Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Server, VPN-Client und dann?

Mitglied: chefkochbln

chefkochbln (Level 1) - Jetzt verbinden

25.10.2006, aktualisiert 06.11.2006, 6289 Aufrufe, 10 Kommentare

Hallo.

Ich habe mal eine VPN-spezifische Frage. Ich muss hier auf Arbeit eine VPN-Verbindung einrichten. Nun; aus meiner Ausbildung heraus hab ich zwar so halbwegs das theoretische Wissen, jedoch bislang noch nicht in den Genuss gekommen, eine VPN-Verbindung praktisch einzurichten.

Ich hab mir aus der Knowledge Base von Microsoft den Artikel 308208 (Install and Configure a Virtual Private Network Server in Windows 2000) durchgelesen und bin zu dem Schluss gekommen (so wie es da auch steht), dass nach erfolgreicher Konfiguration der Verbindung man auf den VPN-Server eine Anmeldung erfolgt und man nach dieser quasi die Netzwerkressourcen zur Verfügung hat, ist das richtig?
Wie vollzieht sich denn die Anmeldung? An dem VPN-Server oder an der Domäne quasi?


Jetzt möchte ich jedoch nicht nur auf die Netzwerkumgebung, bzw. -ressourcen zugreifen, sondern auch die PC's unter Umständen sozusagen fernsteuern können; also halt auch Einstellungen modifizieren etc.
Jetzt gibt es ja eine Vielzahl von Programmen, die sowas managen, sie erscheinen mir jedoch alle nicht sehr sicher. Kennt ihr vielleicht ein Programm (in der Richtung VNC o. ä.), welches ihr empfehlen würdet?

Wie sieht es dann mit der Sicherheit aus, wenn ich den VPN-Server konfiguriert habe und die Verbindung über 'nen Client aufbaue aus? Reicht die normale Konfiguration aus oder sollte man zusätzliche Sicherheitsmechanismen einbauen?

Vielen Dank schonmal für eure Antworten...
Mitglied: trapper-tom
25.10.2006 um 11:38 Uhr
Hi Chefkochbln,

zur 1.Frage:
- Du baust via VPN einen Tunnel durch das Internet auf und meldest Dich am VPN-Server an. Dieser greift auf das AD des Servers bei der Authentifizierung zurück. Danach kannst Du, wenn auf dem DC so konfiguriert, eine RDP-Verbindung durch den VPN Tunnel aufbauen. Hierbei meldest Du Dich an der Domäne an. Der Server ist dann im RDP-Klient unter der internen IP-Adresse erreichbar (z.B. 192.168.0.1 ->wenn dies die Serveradresse wäre).

zur 2.Frage:
- Du kannst auf den einzelenen PC's beispielsweise VNC-"Server" (mit unterschiedlichen Session-numbers) installieren und vom Server via VNC-View auf die einzelnen Sessions zugreifen. Dies funktioniert auch, wenn Du mit RDP auf dem Server bist. Da Du dafür den VPN-Tunnel benutzt, sollte das auch sicher sein.

zur 3.Frage:
- Ich nutze die M$ eigenen Protokolle für die Verschlüsselung. Wichtig wäre, dass der Client, der die VPN- Verbindung aufbaut mit Firewall ud Virenscanner geschützt ist.

Gruß Trapper Tom
Bitte warten ..
Mitglied: chefkochbln
25.10.2006 um 12:14 Uhr
Hi Chefkochbln,

zur 1.Frage:
- Du baust via VPN einen Tunnel durch das
Internet auf und meldest Dich am VPN-Server
an. Dieser greift auf das AD des Servers bei
der Authentifizierung zurück. Danach
kannst Du, wenn auf dem DC so konfiguriert,
eine RDP-Verbindung durch den VPN Tunnel
aufbauen. Hierbei meldest Du Dich an der
Domäne an. Der Server ist dann im
RDP-Klient unter der internen IP-Adresse
erreichbar (z.B. 192.168.0.1 ->wenn dies
die Serveradresse wäre).

