martinb
Goto Top

Remoteverbindung auf SBS2003 über i-net

Bitte kurze Anleitung, wie ich diese verbindung am besten und sichersten einrichte.

Hallo,
mein Chef hat mich gebeten, Ihm eine Remote-Verbindung auf unser Firmennetzwerk für zu hause einzurichten.

Habe da jetzt aber nicht den blasessten Schimmer, wie das funktionieren könnte, da wir keine feste IP in unserem Netzwerk haben.
Die Internetverbindung geht über eine ganz normale DSL leitung, wie es auch fast jeder zu Hause hat.

Daher jetzt meine Frage. Wie mache ich das dann?

Am besten wäre ein kurze Anleitung zu dem Thema!

Vielen Dank

Content-ID: 36280

Url: https://administrator.de/forum/remoteverbindung-auf-sbs2003-ueber-i-net-36280.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Kosh
Kosh 20.07.2006 um 09:20:44 Uhr
Goto Top
Hi.

Google mal nach "dyndns".
Bei DSL bekommst du in regelmässigen abständen eine neue IP-Adresse.
Mit dyndns kannst du diese mit einem dns-namen im internet verknüpfen und dieser wird laufend aktualisiert.

Und zwecks Remote-Zugang im Allgemeinen guck mal hier:

http://support.microsoft.com/kb/323381/en-us

Da ist ne step-by-step Anleitung für RAS unter Windows Server 2003

Grüsse
MartinB
MartinB 21.07.2006 um 11:08:33 Uhr
Goto Top
Danke, der Link ist schon mal sehr hilfreich. Aber mit dem DynDNS komme ich noch nciht ganz klar. Da gibts ja tausend verschiedene Einträge, und alle brauchen einen anderen Clienten oder so. Weiss nicht genau was ich dann da brauche.

Also ich glaube das ist bei uns auch ein bischen Komplizierter:
Also unsere eigentliche Internetverbindung geht halt normal über DSL auf einem Rechner, der als Proxy läuft. Die Proxy-Software ist in diesem Fall "AVM-Ken-Server"!
Der SBS2003 dient hier im Netzwerk nur als PDC. Kümmert sich im Prinzip nur um die Anmeldung und Stellt Drucker bzw. Netzlaufwerke zur verfügung.

Könnt ihr mir sagen, welche Ports ich freischalten muss auf dem Ken-Server?
Die Anleitung bezieht sich ja nur auf Server mit direkter I-Net anbindung, bzw. die selbst als Proxy fungieren.

Aber wenn ich das jetzt richtig verstehe, bin ich, nachdem ich über den Proxy rein gekommen bin ja schon im Netzwerk drinn, und kann dann ganz normal arbeiten, als ob ich hier im Büro sitzen würde?
Kosh
Kosh 21.07.2006 um 11:18:16 Uhr
Goto Top
@ dyndns:
http://www.dyndns.com/support/clients/

Einfach bei DynDns registrieren und den client am proxy installieren.
Der dyndns client merkt dass er fürs dsl eine neue ip bekommen hat, und sendet diese info an die dns-server von dyndns. diese ändern dann den hosteintrag.

@ras :
Du müsstest am proxy einstellen können dass eingehende VPN verbindungen an den SBS weitergeleitet werden.
dann sollte das funktionieren. kenne mich leider mit ken nicht aus, also kann ich dir nix genaueres sagen.

anstatt mit windows RAS könntest du dich auch mit openvpn beschäftigen.
das bleibt dir überlassen. ( http://openvpn.net/ )

es gibt aber auch von avm lösungen dazu: http://www.avm.de/de/Produkte/Server-Produkte/AVM_Access_Server/index.h ...
MartinB
MartinB 21.07.2006 um 11:54:15 Uhr
Goto Top
Okay, Habe jetzt DynDNS installiert und das geht auch sehr gut. Wenn ich meine DynDNS adresse in den Browser eingebe, lande ich auf unseren ELSA Router. Ich denke mal das ist schon die halbe Miete.

