e2mario
Goto Top

VPN Verbindung SBS2003

Hallo Leute,

ich habe von meinem Chef die Aufgabe bekommen unseren Aussendienstmitrbeiten die Möglichkeit zu geben auf unsere Netwerkdaten inkl. Outlook WebAccess und Remote Desktop zuzugreifen.
Leider bin ich jedoch auf diesem Gebiet absoluter Neuling (keine Angst ich lerne schnell und technisches Verständinis ist vorhanden face-smile )

Die Umgebung:
Router CISCO 876W (fixe IP)
Hardware Firewall Gibraltar GSG1000 (fixe IP)
Server SBS 2003 SP2 (fixe IP) - (Exchange läuft)
Clients XP SP3 (fixe IP´s) und Vodafone Mobile Datenkarte
XDSL Internetverbindung (fixe externe IP ist vorhanden)

Auf die Nachfrage beim Provider (der den Router verwaltet - Wartungsvertrag) ob von denen Vorbereitungen zu treffen sind erhlielt ich folgende Antwort:
Im Business Access Pro ist grundsätzlich eine VPN-Lösung mit 5 Clients inkludiert. Dieses Service ist auf Ihrem Anschluss nicht aktiviert. Zur Aktivierung bitte ich Sie, unseren technischen Support unter XXXXX zu kontaktieren.
Eine zweite Möglichkeit wäre, einen eigenen VPN-Server zu verwenden. Der Router ist in Ihrem Fall als transparente Bridge geschalten. Daher benötigt es zu dieser Lösung keinerlei Änderung.

So jetzt sitze ich hier mit meinem Talent und weis nicht wo ich beginnen soll.
(Was ist mit der zweiten Möglichkeit gemeint? SBS2003 RAS?, falls ja wie funzt das?)

Für eine Schritt für Schritt Unterstützung wäre ich sehr dankbar!!!

lg und DANKE!
Mario

Content-ID: 109989

Url: https://administrator.de/forum/vpn-verbindung-sbs2003-109989.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

oh2204
oh2204 25.02.2009 um 19:21:01 Uhr
Goto Top
Hi,

Also ich nehme mal an das mit dem Cisco 5 gleichzeitige VPN- Tunnel aufbaubar sind. D.h. im Router wird alles hinterlegt und auf dem Client müste eine Ciscosoftware installiert werden, die ebenfalls die Daten enthält um den Tunnel auzubauen (So ist es zumindest bei NETGEAR-Routern)

Die zweite möglichkeit wäre, im Router bzw. Firewall den PPTP-Port auf den Server weiterzuleiten (Port-Forwarding) und sich per PPTP einzuwählen.

Wenn umsetzbar würde ich Variante 1 empfehlen.
Hoffe ich konnte dir weiterhelfen.

Grüße
Arch-Stanton
Arch-Stanton 25.02.2009 um 23:04:08 Uhr
Goto Top
Nein, der Cisco wird vom Kunden nicht angetastet, er leitet alles an die eigene Firewall weiter. Wenn Deine Gibraltar-Firewall IPSec-VPN oder PPTP unterstützt, dan konfiguriere dieses, andernfalls besorge Dir eine alternative Lösung. Ich verwende gern die Router von Lancom, da die VPN-Anbindung externer user ein Kinderspiel ist. Interessant ist vielleicht der 1711 VPN, der liegt so um die 500 EURO.

Gruß, Arch Stanton
Henkator
Henkator 26.02.2009 um 01:01:18 Uhr
Goto Top
Ich kann den beiden letzen Kommentaren nur teilweise zustimmen....:

ich würde folgendes vorschlagen:

Du schreibst, dass Du OWA und RDC verwenden willst also zuerst zum OWA:

1.) Mit dem SBS kannst du einfach und bequem per Assistent einen Outlook Web Access einrichten:
Bedingungen hierfür sind:
- Verwendung Exchange => vermutlich OK
- Benutzer im ADC => vermutlich OK
Nun musst Du aber bei dem Server Assistenten während der Konfiguration eine "Adresse von Aussen" angeben => diese könnte z.B. die fixe IP plus z.B. /exchange sein oder aber idealerweise z.B. https://owa.firma.com/exchange (firma.com durch Deine Daten ersetzen) welche dann im Hintergrund auf die "feste IP" verweisen.
Dies ist übrigens für alle Mitarbeitenden dann verwendbar, nicht nur für die Aussendienstler... - falls nur diese es erhalten sollen ist dies in der Benuterzverwaltung im AD einstellbar...

Serverseitig ist OWA nun konfiguriert. Nun musst Du nurnoch der Firewall und dem Router sagen, dass der alle Infos über den Port 443 (da https) an den Server weiterleiten soll (Virtual Server Konfiguration...)

OK - OWA sollte nun laufen.... face-smile => die Aussendiestler können nun über die Adresse im IE (oder ählich): https://owa.firma.com/exchange eingeben und müssen an der hier erscheinen Benutzeroberfläche Ihren Domänenbenutzernamen und Kennwort eingeben....