Und mittels RDP kann ich dann bspw. Einstellungen verändern, also quasi mit dem Desktop des jeweiligen Computers arbeiten? Klingt ja eigentlich ganz einfach.

Gibt es eine Möglichkeit vom Server allein aus, die erfolgreiche Einrichtung des VPN-Servers zu überprüfen? Ich bin leider nur eine IT-Person und müsste ja dann - um zu checken, ob die Konfiguration erfolgreich war - das eigentlich von zuhause aus machen.
Bitte warten ..
Mitglied: trapper-tom
25.10.2006 um 12:26 Uhr
Hi,

vielleicht wirds jetzt verständlicher:

1. Client (z.B. bei dir zu Hause mit internet zugang, firewall, virenscanner) baut einen vpn-tunnel auf. Danach erfolgt die RDP-Anmeldung (durch den vpn-tunnel) am Server.
2. Auf dem entfernten Server ist VNC-Viewer installiert. Auf den entfernten Clients ist VNC-"Server" installiert und im Hintergrund aktiv.
3. In der RDP-Session den VNC Viewer vom Server starten und mit der entsprechenden Adresse verbinden. Dann kannst Du den "VNC-PC" (entfernter Client) komplett fernsteuern. Der User sieht allerdings alles, was Du tust.

Gruß

Trapper Tom
Bitte warten ..
Mitglied: erikro
25.10.2006 um 12:30 Uhr
Hallo zusammen,

Ich habe mal eine VPN-spezifische Frage. Ich
muss hier auf Arbeit eine VPN-Verbindung
einrichten. Nun; aus meiner Ausbildung heraus
hab ich zwar so halbwegs das theoretische
Wissen, jedoch bislang noch nicht in den
Genuss gekommen, eine VPN-Verbindung
praktisch einzurichten.

Was genau heißt das? Netz zu Netz oder Client zu Netz? Oder beides? Haben wir auf einer Seite eine feste IP, auf beiden oder auf keiner?

Prinzipiell empfehle ich meinen Kunden immer, das Problem mit wirklich VPN-fähigen Routern zu erschlagen. Wenn Du mich fragst, dann nimm Lancom. Ansonsten gibt es solche Router auch von Bintec, Zyxel und sicher auch noch von anderen Herstellern.

Der Preis liegt zwar bei ungefähr dem zehnfachen, was Du für die Billig-DSL-Router zahlst. Aber das lohnt sich. Letztlich ist die Einrichtung viel einfacher. Trotzdem kannst Du Dir dabei noch richtig die Karten legen. ;) Wenn man aber die Arbeitszeit gegen den höheren Preis des Routers rechnet, dann kommt man insgesamt mit neuem Router preiswerter weg. Außerdem ist die Grundinstallation dann mit Sicherheit besser als ein selbst aufgesetzter VPN-Router.

Wie vollzieht sich denn die Anmeldung? An
dem VPN-Server oder an der Domäne
quasi?

Beides. Erst authentifiziert sich das andere Netz oder der andere Rechner gegenüber dem VPN-Server. Der Tunnel wird aufgebaut und dann kommt das Userlogin in der Domäne.

Jetzt möchte ich jedoch nicht nur auf
die Netzwerkumgebung, bzw. -ressourcen
zugreifen, sondern auch die PC's unter
Umständen sozusagen fernsteuern
können; also halt auch Einstellungen
modifizieren etc.

Das ist vom Prinzip her möglich. Die Frage ist, ob es bei Fernverkehrsleitungen Spaß macht. ;) Über welche Leitungen willst Du fernwarten?

Wie sieht es dann mit der Sicherheit aus,
wenn ich den VPN-Server konfiguriert habe und
die Verbindung über 'nen Client aufbaue
aus? Reicht die normale Konfiguration aus
oder sollte man zusätzliche
Sicherheitsmechanismen einbauen?

