VPN Verbindung SBS2003
Hallo Leute,
ich habe von meinem Chef die Aufgabe bekommen unseren Aussendienstmitrbeiten die Möglichkeit zu geben auf unsere Netwerkdaten inkl. Outlook WebAccess und Remote Desktop zuzugreifen.
Leider bin ich jedoch auf diesem Gebiet absoluter Neuling (keine Angst ich lerne schnell und technisches Verständinis ist vorhanden )
Die Umgebung:
Router CISCO 876W (fixe IP)
Hardware Firewall Gibraltar GSG1000 (fixe IP)
Server SBS 2003 SP2 (fixe IP) - (Exchange läuft)
Clients XP SP3 (fixe IP´s) und Vodafone Mobile Datenkarte
XDSL Internetverbindung (fixe externe IP ist vorhanden)
Auf die Nachfrage beim Provider (der den Router verwaltet - Wartungsvertrag) ob von denen Vorbereitungen zu treffen sind erhlielt ich folgende Antwort:
Im Business Access Pro ist grundsätzlich eine VPN-Lösung mit 5 Clients inkludiert. Dieses Service ist auf Ihrem Anschluss nicht aktiviert. Zur Aktivierung bitte ich Sie, unseren technischen Support unter XXXXX zu kontaktieren.
Eine zweite Möglichkeit wäre, einen eigenen VPN-Server zu verwenden. Der Router ist in Ihrem Fall als transparente Bridge geschalten. Daher benötigt es zu dieser Lösung keinerlei Änderung.
So jetzt sitze ich hier mit meinem Talent und weis nicht wo ich beginnen soll.
(Was ist mit der zweiten Möglichkeit gemeint? SBS2003 RAS?, falls ja wie funzt das?)
Für eine Schritt für Schritt Unterstützung wäre ich sehr dankbar!!!
lg und DANKE!
Mario
ich habe von meinem Chef die Aufgabe bekommen unseren Aussendienstmitrbeiten die Möglichkeit zu geben auf unsere Netwerkdaten inkl. Outlook WebAccess und Remote Desktop zuzugreifen.
Leider bin ich jedoch auf diesem Gebiet absoluter Neuling (keine Angst ich lerne schnell und technisches Verständinis ist vorhanden )
Die Umgebung:
Router CISCO 876W (fixe IP)
Hardware Firewall Gibraltar GSG1000 (fixe IP)
Server SBS 2003 SP2 (fixe IP) - (Exchange läuft)
Clients XP SP3 (fixe IP´s) und Vodafone Mobile Datenkarte
XDSL Internetverbindung (fixe externe IP ist vorhanden)
Auf die Nachfrage beim Provider (der den Router verwaltet - Wartungsvertrag) ob von denen Vorbereitungen zu treffen sind erhlielt ich folgende Antwort:
Im Business Access Pro ist grundsätzlich eine VPN-Lösung mit 5 Clients inkludiert. Dieses Service ist auf Ihrem Anschluss nicht aktiviert. Zur Aktivierung bitte ich Sie, unseren technischen Support unter XXXXX zu kontaktieren.
Eine zweite Möglichkeit wäre, einen eigenen VPN-Server zu verwenden. Der Router ist in Ihrem Fall als transparente Bridge geschalten. Daher benötigt es zu dieser Lösung keinerlei Änderung.
So jetzt sitze ich hier mit meinem Talent und weis nicht wo ich beginnen soll.
(Was ist mit der zweiten Möglichkeit gemeint? SBS2003 RAS?, falls ja wie funzt das?)
Für eine Schritt für Schritt Unterstützung wäre ich sehr dankbar!!!
lg und DANKE!
Mario
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109989
Url: https://administrator.de/forum/vpn-verbindung-sbs2003-109989.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
11 Kommentare
Neuester Kommentar
Hi,
Also ich nehme mal an das mit dem Cisco 5 gleichzeitige VPN- Tunnel aufbaubar sind. D.h. im Router wird alles hinterlegt und auf dem Client müste eine Ciscosoftware installiert werden, die ebenfalls die Daten enthält um den Tunnel auzubauen (So ist es zumindest bei NETGEAR-Routern)
Die zweite möglichkeit wäre, im Router bzw. Firewall den PPTP-Port auf den Server weiterzuleiten (Port-Forwarding) und sich per PPTP einzuwählen.
Wenn umsetzbar würde ich Variante 1 empfehlen.
Hoffe ich konnte dir weiterhelfen.
