alex209
Goto Top

VPN Lösung vom SBS2003 für 2 Nutzer gesucht

Hallo an das Forum und alle Nutzer.

Ich betreue unser kleines Firmennetzwerk, welches durch Mobile Client´s erweitert werden soll.

Zur bisherigen Situation:

- T-Business Anschluss mit fester IP (3000 DSL Leitung)
- Teledat DSL Modem
- Linksys Linksys BEVP41 VPN Router
- SBS2003 Server inkl. 2 Netzwerkkarten
- HP Procurve 4000 Switch
- Auf dem Server laufen so ziemlich alle Dienste der er als SBS verichten muss & zusätzlich noch
Exchange sowie eine SQL Express Datenbank für unsere Warenwirtschaft.
- 7 Vista Business Clients & 8 XP Prof. Clients sind bisher angebunden.

Geplante Erweiterung:

2 Nutzer sollen sich von zuhause oder unterwegs an der Domäne anmelden können und alle Dienste wie in
der Firma nutzen können. (Eventuell mit Servergespeicherten Profilen)
Es brauchen jedoch nicht 2 Nutzer gleichzeitig von extern auf den Server zugreifen!!!

- 1 XP Prof. Notebook welches sich schon in der Domäne befindet, soll sich zukünftig
von extern (Privatanschluss bzw. über einen T-Mobile Datentarif an der Domäne anmelden können).

- Desweiteren soll ein weiterer neuer PC an einem privaten Anschluss sich an der Domäne anmelden können.
(T-Home DSL 16000 an einem Speedport W701V inkl. DynDns Account)

Frage: Wie kann man dieses Vorhaben realisieren bzw. welche weitere Hard & Software wäre angebracht oder reichen die Windows eigenen Mittel unter Berücksichtigung
der Sicherheit?

Vielen Dank!

Content-ID: 123974

Url: https://administrator.de/contentid/123974

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

neuni88
neuni88 01.09.2009 um 17:23:09 Uhr
Goto Top
Wenn du nur die Verbindung haben willst ins Firmennetz ist das einfach gemacht:

1) Auf dem SBS-Server einrichten, dass eingehende VPN-Verbindungen erlaubt sind
2) Auf dem SBS-Server einrichten, dass der User sich auch einwählen darf (glaube das ist unter RAS bei den Benutzerdetails des jeweiligen Users)
3) Den Port fürs VPN an Firewall/Router/... freischalten und auf den SBS lenken.

4) An den Clients unter Netzwerkumgebung eine neue VPN-Verbindung einrichten. (IP eingeben, Benutzerdaten sind die gleichen wie in der Domäne auch)

Edit: Hab nochmal genau geguckt. Punkt 1) findest du in der Serververwaltungskonsole des SBS unter "Internet und E-Mail" -> "RAS konfigurieren"
Und für die jeweiligen Nutzer musst du dann unter "Einwählen" in deren Benutzereinstellungen "Zugriff gestatten" auswählen.

Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec. Wenn man sichere Passwörter für die VPN-User vorgibt (nicht "hans" oder so, sondern wirklich sichere) und nur den VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt für Windows 2003 weiß ich nicht. Sonst gibt es auch Firewall-Lösungen, die das können. Bin da Fan der m0n0wall (m0n0.ch) mit nem schönen ALIX-Board als kleine Verpackung. Da ist man mit 150€ gut dabei.
Arch-Stanton
Arch-Stanton 02.09.2009 um 01:24:06 Uhr
Goto Top
Das ist ja nun blödsinn, da der Fragesteller ja schon einen VPN-Router sein eigen nennt. Da muß er ja nur 2 + 2 zusammenzählen.

Gruß, Arch Stanton
Stephan.Betken
Stephan.Betken 02.09.2009 um 03:17:47 Uhr
Goto Top
Zitat von @neuni88:
Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.
Wenn man sichere Passwörter für die VPN-User vorgibt (nicht
"hans" oder so, sondern wirklich sichere) und nur den
VPN-Port weiterleitet vom Router/Firewall zum Server, dann ist das
ganze eine recht sichere Sache. Ob es ein IPSec-"Addon" gibt
für Windows 2003 weiß ich nicht.

Windows kann sehr wohl IPSEC, und das sogar nicht nur mit Preshared-Key, sondern auch mit zertifikatsbasierter Authentifizierung. Da eigentlich alle Lösungen im unteren Preissegment lediglich Preshared-Key-Authentifizierung bieten, sollte man anstatt Geld für ein VPN-Gateway zu "verbrennen", doch die Windows-Lösung nutzen.
http://technet.microsoft.com/de-de/library/cc736821(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc787915(WS.10).aspx

Bei einem vorhandenen IPSEC-Router sollte man diesen dann aber ruhig nutzen (obwohl das genannte Modell scheinbar nur Preshared-Key kann. Aber wenn nicht jeder den Key kennt, dann sollte das ausreichen face-wink).
rs-schmid
rs-schmid 02.09.2009 um 07:25:52 Uhr
Goto Top
Zitat von @neuni88:

Edit2: Nun hab ich grad Zeit...also nochmal zur Sicherheit: Windows
kann nur PPTP als VPN-Protokoll und nicht das etwas sicherere IPSec.

das ist falsch, IPSec ist Bestandteil vom Tunnelprotokoll L2TP.
L2TP kommt sehr oft unter Windows zum Einsatz.