Ein weiterer Grund, warum ich das immer mit Routern aufbaue, ist die höhere Sicherheit. Ich gehe mal von IPsec aus. Hier gibt es zwei Sicherheitsmechanismen. Der eine ist das Encapsulated Security Payload (ESP). Damit bezeichnet man die verschlüsselten Daten.

Der andere Mechanismus ist der Authentication Header (AH). Und der ist inkompatibel zum NAT/PAT-Routing. Das Problem ist folgendes:

Dein Server hat eine lokale IP (z. B. 192.168.0.2). Nach außen hat das Netz aber eine öffentliche IP (z. B.: 123.123.123.123). Nun muss dein NAT-Router beim Übergang vom lokalen ins Weiteverkehrsnetz diese IP ändern. Und noch viel schlimmer, er ändert auch den TCP-Port. Dieses Verhalten sorgt aber dafür, dass die Checksummen in AH nicht mehr stimmen. Somit wird das Paket von der Gegenseite abgelehnt und der Tunnel kann nicht aufgebaut werden.

Nun gibt es zwar Router mit sogenanntem VPN-pass-through. Die lassen solche Pakete möglichst unverändert passieren. Davon halte ich aber nicht so viel, da hier ein potentielles Sicherheitsloch in die Firewall gebohrt wird. Oder ich verzichte auf den AH. Dann wird das ganze IPsec unsicherer.

Geschickter ist es also, den Tunnel vor der Firewall aufzubauen. Hier kann ich alle Funktionen von IPsec benutzen. Ich erhalte also den sichersten Tunnel, der zur Zeit möglich ist. Aber ich habe dann das Problem, dass der Server nackt im Netz steht.

Die geschickteste Lösung ist, den Tunnel quasi in der Firewall oder in Zusammenarbeit mit der Firewall aufzubauen. Und genau das tun diese speziellen Router. Hier arbeiten Firewall und VPN-Server zusammen.

hth

Liebe Grüße

Erik
Bitte warten ..
Mitglied: chefkochbln
25.10.2006 um 13:17 Uhr
Hi,

vielleicht wirds jetzt verständlicher:

1. Client (z.B. bei dir zu Hause mit
internet zugang, firewall, virenscanner) baut
einen vpn-tunnel auf. Danach erfolgt die
RDP-Anmeldung (durch den vpn-tunnel) am
Server.

Danke erstmal für deine Antworten.
RDP-Anmeldung? Oder meinst du nicht eher die VPN-Anmeldung? Ich hab das jetzt so verstanden:

1. Aufbau des VPN-Tunnels
2. Anmeldung am VPN-Server durch den Tunnel
3. RDP-Anmeldung (so dass ich dann den Bildschirm des Servers sehen kann)
4. evtl. weiteres Starten von Programmen wie VNC-Software

richtig?
Bitte warten ..
Mitglied: chefkochbln
25.10.2006 um 13:20 Uhr
Hallo zusammen,

> Ich habe mal eine VPN-spezifische
Frage. Ich
> muss hier auf Arbeit eine
VPN-Verbindung
> einrichten. Nun; aus meiner Ausbildung
heraus
> hab ich zwar so halbwegs das
theoretische
> Wissen, jedoch bislang noch nicht in
den
> Genuss gekommen, eine VPN-Verbindung
> praktisch einzurichten.

Was genau heißt das? Netz zu Netz oder
Client zu Netz? Oder beides? Haben wir auf
einer Seite eine feste IP, auf beiden oder
auf keiner?

Netz zu Netz. Beide Rechner haben jeweils immer nach Einwahl ins Internet eine neue IP.

Prinzipiell empfehle ich meinen Kunden
immer, das Problem mit wirklich
VPN-fähigen Routern zu erschlagen. Wenn
Du mich fragst, dann nimm Lancom. Ansonsten
gibt es solche Router auch von Bintec, Zyxel
und sicher auch noch von anderen
Herstellern.
Das wäre aber eine rein hardwaretechnische Umsetzung oder? - Nur würde ich das gern rein softwarebasiert machen (bietet M$ ja auch an...)