Grüße
Also ich nehme mal an das mit dem Cisco 5 gleichzeitige VPN- Tunnel aufbaubar sind. D.h. im Router wird alles hinterlegt und auf dem Client müste eine Ciscosoftware installiert werden, die ebenfalls die Daten enthält um den Tunnel auzubauen (So ist es zumindest bei NETGEAR-Routern)
Die zweite möglichkeit wäre, im Router bzw. Firewall den PPTP-Port auf den Server weiterzuleiten (Port-Forwarding) und sich per PPTP einzuwählen.
Wenn umsetzbar würde ich Variante 1 empfehlen.
Hoffe ich konnte dir weiterhelfen.
Grüße
Nein, der Cisco wird vom Kunden nicht angetastet, er leitet alles an die eigene Firewall weiter. Wenn Deine Gibraltar-Firewall IPSec-VPN oder PPTP unterstützt, dan konfiguriere dieses, andernfalls besorge Dir eine alternative Lösung. Ich verwende gern die Router von Lancom, da die VPN-Anbindung externer user ein Kinderspiel ist. Interessant ist vielleicht der 1711 VPN, der liegt so um die 500 EURO.
Gruß, Arch Stanton
Gruß, Arch Stanton
Ich kann den beiden letzen Kommentaren nur teilweise zustimmen....:
ich würde folgendes vorschlagen:
Du schreibst, dass Du OWA und RDC verwenden willst also zuerst zum OWA:
1.) Mit dem SBS kannst du einfach und bequem per Assistent einen Outlook Web Access einrichten:
Bedingungen hierfür sind:
- Verwendung Exchange => vermutlich OK
- Benutzer im ADC => vermutlich OK
Nun musst Du aber bei dem Server Assistenten während der Konfiguration eine "Adresse von Aussen" angeben => diese könnte z.B. die fixe IP plus z.B. /exchange sein oder aber idealerweise z.B. https://owa.firma.com/exchange (firma.com durch Deine Daten ersetzen) welche dann im Hintergrund auf die "feste IP" verweisen.
Dies ist übrigens für alle Mitarbeitenden dann verwendbar, nicht nur für die Aussendienstler... - falls nur diese es erhalten sollen ist dies in der Benuterzverwaltung im AD einstellbar...
Serverseitig ist OWA nun konfiguriert. Nun musst Du nurnoch der Firewall und dem Router sagen, dass der alle Infos über den Port 443 (da https) an den Server weiterleiten soll (Virtual Server Konfiguration...)
OK - OWA sollte nun laufen.... => die Aussendiestler können nun über die Adresse im IE (oder ählich): https://owa.firma.com/exchange eingeben und müssen an der hier erscheinen Benutzeroberfläche Ihren Domänenbenutzernamen und Kennwort eingeben....
Remote Desktop:
Mit dem Remote Desktop ist das so eine Sache, falls Du einen Terminalserver meinst ist alles bestens, denn falls nicht benötigst du pro Aussendienstler einen PC/NB, welchen dieser dann im Office als "Remote Desktop" verwenden kann. Bitte schreib hier was Du genau meinst
Verbindung zum Unternehmensnetzwerk:
Es ist relativ egal wie Du eine Verbindung zum www herstellst... Am Ende musst Du irgendeine VPN Löung verwenden um dich am Firmennetzwerk anzumelden. Danach stehen Dir unabhängig vom RDC die Netzlaufwerke / Drucker, etc... zur Verfügung. Je besser die Connection, desto besser auch die Geschwindigkeit...
Sobald du "irgendwie" mit dem UNT verbunden bist, brauchen Deine Aussendienstler auch kein OWA, da Outlook nun "sieht" das
es im Unternehmensnetzwerk ist und die Mail vom Exchange abruft....
VPN: Falls Du im Moment KEIN VPN eingerichtet hast:
(so wie ich das oben lese....)
=> Verwende den VPN Client von Microsoft, auch dieser ist über die Assistenten einfach einzurichten (RAS) - auch hier die entsprechenden Ports von Router und Firewall auf den Server weiterleiten... (glaube ist Port 47)
Beste Grüsse
PS: Falls ich u.U. zu viel gekürzt haben sollte - bitte ein feedback wo es klemmt, dann gibts details ;)
ich würde folgendes vorschlagen:
Du schreibst, dass Du OWA und RDC verwenden willst also zuerst zum OWA:
1.) Mit dem SBS kannst du einfach und bequem per Assistent einen Outlook Web Access einrichten:
Bedingungen hierfür sind:
- Verwendung Exchange => vermutlich OK
- Benutzer im ADC => vermutlich OK
Nun musst Du aber bei dem Server Assistenten während der Konfiguration eine "Adresse von Aussen" angeben => diese könnte z.B. die fixe IP plus z.B. /exchange sein oder aber idealerweise z.B. https://owa.firma.com/exchange (firma.com durch Deine Daten ersetzen) welche dann im Hintergrund auf die "feste IP" verweisen.