Remote Desktop:
Mit dem Remote Desktop ist das so eine Sache, falls Du einen Terminalserver meinst ist alles bestens, denn falls nicht benötigst du pro Aussendienstler einen PC/NB, welchen dieser dann im Office als "Remote Desktop" verwenden kann. Bitte schreib hier was Du genau meinst face-smile

Verbindung zum Unternehmensnetzwerk:
Es ist relativ egal wie Du eine Verbindung zum www herstellst... Am Ende musst Du irgendeine VPN Löung verwenden um dich am Firmennetzwerk anzumelden. Danach stehen Dir unabhängig vom RDC die Netzlaufwerke / Drucker, etc... zur Verfügung. Je besser die Connection, desto besser auch die Geschwindigkeit...
Sobald du "irgendwie" mit dem UNT verbunden bist, brauchen Deine Aussendienstler auch kein OWA, da Outlook nun "sieht" das
es im Unternehmensnetzwerk ist und die Mail vom Exchange abruft....

VPN: Falls Du im Moment KEIN VPN eingerichtet hast:
(so wie ich das oben lese....)
=> Verwende den VPN Client von Microsoft, auch dieser ist über die Assistenten einfach einzurichten (RAS) - auch hier die entsprechenden Ports von Router und Firewall auf den Server weiterleiten... (glaube ist Port 47)

Beste Grüsse
- ) Henkator ( -


PS: Falls ich u.U. zu viel gekürzt haben sollte - bitte ein feedback wo es klemmt, dann gibts details ;)
e2Mario
e2Mario 26.02.2009 um 10:11:32 Uhr
Goto Top
Hallo, und erst mal DANKE für Eure Mühe face-smile

zu 1)
Exchange wird verwendet
Benutzer im ADC sindOK
OWA funktioniert (zumindest mal intern)

zu 2)
Remote Desktop lassen mir mal ruhen (gehe ich an wenn die VPN steht)

zur VPN:
ja du hast recht, eine VPN Verbindung existiert noch nicht. Ich denke hier liegt mein grösstes Problem in der Umsetzung da ich leider nicht weis welche Einstellungen ich am Server und den Notebooks vornehmen muss um eine Verbinung aufbauen zu können. Wie gesagt hier wäre es super wenn mir jemand Schritt für Schritt bei der Einrichtung behilflich sein könnte.

Danke Euch bereits im Voraus!

PS: Die Abk. sind kein Problem face-wink
Henkator
Henkator 26.02.2009 um 10:29:36 Uhr
Goto Top
Servus,

OK nun bräucht's noch ein paar Infos zu Deinem Netzwerk:

anzahl Clients, Mitarbeiter, etc...
Allgemeine Anforderung an Securitylevel ("reicht" MS-VPN?) vgl Post von oh2204

Aufbau des Netzwerkes ist nun auch noch relevant,
So wie ich es oben lese haben praktisch alle deine Rechner ne statische IP... wieso? Läuft der DHCP nicht?
Falls doch, wer spielt DHCP? Der Server, der Router, (?)...
e2Mario
e2Mario 26.02.2009 um 10:49:14 Uhr
Goto Top
Hallo,

Clients im Netzwerk: 15
Anzahl Aussendienstmitarbeiter: 5

Anzumerken ist dass nur die Desktops im Netzwerk eine statische IP haben.
Die Aussendienstler beziehen die IP dynamisch! (sorry hatte nicht nicht erwähnt)
DHCP Dienst läuft am SBS 2003. Außendienstler bekommen von ihm eine IP zugewiesen wenn sie im Haus sind und sich ins Netz hängen.

Besonderen Grund für die statischen IP´s der Clients im Haus gibt es eigentlich keinen...

Betreffend Securitylevel würde ich sagen je sicherer ums so besser face-smile. denkst du MS-VPN ist ausreichend?

Mario
Henkator
Henkator 26.02.2009 um 11:14:58 Uhr
Goto Top
Hoi,

hier ein kleiner Backgrounder zu VPN
http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx

Bei der Wahl was besser, hast Du hier die qual der Wahl.... face-smile

Du kannst ja beide Wege abklären:
Weg mit den 5VPN Lizenzen im Vertrag:
- Installation der Software auf den NB der Aussendienstlern
- Einmalige Konfiguration des Gerätes durch die Vertragspartei
(Abklären, welche infos sie benötigen, (sicher Angabe welchen IP-Range sie verwenden dürfen, etc...)
- Eigenen Range u.U. anpassen (MS ist mit SBS mitunter grosszügig)

Weg mit eigenem MS-VPN
Installation / Konfiguration des VPN über den Assistenten (am einfachsten, da er Dir gleich alles richtig einstellt)
Port forwarding von Port 47 auf den server (musst Du vom externen unternehmen dann machen lassen, die den Router warten)
Konfiguration der Clients => Verbindungen/neue Verbindung/VPN => Daten eingeben, Fertig....

