chefkochbln
Goto Top

VPN-Server, VPN-Client und dann?

Hallo.

Ich habe mal eine VPN-spezifische Frage. Ich muss hier auf Arbeit eine VPN-Verbindung einrichten. Nun; aus meiner Ausbildung heraus hab ich zwar so halbwegs das theoretische Wissen, jedoch bislang noch nicht in den Genuss gekommen, eine VPN-Verbindung praktisch einzurichten.

Ich hab mir aus der Knowledge Base von Microsoft den Artikel 308208 (Install and Configure a Virtual Private Network Server in Windows 2000) durchgelesen und bin zu dem Schluss gekommen (so wie es da auch steht), dass nach erfolgreicher Konfiguration der Verbindung man auf den VPN-Server eine Anmeldung erfolgt und man nach dieser quasi die Netzwerkressourcen zur Verfügung hat, ist das richtig?
Wie vollzieht sich denn die Anmeldung? An dem VPN-Server oder an der Domäne quasi?


Jetzt möchte ich jedoch nicht nur auf die Netzwerkumgebung, bzw. -ressourcen zugreifen, sondern auch die PC's unter Umständen sozusagen fernsteuern können; also halt auch Einstellungen modifizieren etc.
Jetzt gibt es ja eine Vielzahl von Programmen, die sowas managen, sie erscheinen mir jedoch alle nicht sehr sicher. Kennt ihr vielleicht ein Programm (in der Richtung VNC o. ä.), welches ihr empfehlen würdet?

Wie sieht es dann mit der Sicherheit aus, wenn ich den VPN-Server konfiguriert habe und die Verbindung über 'nen Client aufbaue aus? Reicht die normale Konfiguration aus oder sollte man zusätzliche Sicherheitsmechanismen einbauen?

Vielen Dank schonmal für eure Antworten...

Content-ID: 42981

Url: https://administrator.de/contentid/42981

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

trapper-tom
trapper-tom 25.10.2006 um 11:38:10 Uhr
Goto Top
Hi Chefkochbln,

zur 1.Frage:
- Du baust via VPN einen Tunnel durch das Internet auf und meldest Dich am VPN-Server an. Dieser greift auf das AD des Servers bei der Authentifizierung zurück. Danach kannst Du, wenn auf dem DC so konfiguriert, eine RDP-Verbindung durch den VPN Tunnel aufbauen. Hierbei meldest Du Dich an der Domäne an. Der Server ist dann im RDP-Klient unter der internen IP-Adresse erreichbar (z.B. 192.168.0.1 ->wenn dies die Serveradresse wäre).

zur 2.Frage:
- Du kannst auf den einzelenen PC's beispielsweise VNC-"Server" (mit unterschiedlichen Session-numbers) installieren und vom Server via VNC-View auf die einzelnen Sessions zugreifen. Dies funktioniert auch, wenn Du mit RDP auf dem Server bist. Da Du dafür den VPN-Tunnel benutzt, sollte das auch sicher sein.

zur 3.Frage:
- Ich nutze die M$ eigenen Protokolle für die Verschlüsselung. Wichtig wäre, dass der Client, der die VPN- Verbindung aufbaut mit Firewall ud Virenscanner geschützt ist.

Gruß Trapper Tom
chefkochbln
chefkochbln 25.10.2006 um 12:14:50 Uhr
Goto Top
Hi Chefkochbln,

zur 1.Frage:
- Du baust via VPN einen Tunnel durch das
Internet auf und meldest Dich am VPN-Server
an. Dieser greift auf das AD des Servers bei
der Authentifizierung zurück. Danach
kannst Du, wenn auf dem DC so konfiguriert,
eine RDP-Verbindung durch den VPN Tunnel
aufbauen. Hierbei meldest Du Dich an der
Domäne an. Der Server ist dann im
RDP-Klient unter der internen IP-Adresse
erreichbar (z.B. 192.168.0.1 ->wenn dies
die Serveradresse wäre).

Und mittels RDP kann ich dann bspw. Einstellungen verändern, also quasi mit dem Desktop des jeweiligen Computers arbeiten? Klingt ja eigentlich ganz einfach.

Gibt es eine Möglichkeit vom Server allein aus, die erfolgreiche Einrichtung des VPN-Servers zu überprüfen? Ich bin leider nur eine IT-Person und müsste ja dann - um zu checken, ob die Konfiguration erfolgreich war - das eigentlich von zuhause aus machen.
trapper-tom
trapper-tom 25.10.2006 um 12:26:31 Uhr
Goto Top
Hi,

vielleicht wirds jetzt verständlicher:

1. Client (z.B. bei dir zu Hause mit internet zugang, firewall, virenscanner) baut einen vpn-tunnel auf. Danach erfolgt die RDP-Anmeldung (durch den vpn-tunnel) am Server.
2. Auf dem entfernten Server ist VNC-Viewer installiert. Auf den entfernten Clients ist VNC-"Server" installiert und im Hintergrund aktiv.
3. In der RDP-Session den VNC Viewer vom Server starten und mit der entsprechenden Adresse verbinden. Dann kannst Du den "VNC-PC" (entfernter Client) komplett fernsteuern. Der User sieht allerdings alles, was Du tust.