Dies ist übrigens für alle Mitarbeitenden dann verwendbar, nicht nur für die Aussendienstler... - falls nur diese es erhalten sollen ist dies in der Benuterzverwaltung im AD einstellbar...
Serverseitig ist OWA nun konfiguriert. Nun musst Du nurnoch der Firewall und dem Router sagen, dass der alle Infos über den Port 443 (da https) an den Server weiterleiten soll (Virtual Server Konfiguration...)
OK - OWA sollte nun laufen.... => die Aussendiestler können nun über die Adresse im IE (oder ählich): https://owa.firma.com/exchange eingeben und müssen an der hier erscheinen Benutzeroberfläche Ihren Domänenbenutzernamen und Kennwort eingeben....
Remote Desktop:
Mit dem Remote Desktop ist das so eine Sache, falls Du einen Terminalserver meinst ist alles bestens, denn falls nicht benötigst du pro Aussendienstler einen PC/NB, welchen dieser dann im Office als "Remote Desktop" verwenden kann. Bitte schreib hier was Du genau meinst
Verbindung zum Unternehmensnetzwerk:
Es ist relativ egal wie Du eine Verbindung zum www herstellst... Am Ende musst Du irgendeine VPN Löung verwenden um dich am Firmennetzwerk anzumelden. Danach stehen Dir unabhängig vom RDC die Netzlaufwerke / Drucker, etc... zur Verfügung. Je besser die Connection, desto besser auch die Geschwindigkeit...
Sobald du "irgendwie" mit dem UNT verbunden bist, brauchen Deine Aussendienstler auch kein OWA, da Outlook nun "sieht" das
es im Unternehmensnetzwerk ist und die Mail vom Exchange abruft....
VPN: Falls Du im Moment KEIN VPN eingerichtet hast:
(so wie ich das oben lese....)
=> Verwende den VPN Client von Microsoft, auch dieser ist über die Assistenten einfach einzurichten (RAS) - auch hier die entsprechenden Ports von Router und Firewall auf den Server weiterleiten... (glaube ist Port 47)
Beste Grüsse
- - ) Henkator ( -
PS: Falls ich u.U. zu viel gekürzt haben sollte - bitte ein feedback wo es klemmt, dann gibts details ;)
Servus,
OK nun bräucht's noch ein paar Infos zu Deinem Netzwerk:
anzahl Clients, Mitarbeiter, etc...
Allgemeine Anforderung an Securitylevel ("reicht" MS-VPN?) vgl Post von oh2204
Aufbau des Netzwerkes ist nun auch noch relevant,
So wie ich es oben lese haben praktisch alle deine Rechner ne statische IP... wieso? Läuft der DHCP nicht?
Falls doch, wer spielt DHCP? Der Server, der Router, (?)...
OK nun bräucht's noch ein paar Infos zu Deinem Netzwerk:
anzahl Clients, Mitarbeiter, etc...
Allgemeine Anforderung an Securitylevel ("reicht" MS-VPN?) vgl Post von oh2204
Aufbau des Netzwerkes ist nun auch noch relevant,
So wie ich es oben lese haben praktisch alle deine Rechner ne statische IP... wieso? Läuft der DHCP nicht?
Falls doch, wer spielt DHCP? Der Server, der Router, (?)...
Hoi,
hier ein kleiner Backgrounder zu VPN
http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx
Bei der Wahl was besser, hast Du hier die qual der Wahl....
Du kannst ja beide Wege abklären:
Weg mit den 5VPN Lizenzen im Vertrag:
- Installation der Software auf den NB der Aussendienstlern
- Einmalige Konfiguration des Gerätes durch die Vertragspartei
(Abklären, welche infos sie benötigen, (sicher Angabe welchen IP-Range sie verwenden dürfen, etc...)
- Eigenen Range u.U. anpassen (MS ist mit SBS mitunter grosszügig)
Weg mit eigenem MS-VPN
Installation / Konfiguration des VPN über den Assistenten (am einfachsten, da er Dir gleich alles richtig einstellt)
Port forwarding von Port 47 auf den server (musst Du vom externen unternehmen dann machen lassen, die den Router warten)
Konfiguration der Clients => Verbindungen/neue Verbindung/VPN => Daten eingeben, Fertig....