Vorteil der MS Variante ist, dass du nicht eine zweite Benutzerverwaltung für das VPN benötigst, es von (fast) jedem Rechner ohne
Zusatztool geht und du nicht auf 5Plätze limitiert bist...

Apropo OWA, wenn es intern geht, fehlt Dir nurnoch das Portforwarding vom 443 auf den Server... ;)
(u.U. noch die Einstellung im RAS für die Firewall...)
Henkator
Henkator 26.02.2009 um 11:37:25 Uhr
Goto Top
Hier gibts noch Anleitungen von Hause MS..:

http://support.microsoft.com/kb/314076/de
http://support.microsoft.com/kb/323441/de

Gruss
Hendrik

PS: Vorteil der Router Variante ist, dass Du alles "vor" Deinem eigentlichen Netz steuerst und nur das reinkommt was rein darf ;)
Ich würde diesen Weg nehmen, falls zu grosse Hindernisse kannst Du immernoch die MS-Variante "geniessen"
e2Mario
e2Mario 26.02.2009 um 11:42:25 Uhr
Goto Top
Super, na dann werde mal die MS-Variante testen...

Variante1 werde ich dann in Anspruch nehmen, wenn Chef sagt dass es so funktioniert wie er sich das vorstellt...

Werde dir mein Ergbnis mitteilen...

DANKE DIR NOCHMAL!!!
jadefalke
jadefalke 26.02.2009 um 12:58:23 Uhr
Goto Top
zu OWA:
Lese bitte zuerst das hier http://www.msexchangefaq.de/clients/owa.htm
Lauft auf eurem SBS ein ISA Server ?
Wenn nicht, hast du ein Sicherheitsproblem wenn du OWA veröffentlichst. Nähmich dein IIS, wenns nicht bewust konfiguriert ist auf den Einsatz von OWA, ist dein IIS offen
OWA über https funktioniert nur wenn dein IIS auch umgestellt ist und ein Zertifikat installiert wurde.

Du hat ja 2 Möglichkeiten:
1. Die VPN Verbindung steht und die ext. Mitarbeiter bauen die VPN Verbindung auf und greifen auf das interne OWA über http://serverip/exchange zu.
2. Du veröffentlichst dein Exchange Server (Voraussetzungen sind ja gegeben). Somit brauchen die ext. Mitarbeiter nur ein Internetzugang, egal wo. Dazu musst du aber einiges tun.
Firewall auf https anfragen aus dem Internet konfigurieren.
Wenn kein ISA Server da ist, dann IIS auf https umstellen, Zertifikat installieren (zB mit SelfSLL aus dem IIS Resource Kit), die anderen IIS Seiten den Zugriff sperren ( companyweb, remote, backup und was sonst noch so auf dem IIS ist was nicht mit OWA zu tun hat ), und zu letzt eben den Host eintrag beim Provider machen, bzw machen lassen, damit OWA auf euere externe feste IP auch erreichbar ist. (dies kann bis zu 24 std dauern, da die DNS Root Server das ja auch mitbekommen müssen ).

Mag sein das es auch andere alternativen gibt, wenn man jedoch etwas Wert auf Sicherheit legt kommt man nicht drum herum.

Hier ein Paar Infos noch:
Fals doch ISA eingesetzt wird: http://www.msisafaq.de/Anleitungen/2000/Server/Exchange_OWA.htm
Hier das Sichern von IIS: http://www.microsoft.com/germany/kleinunternehmen/computersicherheit/si ...
Henkator
Henkator 26.02.2009 um 15:07:44 Uhr
Goto Top
Hi Jadefalke,
ich stimme Dir 100%ig zu, was den ISA angeht, falls SBS Advanced im Einsatz dann wäre der ja mit dabei. Ansonsten denke ich eher nicht da richtig teuer...
Das Zertifikat könnte man auch selbst ausstellen (Hat halt ne Meldung, dass es nicht öffentlich ist, aber für den Internen Bereich u. U. ausreichend.)

Was mir jedoch nicht ganz klar ist, wieso Du nochmals einen Host Eintrag für das OWA machen willst?
Was nützlich wäre ist z.B. eine subdomän anzulegen, z.B. https://owa.firma.com welche dann gleichwohl auf die statische IP zeigt (oder meintest du das?)
angesprochen wird dann alles über https://owa.firma.com/exchange
Einzig der MX-Eintrag muss einmalig auf die statische IP von Aussen gesetzt werden und dann mittels PortForwarding an den server weitergeleitet werden.
(=> Und das wurde ja ausch schon so gemacht, da sie sonst kein Exchange hätten...)

Wie Du geschrieben ist, wäre wenn wirklich nur das Mailing wichtig den OWA in die öffentlichkeit zu stellen und zu verwenden.