Jetzt ist aber das Problem beim einrichten des VPN. Ich habe die Schritte wie in der Anleitung beschrieben durchgeführt. Aber an der Stelle, wo ich VPN auswähle, gibt es die Fehler Meldung, das mein Server keine 2 Netzwerkkarten hat, und das unbedingt erforderlich ist.

Kann ich da nicht irgendwie umgehen?

[EDIT]
Also ich habs jetzt wohl geschafft RAS bereit zu stellen auf dem Server.

Mit welcher Software kann ich jetzt vom Clienten über das I-Net zugreifen?
Muss ich da extra was Installieren, oder gibt es da eine in XP integrierte Lösung?
Kosh
Kosh 21.07.2006 um 12:06:28 Uhr
Goto Top
ich glaub nicht dass du das umgehen kannst.
am einfachsten wäre einfach ein 2te netzwerkkarte in den server einzubauen und diese direkt auf den router zu hängen.
am router solltest du dann diesen port für den zugriff vom lan sperren.

und noch was: sicher ist die ganze geschichte nicht.
normalerweise fängt man zugriffe von aussen direkt an der firewall ab.
ich gehe mal davon aus dass euer netzwerk ungefähr so aussieht:

Internet-> Router -> Proxy-> Clients und SBS Server (LAN)

Sprich eine kommunikation zwischen clients und dem internet sind AUSSCHLIESSLICH über den proxy möglich.
Ist der Proxyserver ein Windows Server? Wenn ja, dan mach den doch zu einem Domain-Member und richte RAS am Proxy ein.
Wär eh geschickter. Dann ist ein von aussen zugreifender Client bei der authentifizierung nicht gleich am DomainController.
MartinB
MartinB 21.07.2006 um 12:32:04 Uhr
Goto Top
Ja, das ist soweit richtig!

Der Proxy ist bei uns nur ein normaler WinXP Arbeitsplatzrechner auf dem der Ken-Proxy istalliert wurde. Router an der 2. Netzwerkkarte. Das LAN hängt an einen GBit 64-port Router. (... ich weiss, war ja auch nicht meine Idee. Wir sind halt nur ein kleines Handwerksunternehmen, und haben vor kurzen einen neuen mitarbeiter im Büro bekommen, und es sollten nicht gleich neue Rechner angeschafft werden.)
Aber von daher, ist der Proxy eh schon ein normales Domain-Member...

Also meinst Du, das ich um eine 2. Karte nicht drumherum komme?
Kann ich den Zugriff nicht einfach über die normale 'Benutzer-Authentifizierung regeln? Also soll heissen, das ich beim Zugriff von aussen mich erst auf dem Server anmelden muss, um überhaupt ins Netz zu kommen?

Tut mir leid, wie du siehst, bin ich echt nicht so bewandert in dem Thema...
Kosh
Kosh 21.07.2006 um 12:42:43 Uhr
Goto Top
Also

1. Für ein Kleines Unternehmen ist die Lösung eh optimal.
Man darf aber beim Zugriff ins Netzwerk vom Internet aus NIE die Sicherheit ausser acht lassen.

Also wenn der User per VPN reinkommt, ist er schon am Domaincontroller.
Dann wird er authentifiziert.

Normalerweise hält man den User erst mal vom Netzwerk weg, und die Firewall oder in deinem Fall der Proxy fragt beim DC nach ob der User denn rein darf.
Wenn der DC sein OK gibt, dan gibt die Firewall (oder Proxy) das OK und erst dann ist der User im Netzwerk drin.

Nachdem der Proxy unter XP läuft, lassen wir RAS mal weg.
AVM scheidet auch aus, weils einfach teuer is, und sich nicht wirklick rentiert.

Meine Empfehlung: OpenVPN.
Hierbei wird direkt am Proxy authentifiziert, und der DC erst mal gar nicht benötigt.

Vorteile: Kostenlos. Relativ einfach. Relativ sicher.
Nachteil: Du musst dich da erst mal ein bisschen reinlesen.

