nixi
Goto Top

VPN über ISA-Server 2004 zu drei Netzwerken

Habe bei uns im Hause einen MS ISA-Server 2004 mit 4 eingebauten Netzwerkkarten und möchte VPN in verschiedene Netzwerke einrichten.

Mein Ziel ist es nun VPN wie folgt einzurichten:
- Zugriff auf LAN1 mittels PPTP
- Zugriff auf LAN2 mittels PPTP
- Zugriff auf die DMZ mittels L2TP

Anhand der Benutzer-Anmeldung des VPNs und des VPN-Typs (PPTP oder L2TP) soll der ISA-Server ein VPN in das entsprechende Netzwerk öffnen.

Damit für L2TP die Zertifikatvergabe für Benutzer und Computer funktioniert ist der ISA-Server Member der Domain in der DMZ.

Leider habe ich aber nicht herausgefunden wie man mehrere VPN-Regeln konfiguriert und konnte deshalb nur eine Regel einrichten. Das heisst, dass ich nur auf ein Netzwerk zugreifen kann.

Kann mir jemand helfen?

Content-ID: 14135

Url: https://administrator.de/forum/vpn-ueber-isa-server-2004-zu-drei-netzwerken-14135.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

VNS
VNS 08.08.2005 um 21:26:59 Uhr
Goto Top
Hallöchen,

die Problematik kannst Du anders lösen. Der ISA Server nimmt die entsprechenden VPN Verbindungen an. Soweit.... so gut.

Du müßtest nur entsprechende Benutzergruppen zu Einwahl definieren. Z.B.

Gruppe LAN1, Gruppe LAN2, Gruppe LAN3. Die Benutzer, die Du ins entsprechende LAn routen möchtest, mußt Du nur in die entsprechenden Gruppen per Gruppenzugehörigkeit "schieben".
Nun gewährst Du dieser Gruppe die entsprechende Einwahl via PPTP oder L2TP. Anschießend müßtest Du dieser Gruppe nur die entsprechenden Berechtigungen für das jeweilige Segment geben.

Grüße
Nixi
Nixi 30.08.2005 um 09:52:51 Uhr
Goto Top
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Nixi
Nixi 01.09.2005 um 15:14:14 Uhr
Goto Top
Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden
TEGO
TEGO 30.10.2005 um 18:00:07 Uhr
Goto Top
Ich habe genau das gleiche Problem - wie ist die Lösung????

Danke im voraus!

TEGO

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Probelm gelöst, wenn jemand das selbe Problem hat, kann er sich bei mir melden

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
RE: RE: VPN über ISA-Server 2004 zu drei Netzwerken
Geschrieben von Nixi am 30.08.2005 um 09:52:51 Uhr.
Soweit so gut. Hab nun im LAN1, LAN2 und in der DMZ1 einen RADIUS-Server installiert (IAS von Windows Server 2003). Ein VPN kann nun mittels RADIUS-Authentifizierung initiieren werden. Der VPN-Client befindet sich nach dem Verbinden im Netzwerk ?VPN-Clients ?und erhält eine IP-Adresse des statischen Pools.

Sofern ich eine Zugriffsregel erstelle, welche für den Benutzersatz ?Alle Benutzer? gilt, funktioniert auch das Routing vom ?VPN-Clients? Netzwerk in die einzelnen Netze (LAN1, LAN2 und DMZ1).

Da ich nun den Zugriff auf die einzelnen Netze einschränken möchte, wollte ich die erlaubten Benutzer ändern. Ich habe also den Benutzersatz Alle Benutzer aus der Zugriffsregel entfernt und durch einen eigenen Benutzersatz ersetzt. Diesem Benutzersatz fügte ich Benutzer mit dem Namespace RADIUS hinzu. Hier habe ich die Möglichkeit zwischen den zwei Varianten ?Alle Benutzer im Namespace? oder ?Angegebener Benutzername? zu wählen. Sofern ich ?Alle Benutzer im Namespace? wähle funktioniert der Zugriff einwandfrei. Sobald ich aber ?Angegebener Benutzername? auswähle und im Textfeld die Gruppe oder den User des Active Directory angebe habe ich keinen Zugriff auf das Netz mehr.

In meiner Testumgebung befindet sich der User ?test? in der Gruppe ?vpn? (globale Sicherheitsgruppe). Die Mitglieder dieser Gruppe haben dank RAS Richtlinien auf dem IAS die Einwahlberechtigung.

Im Feld ?Angegebener Benutzername? habe ich folgendes eingegeben:
- test
- test@domäne.suffix
- vpn
- vpn@domäne.suffix

Nun gehe ich davon aus, dass ich das Feld ?Angegebener Benutzername? falsch ausgefüllt habe, weiss aber nicht wie man das richtig tun soll.
Nixi
Nixi 31.10.2005 um 16:52:33 Uhr
Goto Top
Im Textfeld "Angegebener Benutzername" muss der Syntax "domäne"\"benutzername" verwendet werden.
TEGO
TEGO 01.11.2005 um 02:31:21 Uhr
Goto Top
LOL

Danke für die Antwort, aber das wars bei mir nicht (habe ich auch probiert).

Habe mein Problem aber scheinbar auch gelöst:

Ich wollte nur bestimmten Benutzern den Webzugriff über den ISA erlauben und anderen bestimmten Usern den VPN-Zugang von außen.

Habe es aber schließlich hingekriegt.

Die Lösung war: am ISA einstellen: gesamter RADIUS-Space
Am IAS Richtlinie "Verbindungen zu Zugangsservern" geändert: nur User, die in Gruppe WWW-User sind.

Eine weitere Richtline für den VPN-Verkehr erstellt, erlaubt nur für User, die in der Gruppe VPN-User sind.

Hat mich aber zwei Tage gekostet, und so hundertprozentig durchschaut habe ich das System immer noch nicht.

Auch funktioniert der DHCP-Server nicht für die VPN-Clients, ich musst den IP-Bereich manuell unter Routing und RAS einstellen (beim ISA-Konfigurationsmenü ging der gleiche IP-Bereich wie im internen Netz seltsamerweise nicht).

Morgen teste ich, ob VPN-User nun auf den Internen Terminalserver kommen (Dateifreigabe geht derzeit scheinbar nicht)!
Nixi
Nixi 01.11.2005 um 18:39:45 Uhr
Goto Top
Vielleicht nützt Dir dies noch:

Falls der Radius Server nach dem ISA Server gestartet wird, funktioniert die Radius-Authentifizierung nicht.

Dies musste ich feststellen, als ich den Radius neu starten musste. Nach einem Neustart der Dienste auf dem ISA-Server funktionierte alles wieder gut.
TEGO
TEGO 02.11.2005 um 02:39:47 Uhr
Goto Top
Danke für den Tipp!

Da ich unter VMWare arbeite hatte ich das Problem bisher noch nicht, aber in Zukunft werde ich darauf achten!