Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen Windows Terminal Server zu CISCO Konzentrator?

Mitglied: scrut

scrut (Level 1) - Jetzt verbinden

31.03.2006, aktualisiert 01.04.2006, 7753 Aufrufe, 7 Kommentare

Wie kann man einen Windows 2003 Server überreden, eine VPN-Verbindung zu einem VPN-Concentrator der Firma CISCO zu verbinden?

Ich habe in den vergangenen Tagen einen Windows 2003 Server als Terminal Server in Betrieb genommen. Dieses Gerät soll für eine kleine Arbeitsgruppe als Arbeitsplattform dienen.
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.

Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.

Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.

Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.

Ist das möglich? Wenn ja - wie?

Vielen Dank

scrut
Mitglied: 27119
31.03.2006 um 20:02 Uhr
Das geht über Remote Desktop aus einem einfach Grund nicht - wenn du die VPN Verbindung aufbaust, gibt es KEINE andere Verbindung mehr. Dies soll das Intranet schützen vor gekaperten User-Privat-PCs. Ein Angreifer könnte nämlich (theoretisch) Deinen Rechner übernehmen, und über die VPN Verbindung in das Intranet deines Unternehmens eindringen. Sobald du RD Verbindung hast, kannst du kein VPN Tunnel aufbauen - bzw. es geht nicht beides. Ist ein Sicherheitsfeatur - Verhinderung von "split-tunneling".
Wenn du lokal an der Maschine den VPN aufmachst, klappt das - jedoch KEINE andere Verbindung, nur der Tunnel.

Hast du deine Server-Aktion mit den Uni KA Netz- Verantwortlichen abgesprochen?
Gefahren für ein Netz drohen oft durch das Internet - oft aber auch durch experimentierfreudige Freigeister.
Selbst eine super-sicher Lösung wie die Token Authentifizierung wird so durch Hobby-Admins die private Netz-Erweiterungen basteln zum Einfallsloch für Schädlinge.

Ich denke, du willst einfach Token Kosten sparen. Ein Benutzer hat den Token, der VPN Tunnel läuft ständig, und viele andere können über den Terminal Server auf das Intranet zugreifen. Super Lösung! Dass durch den VPN Tunnel auch allerhand anderes flattern kann (was euch nicht bewusst sein muss) ist die Natur der Sache. Der VPN Tunnel ist eine Brücke in das LAN, und über diese Brücke gehen alle anderen Protokolle - erwünschte wie unerwünschte.
Genau dem will eure VPN Lösung aber vorbeugen, indem NUR der VPN Tunnel gestattet ist, und nichts anderes.

Falls ich mich fachlich oder menschlich irren sollte, bitte ich um Berichtigung!
Falls du dazu befugt bist dies zu tun - viel Erfolg! So wird es aber nicht klappen.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 20:37 Uhr
Aus sicherheitstechnischer Sicht hat duno Recht!

Ob die RDP-Verbindung davon betroffen ist, kann ich nicht sagen.
Das Feature, das, falls dem so ist, dein Vorhaben ermöglichen würde heißt split-tunneling.

Darauf hat der User aber keinen Einfluß, das wird in der VPN-Konfig auf dem Cisco-Concentrator festgelegt.
Bitte warten ..
Mitglied: scrut
31.03.2006 um 20:45 Uhr
Vielen Dank für diese Antwort.
Nun - meine Intention bei dieser Sache ist ganz einfach: statt 10 Mitarbeiter-PCs haben wir genau eine Maschine, auf der alle (über Thin Clients) arbeiten.
Diese Mitarbeiter haben derzeit jeder ihren eigenen, von ihnen selbst administrierten, PC - und greifen von dort aus per VPN aufs Uni-Netz zu.

Mit dem Terminal Server passiert genau dasselbe. Nur halt, dass alle 10 Mitarbeiter ihren VPN-Zugriff über dieselbe Maschine ausführen sollen. Das muss doch möglich sein, oder?
Ich meine - ich will doch nur eine Reihe von PCs durch eine zentrale Maschine ersetzen, die genau dasselbe tun soll wie die 10 existierenden PCs.

Beispielsweise durch die Verwendung einer zweiten Netzwerkkarte, die den Client-Traffic handelt?

Danke

scrut
Bitte warten ..
Mitglied: meinereiner
31.03.2006 um 21:51 Uhr
Darauf hat der User aber keinen
Einfluß, das wird in der VPN-Konfig
auf dem Cisco-Concentrator festgelegt.

Hmm, bist du da sicher?
Zumindest in den alten Client Versionen gabs da ein Häkchen für "lokales LAN", mit dem der LAN Access dann möglich war. Das konnte aber "serverseitig" verhindert werden.
Hat sich das geändert???