Vorteil der MS Variante ist, dass du nicht eine zweite Benutzerverwaltung für das VPN benötigst, es von (fast) jedem Rechner ohne
Zusatztool geht und du nicht auf 5Plätze limitiert bist...
Apropo OWA, wenn es intern geht, fehlt Dir nurnoch das Portforwarding vom 443 auf den Server... ;)
(u.U. noch die Einstellung im RAS für die Firewall...)
hier ein kleiner Backgrounder zu VPN
http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx
Bei der Wahl was besser, hast Du hier die qual der Wahl....
Du kannst ja beide Wege abklären:
Weg mit den 5VPN Lizenzen im Vertrag:
- Installation der Software auf den NB der Aussendienstlern
- Einmalige Konfiguration des Gerätes durch die Vertragspartei
(Abklären, welche infos sie benötigen, (sicher Angabe welchen IP-Range sie verwenden dürfen, etc...)
- Eigenen Range u.U. anpassen (MS ist mit SBS mitunter grosszügig)
Weg mit eigenem MS-VPN
Installation / Konfiguration des VPN über den Assistenten (am einfachsten, da er Dir gleich alles richtig einstellt)
Port forwarding von Port 47 auf den server (musst Du vom externen unternehmen dann machen lassen, die den Router warten)
Konfiguration der Clients => Verbindungen/neue Verbindung/VPN => Daten eingeben, Fertig....
Vorteil der MS Variante ist, dass du nicht eine zweite Benutzerverwaltung für das VPN benötigst, es von (fast) jedem Rechner ohne
Zusatztool geht und du nicht auf 5Plätze limitiert bist...
Apropo OWA, wenn es intern geht, fehlt Dir nurnoch das Portforwarding vom 443 auf den Server... ;)
(u.U. noch die Einstellung im RAS für die Firewall...)
Hier gibts noch Anleitungen von Hause MS..:
http://support.microsoft.com/kb/314076/de
http://support.microsoft.com/kb/323441/de
Gruss
Hendrik
PS: Vorteil der Router Variante ist, dass Du alles "vor" Deinem eigentlichen Netz steuerst und nur das reinkommt was rein darf ;)
Ich würde diesen Weg nehmen, falls zu grosse Hindernisse kannst Du immernoch die MS-Variante "geniessen"
http://support.microsoft.com/kb/314076/de
http://support.microsoft.com/kb/323441/de
Gruss
Hendrik
PS: Vorteil der Router Variante ist, dass Du alles "vor" Deinem eigentlichen Netz steuerst und nur das reinkommt was rein darf ;)
Ich würde diesen Weg nehmen, falls zu grosse Hindernisse kannst Du immernoch die MS-Variante "geniessen"
zu OWA:
Lese bitte zuerst das hier http://www.msexchangefaq.de/clients/owa.htm
Lauft auf eurem SBS ein ISA Server ?
Wenn nicht, hast du ein Sicherheitsproblem wenn du OWA veröffentlichst. Nähmich dein IIS, wenns nicht bewust konfiguriert ist auf den Einsatz von OWA, ist dein IIS offen
OWA über https funktioniert nur wenn dein IIS auch umgestellt ist und ein Zertifikat installiert wurde.
Du hat ja 2 Möglichkeiten:
1. Die VPN Verbindung steht und die ext. Mitarbeiter bauen die VPN Verbindung auf und greifen auf das interne OWA über http://serverip/exchange zu.
2. Du veröffentlichst dein Exchange Server (Voraussetzungen sind ja gegeben). Somit brauchen die ext. Mitarbeiter nur ein Internetzugang, egal wo. Dazu musst du aber einiges tun.
Firewall auf https anfragen aus dem Internet konfigurieren.
Wenn kein ISA Server da ist, dann IIS auf https umstellen, Zertifikat installieren (zB mit SelfSLL aus dem IIS Resource Kit), die anderen IIS Seiten den Zugriff sperren ( companyweb, remote, backup und was sonst noch so auf dem IIS ist was nicht mit OWA zu tun hat ), und zu letzt eben den Host eintrag beim Provider machen, bzw machen lassen, damit OWA auf euere externe feste IP auch erreichbar ist. (dies kann bis zu 24 std dauern, da die DNS Root Server das ja auch mitbekommen müssen ).
Mag sein das es auch andere alternativen gibt, wenn man jedoch etwas Wert auf Sicherheit legt kommt man nicht drum herum.