Gruß

Trapper Tom
erikro
erikro 25.10.2006 um 12:30:06 Uhr
Goto Top
Hallo zusammen,

Ich habe mal eine VPN-spezifische Frage. Ich
muss hier auf Arbeit eine VPN-Verbindung
einrichten. Nun; aus meiner Ausbildung heraus
hab ich zwar so halbwegs das theoretische
Wissen, jedoch bislang noch nicht in den
Genuss gekommen, eine VPN-Verbindung
praktisch einzurichten.

Was genau heißt das? Netz zu Netz oder Client zu Netz? Oder beides? Haben wir auf einer Seite eine feste IP, auf beiden oder auf keiner?

Prinzipiell empfehle ich meinen Kunden immer, das Problem mit wirklich VPN-fähigen Routern zu erschlagen. Wenn Du mich fragst, dann nimm Lancom. Ansonsten gibt es solche Router auch von Bintec, Zyxel und sicher auch noch von anderen Herstellern.

Der Preis liegt zwar bei ungefähr dem zehnfachen, was Du für die Billig-DSL-Router zahlst. Aber das lohnt sich. Letztlich ist die Einrichtung viel einfacher. Trotzdem kannst Du Dir dabei noch richtig die Karten legen. ;) Wenn man aber die Arbeitszeit gegen den höheren Preis des Routers rechnet, dann kommt man insgesamt mit neuem Router preiswerter weg. Außerdem ist die Grundinstallation dann mit Sicherheit besser als ein selbst aufgesetzter VPN-Router.

Wie vollzieht sich denn die Anmeldung? An
dem VPN-Server oder an der Domäne
quasi?

Beides. Erst authentifiziert sich das andere Netz oder der andere Rechner gegenüber dem VPN-Server. Der Tunnel wird aufgebaut und dann kommt das Userlogin in der Domäne.

Jetzt möchte ich jedoch nicht nur auf
die Netzwerkumgebung, bzw. -ressourcen
zugreifen, sondern auch die PC's unter
Umständen sozusagen fernsteuern
können; also halt auch Einstellungen
modifizieren etc.

Das ist vom Prinzip her möglich. Die Frage ist, ob es bei Fernverkehrsleitungen Spaß macht. ;) Über welche Leitungen willst Du fernwarten?

Wie sieht es dann mit der Sicherheit aus,
wenn ich den VPN-Server konfiguriert habe und
die Verbindung über 'nen Client aufbaue
aus? Reicht die normale Konfiguration aus
oder sollte man zusätzliche
Sicherheitsmechanismen einbauen?

Ein weiterer Grund, warum ich das immer mit Routern aufbaue, ist die höhere Sicherheit. Ich gehe mal von IPsec aus. Hier gibt es zwei Sicherheitsmechanismen. Der eine ist das Encapsulated Security Payload (ESP). Damit bezeichnet man die verschlüsselten Daten.

Der andere Mechanismus ist der Authentication Header (AH). Und der ist inkompatibel zum NAT/PAT-Routing. Das Problem ist folgendes:

Dein Server hat eine lokale IP (z. B. 192.168.0.2). Nach außen hat das Netz aber eine öffentliche IP (z. B.: 123.123.123.123). Nun muss dein NAT-Router beim Übergang vom lokalen ins Weiteverkehrsnetz diese IP ändern. Und noch viel schlimmer, er ändert auch den TCP-Port. Dieses Verhalten sorgt aber dafür, dass die Checksummen in AH nicht mehr stimmen. Somit wird das Paket von der Gegenseite abgelehnt und der Tunnel kann nicht aufgebaut werden.

Nun gibt es zwar Router mit sogenanntem VPN-pass-through. Die lassen solche Pakete möglichst unverändert passieren. Davon halte ich aber nicht so viel, da hier ein potentielles Sicherheitsloch in die Firewall gebohrt wird. Oder ich verzichte auf den AH. Dann wird das ganze IPsec unsicherer.

Geschickter ist es also, den Tunnel vor der Firewall aufzubauen. Hier kann ich alle Funktionen von IPsec benutzen. Ich erhalte also den sichersten Tunnel, der zur Zeit möglich ist. Aber ich habe dann das Problem, dass der Server nackt im Netz steht.

