Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VPN für mehrere Clients über ICS

Mitglied: havana

Können sich mehrere Clients eines Netzes per VPN mit einem entfernten VPN-Server verbinden, indem die ICS des lokalen Servers genutzt wird?

Hallo Admins,

auch nach lesen vieler Beiträge zum Thema VPN habe ich offenbar ein Verständnisproblem oder ich sehe die Sache zu kompliziert.

Problem:

Wir haben unter anderem ein kleines Netz, bestehend aus einem lokalen Server (2K Server SP4, kein DS) und vier Clients (XP Home), dass bisher aufgrund der Sicherheitsanforderungen keinen Internetzugang hatte.

Aufgrund veränderter Anforderungen müssen die Clients nun ins INet, um Mails abrufen und sich mit Behörden verbinden zu können.

Um die Sicherheit unkompliziert gewährleisten zu können, soll ein speziell zugeschnittenens Angebot eines Providers genutzt werden, der Mailkonten und einen Internetzugang bietet, wobei sämtliche Inhalte auf Seiten des Providers so gefiltert werden, dass hinreichende Sicherheit bestehen soll.

Die Verbindung zu dem Provider erfolgt über VPN.

Da bereits ein Netz besteht und zusätzliche Verkabelung der Clients sehr aufwändig wäre, soll nach Möglichkeit kein dezidierter Router verwendet werden, sondern die ICS-Funktion des lokalen Servers (der dann eine zweite NIC bekäme).

Es soll also schlicht die Möglichkeit eingerichtet werden, dass sich mehrer Clients mit Bordmitelln von XP oder ggfls. mit lokal installierten Clients über den lokalen Server eine INet-Verbindung verschaffen und durch diese je eine VPN-Verbindung mit dem VPN-Server des Providers aufbauen, der dann über diese Verbindung angeblich sichere Dienste bereitstellt.

Eine Anwahl des Lokalen Servers oder der Clients von aussen ist weder nötig noch gewünscht.

Frage also:

Geht das so einfach, wie ich mir das vorstelle?

Also Bereitstellen der INetverbindung durch den Server als Quasi-Router per ICS, wobei dann jeder einzelne Client über diese Verbindung eine VPN-Verbindung zu dem entfernten Server herstellen kann?

Oder muß, was ich tunlichst vermeiden will, auf dem Server selbst neben/statt ICS auch noch ein VPN-Server konfiguriert werden?

Wie gesagt, möglicherweise ein Verständnisproblem.

Hilft mir jemand?

Danke,

havana

Content-Key: 33312

Url: https://administrator.de/contentid/33312

Ausgedruckt am: 27.11.2021 um 06:11 Uhr

Mitglied: aqui
aqui 01.06.2006 um 00:25:47 Uhr
Goto Top
Ein Punkt ist in deiner Schilderung etwas unverständlich.... "Die Verbindung zum Provider geschieht über ein VPN...??" Wie ist das genau gemeint ???
Seit ihr Teil eines zentralen Netzes, was einen MPLS Anschluss nutzt und das mit "VPN" gemeint ist oder nutzt euer ISP ein MPLS Backbone für feste Kunden ???

Ein VPN zu einem öffentlichen Carrier aufzubauen und damit Email Verkehr abzuwickeln ist eigentlich recht unüblich, denn über welches Netz wenn nicht ein öffentliches sollte dann das VPN aufgebaut werden ?? ..und wer wenn nicht der Server sollte dann das VPN aufbauen ?
In der Regel nutzen Carrier in weiser Voraussicht keine Windows Software als Gegenpart auf ihrer Seite, so das ein MS VPN ala PPTP sowieso nicht laufen würde, von der fragwürdigen Sicherheit von PPTP einmal ganz abgesehen.
Generell ist es keine gute Lösung ein öffentliches Netz über eine 2.NIC und ICS an einen Server zu binden. Was nutzt dann eure ganze Sicherheit ala VPN wenn ihr das dann über solches Szenario wieder aushebelt ? Den Aufwand und die permanente Wartung den ihr treiben müsst um diesen MS Server dann wirklich sicher zu machen steht in keinem Verhältnis zumal bei MS immer ein unkalkulierbares "Restrisiko" bleibt.
Solche Verbindungen werden professionell meist immer mit Routern oder Firewalls mit VPN Funktion realisiert und dann über sichere Protokolle wie IPsec mit ESP oder AH. Das zweite Problem ist das ihr euch sicherheitstechnisch voll auf den Carrier und sein Angebot verlasst. Es gilt immer noch der gute alte Grundsatz ala Lenin: "Vertrauen ist gut, Kontrolle ist besser...!" Solange dessen Policies nicht transparent sind ist das immer so eine Sache....

Nun aber zu deiner eigentlichen Frage: Eine Outbound Verbindung ist nur bedingt möglich sofern dazwischen ein NAT Prozess ist. IPsec hat damit Probleme und meist auch Protokolle wie PPTP die einen verschlüsselten GRE Tunnel nutzen. Besser ist es dann mit SSL zu arbeiten was proplemlos NAT verkraftet. Sitzt der VPN Server nicht hinter einem NAT Prozess gibts auch mit IPsec kein Problem. Bei den Clients ist das aber meist nie der Fall deshalb lässt man solcherlei VPN Verbindungen meist auch global für alle Clients durch ein zentrales Device erledigen ohne die Clients einzeln anfassen zu müssen.
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server10 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 19 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 12 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...