Gruss Roland
aqui
aqui 02.09.2009, aktualisiert am 18.10.2012 um 18:39:12 Uhr
Goto Top
Die Umsetzung ist ja nun durch das Vorhandensein eines VPN Routers kinderleicht, wie Arch es schon richtig bemerkt !

  • VPN Konfig auf dem Linksys BEVP aktivieren
  • Einen VPN Client auf den remoten Maschinen installieren wie z.B. den freien Shrew_VPN_Client ! Ein Anleitung wie der mit dem Linksys zusammenspielt sieht man HIER
  • ...fertig ist der VPN Zugriff !

Einfacher und schneller gehts ja nun wirklich nicht mehr wenn schon die richtige Hardware vorhanden ist.

Aufpassen musst du lediglich mit den remoten Usern die sich selbst hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers überwinden kann muss hier IMMER ein Port Forwarding (Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht werden mit dem Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, wird meist dynmaisch gemacht wenn die DSL Router VPN Passthrough supporten !)
Das VPN Passthrough Feature ist dann ein Muss auf den remoten Routern.

Ein wenig Zusatzinfo zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
neuni88
neuni88 02.09.2009 um 13:01:18 Uhr
Goto Top
Gut, mag sein, dass es Win2003 kann. Mir ist es bisher nicht ins Auge gesprungen. Deswegen sagte ich ja, dass es durch "Addons" oder ähnliches sicherlich möglich ist, dass der SBS es kann. Aber der komische Assistent macht doch erstmal ein PPTP, oder nicht?
aqui
aqui 02.09.2009 um 13:26:22 Uhr
Goto Top
Vergiss doch einfach mal den Winblows Server ! Er hat doch einen VPN Router und kann doch die VPN Session direkt auf dem Router terminieren !!!
Das erspart ihm zusätzlich die überflüsige Frickelei mit VPN Port Weiterleitungs usw. auf dem Router.
Warum sollte er dann den Router brach lassen und alles über den Server machen...das wäre doch Blödsinn, denn die richtige HW ist ja vorhanden !
Wenn er das ohne den Server macht ist er zudem unabhängig von dessen Verfügbarkeit !
Stephan.Betken
Stephan.Betken 02.09.2009 um 20:05:06 Uhr
Goto Top
Zitat von @aqui:
Aufpassen musst du lediglich mit den remoten Usern die sich selbst
hinter einem NAT (Adress Translation) DSL Router befinden.
Damit das IPsec Protokoll die NAT Firewall des Routers
überwinden kann muss hier IMMER ein Port Forwarding
(Weiterleitung) auf die lokale IP Adresse des VPN Clients gemacht
werden mit dem Ports:

Öhmm,
dir ist aber schon bewusst, dass das bei NAT-T nicht der Fall ist (und selbst die Anleitung zu dem von dir empfohlenen VPN-Client nichts davon weiß)?
Ich stimme dir ja zu, dass der Router eigentlich die angenehmere Wahl ist, aber ich muss zugeben, dass ich bei der Begründung aus eben genannten Gründen doch etwas Schmunzeln musste. (Über die überflüssige Frickelei mit den Weiterleitungen). Sorry dafür.
aqui
aqui 04.09.2009 um 10:43:43 Uhr
Goto Top
@stevie-b
Ja da hast du natürlich Recht. Leider supporten aber die wenigstens VPN Server auf IPsec ESP Basis NAT-T so das man immer besser vom Worst Case ausgehen sollte.
Mit NAT Traversal auf UDP 4500, hast du Recht, ist ein Port Forwarding dann nicht mehr erforderlich !
Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....
rs-schmid
rs-schmid 04.09.2009 um 15:18:17 Uhr
Goto Top
Hallo,

der ISA-Server kann L2TP/IPsec mit nat traversal.
Der OP dieses threads setzt SBS 2003 ein, muss gehen, eventuell auf die Premium Version upgraden, die enthält in jedem Fall den ISA-Server.

Das sollte man aber sicher klären vorher um sich nicht schwarz zu suchen....

Auf jeden Fall sollte man sich vorher gründlich Gedanken machen, schließlich werden vertrauliche Daten über das unsichere Trägermedium Internet transportiert.

Gruss Roland
Stephan.Betken
Stephan.Betken 06.09.2009 um 15:55:19 Uhr
Goto Top
Windows Server 2003 kann das von Haus aus, es ist also kein ISA erforderlich.

Natürlich sollte man noch folgende Artikel beachten:
- http://support.microsoft.com/kb/885348 Der Artikel basiert aber auf einem "Fehler", der eher theoretischer Natur ist.
- http://support.microsoft.com/kb/885407
rs-schmid
rs-schmid 06.09.2009 um 21:54:28 Uhr
Goto Top
richtig, Windows Server 2003 kann von Haus aus VPN Tunnel (PPTP, L2TP, IPSec) aufbauen für die Einwahl von Clients.
http://support.microsoft.com/kb/323441/de

Ein ISA macht nach meiner Auffassung dennoch Sinn, denn man kann Firewall- und Überwachungsregeln anlegen.
Bleibt aber dem OP dieses Threads überlassen....

Gruss Roland