Die geschickteste Lösung ist, den Tunnel quasi in der Firewall oder in Zusammenarbeit mit der Firewall aufzubauen. Und genau das tun diese speziellen Router. Hier arbeiten Firewall und VPN-Server zusammen.

hth

Liebe Grüße

Erik
chefkochbln
chefkochbln 25.10.2006 um 13:17:07 Uhr
Goto Top
Hi,

vielleicht wirds jetzt verständlicher:

1. Client (z.B. bei dir zu Hause mit
internet zugang, firewall, virenscanner) baut
einen vpn-tunnel auf. Danach erfolgt die
RDP-Anmeldung (durch den vpn-tunnel) am
Server.

Danke erstmal für deine Antworten.
RDP-Anmeldung? Oder meinst du nicht eher die VPN-Anmeldung? Ich hab das jetzt so verstanden:

1. Aufbau des VPN-Tunnels
2. Anmeldung am VPN-Server durch den Tunnel
3. RDP-Anmeldung (so dass ich dann den Bildschirm des Servers sehen kann)
4. evtl. weiteres Starten von Programmen wie VNC-Software

richtig?
chefkochbln
chefkochbln 25.10.2006 um 13:20:36 Uhr
Goto Top
Hallo zusammen,

> Ich habe mal eine VPN-spezifische
Frage. Ich
> muss hier auf Arbeit eine
VPN-Verbindung
> einrichten. Nun; aus meiner Ausbildung
heraus
> hab ich zwar so halbwegs das
theoretische
> Wissen, jedoch bislang noch nicht in
den
> Genuss gekommen, eine VPN-Verbindung
> praktisch einzurichten.

Was genau heißt das? Netz zu Netz oder
Client zu Netz? Oder beides? Haben wir auf
einer Seite eine feste IP, auf beiden oder
auf keiner?

Netz zu Netz. Beide Rechner haben jeweils immer nach Einwahl ins Internet eine neue IP.

Prinzipiell empfehle ich meinen Kunden
immer, das Problem mit wirklich
VPN-fähigen Routern zu erschlagen. Wenn
Du mich fragst, dann nimm Lancom. Ansonsten
gibt es solche Router auch von Bintec, Zyxel
und sicher auch noch von anderen
Herstellern.
Das wäre aber eine rein hardwaretechnische Umsetzung oder? - Nur würde ich das gern rein softwarebasiert machen (bietet M$ ja auch an...)

Das ist vom Prinzip her möglich. Die
Frage ist, ob es bei Fernverkehrsleitungen
Spaß macht. ;) Über welche
Leitungen willst Du fernwarten?
Es soll ja keine Dauerlösung sein, sondern lediglich für nötige "Notfallzwecke" ausreichend sein. Also keine großen, aufwendigen Arbeiten.

Danke aber erst einmal face-smile
trapper-tom
trapper-tom 25.10.2006 um 13:33:46 Uhr
Goto Top
Hast Du richtig verstanden! So meinte ich es

Trapper Tom

Edit:

Den vpn-tunnel musst Du natürlich mittes dyndns aufbauen, wenn Du jedesmal eine neue IP-Adr. bekommst. Dyndns musst Du dann am Router entsprechend konfigurieren.

Gruß Tom
chefkochbln
chefkochbln 04.11.2006 um 16:25:49 Uhr
Goto Top
Nun gut soweit face-smile

Ich habe das letztens mal ausprobiert und gemäss einer "Anleitung" aus dem Microsoft TechNet eine VPN-Verbindung (also VPN-Server + -Client) aufgebaut mittels "Routing und RAS".

Dummerweise habe ich es nicht hinbekommen, immer dann, als ich den VPN-Server gestartet habe, brach die Internetverbindung zusammen. In dem Moment, wo ich den VPN-Server heruntergefahren hatte (also Routing und RAS deaktiviert), ging die I-netverbindung wieder.

Mittlerweile habe ich mich jedoch einer anderen Lösung bedient, aber dennoch wurmt mich das etwas. Ist das ein "normaler" Fehler bei der Installation/Konfiguration eines VPN-Servers?
trapper-tom
trapper-tom 06.11.2006 um 08:39:40 Uhr
Goto Top
Kann es sein, dass Dein Server außer Fileserver, RAS u. VPN-Server auch noch als Internet-router fungiert?
Wenn ja, dann ist es warscheinlich ein DNS-Problem. Da muss ich hallerdings passen, da ich die Konfiguration Server als Internet-Router schon aus Prinzip noch nicht eingesetzt habe.

Gruß Tom
chefkochbln
chefkochbln 06.11.2006 um 08:45:11 Uhr
Goto Top
Nein, der Server dient in meinem Fall nicht als Internetrouter, der Router ist ein Hardwarerouter; daran kann es also nicht liegen.