Das ist vom Prinzip her möglich. Die
Frage ist, ob es bei Fernverkehrsleitungen
Spaß macht. ;) Über welche
Leitungen willst Du fernwarten?
Es soll ja keine Dauerlösung sein, sondern lediglich für nötige "Notfallzwecke" ausreichend sein. Also keine großen, aufwendigen Arbeiten.

Danke aber erst einmal
Bitte warten ..
Mitglied: trapper-tom
25.10.2006 um 13:33 Uhr
Hast Du richtig verstanden! So meinte ich es

Trapper Tom

Edit:

Den vpn-tunnel musst Du natürlich mittes dyndns aufbauen, wenn Du jedesmal eine neue IP-Adr. bekommst. Dyndns musst Du dann am Router entsprechend konfigurieren.

Gruß Tom
Bitte warten ..
Mitglied: chefkochbln
04.11.2006 um 16:25 Uhr
Nun gut soweit

Ich habe das letztens mal ausprobiert und gemäss einer "Anleitung" aus dem Microsoft TechNet eine VPN-Verbindung (also VPN-Server + -Client) aufgebaut mittels "Routing und RAS".

Dummerweise habe ich es nicht hinbekommen, immer dann, als ich den VPN-Server gestartet habe, brach die Internetverbindung zusammen. In dem Moment, wo ich den VPN-Server heruntergefahren hatte (also Routing und RAS deaktiviert), ging die I-netverbindung wieder.

Mittlerweile habe ich mich jedoch einer anderen Lösung bedient, aber dennoch wurmt mich das etwas. Ist das ein "normaler" Fehler bei der Installation/Konfiguration eines VPN-Servers?
Bitte warten ..
Mitglied: trapper-tom
06.11.2006 um 08:39 Uhr
Kann es sein, dass Dein Server außer Fileserver, RAS u. VPN-Server auch noch als Internet-router fungiert?
Wenn ja, dann ist es warscheinlich ein DNS-Problem. Da muss ich hallerdings passen, da ich die Konfiguration Server als Internet-Router schon aus Prinzip noch nicht eingesetzt habe.

Gruß Tom
Bitte warten ..
Mitglied: chefkochbln
06.11.2006 um 08:45 Uhr
Nein, der Server dient in meinem Fall nicht als Internetrouter, der Router ist ein Hardwarerouter; daran kann es also nicht liegen.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN Client zu VPN Client - Kein ping
gelöst Frage von neueradmuserRouter & Routing5 Kommentare

Hallo, ich habe 2 vpn Client user die sich gegenseitig anpingen wollen sprich von Stuttgart nach Frankfurt per vpn ...

Netzwerke
LANCOM VPN Client
gelöst Frage von Jan1986Netzwerke11 Kommentare

Hallo zusammen, ich bin auf dem Gebiet VPN relativ neu und ich hoffe ihr könnt mir hier helfen: Ich ...

Switche und Hubs
VPN Router (client) VPN Tunnel Bauen
Frage von fundave3Switche und Hubs26 Kommentare

Hallo zusammen, ich habe mir ma wieder ein Projekt ageschafft. Da ich einen Server gemietet habe und nur ungern ...

Firewall

Abbruch VPN-Verbindung mit Zyxel-VPN-Client

Frage von EDVKellerFirewall1 Kommentar

Hallo Zusammen Wir betreiben einen Terminal-Server auf den von Extern vie ZyxelVPN zugegriffen wird. Nach einer gewissen Zeit (20 ...

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 16 StundenWindows 101 Kommentar

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 19 StundenSicherheit5 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 19 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 23 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs22 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...

Windows Server
Client in die Domäne einbinden - Allgemeine Frage dazu
gelöst Frage von RalphTWindows Server19 Kommentare

Moin, ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle. Ich bringe in der Hauptstelle ...