommt. Aber es sieht so erst mal gut aus.


Gruß Andreas
08fresh15
08fresh15 05.12.2008 um 09:44:57 Uhr
Goto Top
Guten Morgen,

Dank Eurer Hilfe habe ich bis dato alles funktionsfähig konfigurieren können.
Der VPN Tunnel steht und ich kann mich auch via RDP anmelden.

Ich habe auf den Servern Sygate als firewall laufen, die jetzt noch konfiguriert werden muß, aber das werde ich wohl in den Griff bekommen.

Bevor ich diesen Thread als "gelöst" makiere, noch eine Frage.

Die beiden Domänen haben an beiden Standorten einen indentischen Namen.
Auch ist mein Benutzername identisch.
Mit diesem schaffe ich es nicht mich in der entfernten Domäne an zu melden.
Nutze ich einen Usernamen, der nur in der entfernten Domäne angelegt ist, so
kann ich mich ein loggen.

Habt Ihr eine Ahnung, woran das liegen könnte?

Nochmals vielen Dank für Euren Support. Ich hoffe in anderen Bereichen auch helfen zu können.

Gruß Andreas
aqui
aqui 05.12.2008 um 10:02:48 Uhr
Goto Top
Das ist jetzt mehr oder minder ein Windows Problem !!
Ob man das generell machen kann Domänen mit gleichem Namen parallel laufen zu lassen sollen die Winblows Wizzards hier beantworten...vermutlich aber nicht ohne die PDC anzufassen.
Sonst kann (und muss) man eine Domänenbeziehund definieren in jedem Falle !
So einfach parallel laufen zu lassen geht de facto nicht !
Die MS Knowledgebase oder Dr. Google sollten da eigentlich Infos für dich haben....
08fresh15
08fresh15 05.12.2008 um 10:31:17 Uhr
Goto Top
Hallo aqui,
danke für Dein Input.
Ich werde mein "privates" Netz ändern und habe dazu auch was gefunden,
da bei mir kein Exchange Server läuft.

http://technet.microsoft.com/de-de/windowsserver/bb405948.aspx

Bei weiteren Fragen, werde ich entsprechend im richtigen Bereich ein Thread
eröffnen.

Danke und ein schönes Wochenende Euch allen.