Hier empfehle ich: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

Grüsse

Und bedenke: Bei solchen Dingen nichts überstürzen.
Lieber mal ein paar Tage länger zum Einrichten brauchen, als nacher mit Sicherheitsproblemen kämpfen zu müssen ; )
MartinB
MartinB 21.07.2006 um 12:53:54 Uhr
Goto Top
Naja, überstürzen will ich da eh nichts. Also ich stehe da auch nicht unter Zeitdruck.

Bevor ich mich da jetzt reinlese, nur nochmal zum Verständniss...
Also das Open VPN installiere ich auf dem Proxy?
Dort kann ich dann unabhängig vom DC Benutzer einrichten, die überhaupt ins Netzwerk rein dürfen?
Wenn sie im Netzt dann drinn sind, können sie sich auf dem DC anmelden, und normal wie lokal von zu hause arbeiten?
Kosh
Kosh 21.07.2006 um 13:00:05 Uhr
Goto Top
1a erfasst ; )
MartinB
MartinB 21.07.2006 um 13:31:16 Uhr
Goto Top
Okay, ich hab grad meinem Chef noch einmal die Lage erklährt.
Er wäre also durchaus bereit dort noch etwas zu investieren. Sprich eine neue Netzwerkkarte für den Server ist schon genehmigt.
Es soll allerdings dann auch ein maximum an Sicherheit bieten.

Also wie ich das sehe, müssen wir dann garnicht über den Proxy gehen!

Die Internetverbindung wird hier über ein "ELSA LANCOM DSL/I-10 Office" betrieben.
Wenn ich also einen HUB nehmen würde, könnte ich Proxy UND DC direkt ans Internet anschliessen.

Dann würde ich den Proxy für ankommende Verbindungen sperren.
Somit wäre nach meiner Überlegung gewährleistet, das niemand unbefugt in unser LAN kommen würde.

Die Authentifizierung könnte dann doch der DC selbst erledigen?
Somit müsste ich nur noch einen sicheren und einfach zu bedienenden Client finden!

Noch mal eine kleine Frage zum Verständniss nebenher: Wie komme ich vom DSL-Router zum entsprechen NIC? Wenn ich jetzt meine DynDNS adresse in den Broser eingebe, komme ich nur auf meinen Router...
Kosh
Kosh 21.07.2006 um 14:05:18 Uhr
Goto Top
Erst mal ne Frage: Habt Ihr SBS2003 Standard oder Premium?
MartinB
MartinB 21.07.2006 um 14:16:38 Uhr
Goto Top
Ich denke mal die standard ausführung...

System:
Microsoft Windows Server 2003
für Small Business Server
Service Pack 1
Kosh
Kosh 21.07.2006 um 14:33:48 Uhr
Goto Top
Alles klar.

Ich sags mal so, wenn du deinen Domaincontroller schon dem Internet preisgeben willst, dann bitte HINTER der KEN Firewall.
Sicher hat der Router auch eine Hardwarefirewall drin (nehme ich mal an), aber den dc neben die KEN firewall zu hängen ist meiner meinung nach KEINE option.
Im Gegenteil. Das ist DER sicherheitsalbtraum schlechthin ; )

Was spricht eigentlich gegen OpenVPN?
Da würden euch keine Kosten entstehen?
MartinB
MartinB 21.07.2006 um 14:48:04 Uhr
Goto Top
Da würde nichts gegen sprechen. Ich habe das jetzt nur so herrausgehört, als ob es die bessere Alternative wäre.
Das würde dann auch bedeuten, das ein zusätzlicher NIC nicht nötig wäre?

Nagut, wenn ich jetzt also das OpenVPN auf dem Proxy habe, wie gehe ich dann weiter vor?

[edit]
habe es ebend auf dem Proxy installiert, und nun ist da ein neuer NIC der aber keine netzwerk verbindung hat.ß

gibt es vielleicht auch eine deutsche anleitung?
hab mit googlen nur englische oder anleitungen für linux gefunden
Kosh
Kosh 21.07.2006 um 15:02:19 Uhr
Goto Top
Sorry dann hab ich mich falsch ausgedrückt.
Ist ja auch verdammt heiss heute ; )

Für die Konfiguration hatte ich oben schon mal einen Link präsentiert.