Hier ein Paar Infos noch:
Fals doch ISA eingesetzt wird: http://www.msisafaq.de/Anleitungen/2000/Server/Exchange_OWA.htm
Hier das Sichern von IIS: http://www.microsoft.com/germany/kleinunternehmen/computersicherheit/si ...
Lese bitte zuerst das hier http://www.msexchangefaq.de/clients/owa.htm
Lauft auf eurem SBS ein ISA Server ?
Wenn nicht, hast du ein Sicherheitsproblem wenn du OWA veröffentlichst. Nähmich dein IIS, wenns nicht bewust konfiguriert ist auf den Einsatz von OWA, ist dein IIS offen
OWA über https funktioniert nur wenn dein IIS auch umgestellt ist und ein Zertifikat installiert wurde.
Du hat ja 2 Möglichkeiten:
1. Die VPN Verbindung steht und die ext. Mitarbeiter bauen die VPN Verbindung auf und greifen auf das interne OWA über http://serverip/exchange zu.
2. Du veröffentlichst dein Exchange Server (Voraussetzungen sind ja gegeben). Somit brauchen die ext. Mitarbeiter nur ein Internetzugang, egal wo. Dazu musst du aber einiges tun.
Firewall auf https anfragen aus dem Internet konfigurieren.
Wenn kein ISA Server da ist, dann IIS auf https umstellen, Zertifikat installieren (zB mit SelfSLL aus dem IIS Resource Kit), die anderen IIS Seiten den Zugriff sperren ( companyweb, remote, backup und was sonst noch so auf dem IIS ist was nicht mit OWA zu tun hat ), und zu letzt eben den Host eintrag beim Provider machen, bzw machen lassen, damit OWA auf euere externe feste IP auch erreichbar ist. (dies kann bis zu 24 std dauern, da die DNS Root Server das ja auch mitbekommen müssen ).
Mag sein das es auch andere alternativen gibt, wenn man jedoch etwas Wert auf Sicherheit legt kommt man nicht drum herum.
Hier ein Paar Infos noch:
Fals doch ISA eingesetzt wird: http://www.msisafaq.de/Anleitungen/2000/Server/Exchange_OWA.htm
Hier das Sichern von IIS: http://www.microsoft.com/germany/kleinunternehmen/computersicherheit/si ...
Hi Jadefalke,
ich stimme Dir 100%ig zu, was den ISA angeht, falls SBS Advanced im Einsatz dann wäre der ja mit dabei. Ansonsten denke ich eher nicht da richtig teuer...
Das Zertifikat könnte man auch selbst ausstellen (Hat halt ne Meldung, dass es nicht öffentlich ist, aber für den Internen Bereich u. U. ausreichend.)
Was mir jedoch nicht ganz klar ist, wieso Du nochmals einen Host Eintrag für das OWA machen willst?
Was nützlich wäre ist z.B. eine subdomän anzulegen, z.B. https://owa.firma.com welche dann gleichwohl auf die statische IP zeigt (oder meintest du das?)
angesprochen wird dann alles über https://owa.firma.com/exchange
Einzig der MX-Eintrag muss einmalig auf die statische IP von Aussen gesetzt werden und dann mittels PortForwarding an den server weitergeleitet werden.
(=> Und das wurde ja ausch schon so gemacht, da sie sonst kein Exchange hätten...)
Wie Du geschrieben ist, wäre wenn wirklich nur das Mailing wichtig den OWA in die öffentlichkeit zu stellen und zu verwenden.
ich stimme Dir 100%ig zu, was den ISA angeht, falls SBS Advanced im Einsatz dann wäre der ja mit dabei. Ansonsten denke ich eher nicht da richtig teuer...
Das Zertifikat könnte man auch selbst ausstellen (Hat halt ne Meldung, dass es nicht öffentlich ist, aber für den Internen Bereich u. U. ausreichend.)
Was mir jedoch nicht ganz klar ist, wieso Du nochmals einen Host Eintrag für das OWA machen willst?
Was nützlich wäre ist z.B. eine subdomän anzulegen, z.B. https://owa.firma.com welche dann gleichwohl auf die statische IP zeigt (oder meintest du das?)
angesprochen wird dann alles über https://owa.firma.com/exchange
Einzig der MX-Eintrag muss einmalig auf die statische IP von Aussen gesetzt werden und dann mittels PortForwarding an den server weitergeleitet werden.
(=> Und das wurde ja ausch schon so gemacht, da sie sonst kein Exchange hätten...)
Wie Du geschrieben ist, wäre wenn wirklich nur das Mailing wichtig den OWA in die öffentlichkeit zu stellen und zu verwenden.