Zum Problem: ich würde mich da mal mit dem Admin an der Uni kurzschliessen. Ich kann mir vorstellen das es solche Wünsche nicht so selten sind und vielleicht hat die Uni da ja auch Lösungen für.
Bitte warten ..
Mitglied: gemini
31.03.2006 um 22:01 Uhr
Hmm, bist du da sicher?
EnableLocalLAN gibts immer noch.
Wenn das Spliting auf dem VPN-Server abgeschalten ist, wird das Häckchen aber auch nichts nützen.
Den Concentrator kenn ich nicht, auf der PIX kann man hierzu split-tunnel <acl> setzen.
Bitte warten ..
Mitglied: 27119
31.03.2006 um 22:32 Uhr
Ja, verstehe ich. Ich unterstelle dir auch keine unlauteren Beweggründe.

Ob es mit einer zweiten Netzwerkkarte auf dem Terminalserver klappen würde, was du vorhast kann ich nicht sagen. Sprich es auf jeden Fall mit den Netzbetreibern ab, die helfen bestimmt gerne, wenn du eine spezielle Anforderung hast, die du für Deine Arbeit brauchst.
Die IT ist schliesslich für den User da, und nicht umgekehrt.
Selbständige Eigenkreationen bzw. Zugriffserweiterungen von im Grunde Zugriffsberechtigten sind Admins halt aus Prinzip ein Dorn im Auge, da nicht kontrollierbar.

Vor Internet-Angreifern ist ein Netz relativ leicht schützen - vor Gefahren die von Zugriffsberechtigten ausgehen leider viel schwerer.
Bitte warten ..
Mitglied: scrut
01.04.2006 um 17:27 Uhr
Hallo an alle
ganz herzlichen Dank für Eure super schnelle, freundliche und qualifizierte Hilfe!

Inzwischen habe ich in der vpnclient.ini den einen Eintrag RunAtLogon=1 gesetzt, so dass der Client beim Serverstart automatisch losläuft und sich dann versteckt -> Der User kriegt davon nichts mit.
Leider wird trotz des in der pcf-Datei angegebenen Passworts der Login-Screen auf der Server-Konsole gezeigt. Aber nur einmal beim hochfahren und dann nicht wieder. Zwar unschön, aber noch akzeptabel.

Den Eintrag EnableLocalLAN konnte ich auch auf 1 setzen, so dass nun trotz VPN auch RDP-Clients Zugriff behalten können. Offenbar waren die Uni-Admins freundlich und akzeptieren split tunneling.

Allerdings habe ich diese natürlich auch kontaktiert und ihnen gesagt, was ich hier vorhabe. Auf unserer Seite bin ich zu der Aktion natürlich befugt, aber die Uni-Admins sollen schon Bescheid wissen und ggf. ein Veto einlegen können.

Vielen Dank noch einmal

Gruss

s.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Was ist ein VPN-Konzentrator?
Frage von griss2015Netzwerke3 Kommentare

Moin, was ist ein VPN-Konzentrator? Ist das nur ein Synonym für "VPN-Gateway"? Konnte dazu leider nichts im Netz finden. ...

Router & Routing
VPN Router Cisco Lancom?
gelöst Frage von geforce28Router & Routing42 Kommentare

Hallo Leute, ich bin seit ein paar Tagen stolzer Besitzer einen 200/20 Leitung von meinem Kabelanbieter. Der hat mir ...

Router & Routing
VPN Cisco Router 886VAJ
gelöst Frage von andi.wetzelRouter & Routing5 Kommentare

Hallo liebe Administratoren, seit zwei Wochen versuche ich eine VPN per PPTP oder IPSec einzurichten, leider ohne Erfolg. Ich ...

Router & Routing
Cisco 2951 VPN Problem
gelöst Frage von Serial90Router & Routing20 Kommentare

Moin Moin, ich habe folgendes Problem mit meinem Cisco: Wir haben einen VPN-Tunnel via SVTI Config zu einem anderen ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 1 TagDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 1 TagSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 2 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 3 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Router & Routing
Lancom-VPN-Client
Frage von FM28880Router & Routing15 Kommentare

Hallo zusammen, ich habe heute zwei Rechner mit einem Lancom VPN-Client eingerichtet. Die VPN-Verbindung wird aufgebaut und steht. Jedoch ...

Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office14 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Hyper-V
Hyper-V Manager startet, jedoch keine VM
Frage von NaleorHyper-V11 Kommentare

Hallo zusammen, auf meinem Windows 10 (Build 1703) Notebook von der Arbeit scheint Hyper-V plötzliche nicht mehr zu funktionieren. ...

Virtualisierung
Physikalischen Linux-Rechner (Debian) in VM umziehen
Frage von fbronkoVirtualisierung10 Kommentare

Moin, ich möchte zu Testzwecken einen physikalisch vorhandenen Linux-Rechner auf Debian-Basis in eine VM umziehen. Ich habe mittlerweile schon ...