Hier nochmal:
http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

Damit dein Chef oder wer auch immer von zuhause aus arbeiten kann, gibts 2 Möglichkeiten:
1. Er hat einen Firmenrechner oder ein Firmennotebook zuhause. Dieser wurde bei dir im lokalen Netzwerk konfiguriert und in die domäne eingebunden.
Vorgehensweise: Er meldet sich bei Windows mit den domain-credentials an (diese werden ja von windows zwischengespeichert). dann startet er den OpenVPN-Client, verbindet sich, fertig.

2. Er hat einen Privatrechner. (nicht in der Domäne)
Hier loggt er sich normal ein, startet den OpenVPN-Client, verbindet sich, und greift auf eure ressourcen mit zB Terminalservices zu.
MartinB
MartinB 21.07.2006 um 15:08:00 Uhr
Goto Top
habe es ebend auf dem Proxy installiert, und nun ist da ein neuer NIC der aber keine netzwerk verbindung hat.

gibt es vielleicht auch eine deutsche anleitung?
hab mit googlen nur englische oder anleitungen für linux gefunden

Ähmmm... heisst das jetzt, das OpenVPN muss auf den Clienten installiert werden?
Ich bin jetzt ehrlich gesagt ein bischen verwirrt

[edit]

arbeite mich grad durch die konfiguration... mann mann mann... das ist aber wirklich irre kompliziert....
MartinB
MartinB 24.07.2006 um 11:50:52 Uhr
Goto Top
Also irgendwie funktioniert das nicht so wie es soll...

Wäre schön, wenn das mit mir nochmal einer durchgehen könnte!

[EDIT]
Achja, wenn es da eine kommerzielle Software gibt, die etwas einfacher zu konfigurieren ist, würde das auch gehen, wenn sie nicht grad über 1000€ kostet.
Im Notfall muss mein Chef damit ja auch zurecht kommen, und mit Commandlines kommt er so garnicht klar...
Kosh
Kosh 26.07.2006 um 07:30:39 Uhr
Goto Top
Moin.

Sorry dass ich mich erst so spät wieder melde. War ausnahmsweise mal Urlaub ; )

@openvpn: Ich hab mal die Worte "openvpn konfigurieren windows" im Google eingegeben, und siehe da, massenhaft deutsche Anleitungen für den OpenVPN Client und den Server unter Windows.
Ausserdem sehe ich nicht wo dein Chef an die Kommandozeile müsste.

@kommerz. Anwendungen: Wie weiter oben bereits erwähnt, hat auch AVM ein VPN-Produkt.
Hier nochmal der Link: http://www.avm.de/de/Produkte/Server-Produkte/AVM_Access_Server/index.h ...

@2te NIC: Es reicht nicht einfach nur dass eine Netzwerkkarte im Server drinsteckt, diese muss natürlich auch konfiguriert sein und eine Netzwerkverbindung haben.
MartinB
MartinB 26.07.2006 um 12:04:02 Uhr
Goto Top
Der Urlaub sei dir ja auch gegönnt ;)

Also ich hab mitlerweile auch schon eine Menge anleitungen gefunden.
Allerdings hat es nicht wirklich funktioniert. Deswegen bin ich auch etwas frustriert.

Also bei uns an der Uni arbeiten wir mit einem Cisco-VPN Clienten... Hast du ne Ahnung, was da für eine Server-Software hinter steckt?
Kosh
Kosh 26.07.2006 um 13:48:21 Uhr
Goto Top
http://www.cisco.com/global/DE/products/security/vpn_home.shtml

Aber da wirst mit 1000 € nicht wirklich hinkommen ; )
MartinB
MartinB 26.07.2006 um 15:28:49 Uhr
Goto Top
Achso, dann wird das dort rein hardware technisch gehandhabt... Oha
Ne, das ist echt ne nummer zu groß für uns hier *G*
MartinB
MartinB 31.07.2006 um 11:09:28 Uhr
Goto Top
Keiner mehr eine Idee?