scrut
Goto Top

VPN zwischen Windows Terminal Server zu CISCO Konzentrator?

Wie kann man einen Windows 2003 Server überreden, eine VPN-Verbindung zu einem VPN-Concentrator der Firma CISCO zu verbinden?

Ich habe in den vergangenen Tagen einen Windows 2003 Server als Terminal Server in Betrieb genommen. Dieses Gerät soll für eine kleine Arbeitsgruppe als Arbeitsplattform dienen.
Bisher hatten wir dazu eine Reihe von Windows XP PCs genutzt.

Auf den "alten" PCs ist ein CISCO VPN Client (4.8.xx) installiert, da wir oft per VPN-Dienste der Uni Karlsruhe zugreifen müssen (die Uni betreibt Server, die wir nutzen). Das funktioniert auch prima.

Nicht so prima funktioniert dies jedoch, wenn ich denselben Client auf dem Windows Server installiere. Nur wenn ich direkt an der Server-Konsole sitze kann ich eine VPN-Verbindung aufbauen - nicht jedoch, wenn ich per RDP-Session angemeldet bin.

Jetzt wäre der ideale Fall ja eigentlich der, dass der Server beim Hochfahren automatisch eine VPN-Verbindung zu dem CISCO VPN-Concentrator an der Uni aufbaut und alle Terminal-User diese nutzen könnten.

Ist das möglich? Wenn ja - wie?

Vielen Dank

scrut

Content-Key: 29446

Url: https://administrator.de/contentid/29446

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: 27119
27119 31.03.2006 um 20:02:49 Uhr
Goto Top
Das geht über Remote Desktop aus einem einfach Grund nicht - wenn du die VPN Verbindung aufbaust, gibt es KEINE andere Verbindung mehr. Dies soll das Intranet schützen vor gekaperten User-Privat-PCs. Ein Angreifer könnte nämlich (theoretisch) Deinen Rechner übernehmen, und über die VPN Verbindung in das Intranet deines Unternehmens eindringen. Sobald du RD Verbindung hast, kannst du kein VPN Tunnel aufbauen - bzw. es geht nicht beides. Ist ein Sicherheitsfeatur - Verhinderung von "split-tunneling".
Wenn du lokal an der Maschine den VPN aufmachst, klappt das - jedoch KEINE andere Verbindung, nur der Tunnel.

Hast du deine Server-Aktion mit den Uni KA Netz- Verantwortlichen abgesprochen?
Gefahren für ein Netz drohen oft durch das Internet - oft aber auch durch experimentierfreudige Freigeister. face-wink
Selbst eine super-sicher Lösung wie die Token Authentifizierung wird so durch Hobby-Admins die private Netz-Erweiterungen basteln zum Einfallsloch für Schädlinge.

Ich denke, du willst einfach Token Kosten sparen. Ein Benutzer hat den Token, der VPN Tunnel läuft ständig, und viele andere können über den Terminal Server auf das Intranet zugreifen. Super Lösung! Dass durch den VPN Tunnel auch allerhand anderes flattern kann (was euch nicht bewusst sein muss) ist die Natur der Sache. Der VPN Tunnel ist eine Brücke in das LAN, und über diese Brücke gehen alle anderen Protokolle - erwünschte wie unerwünschte.
Genau dem will eure VPN Lösung aber vorbeugen, indem NUR der VPN Tunnel gestattet ist, und nichts anderes.

Falls ich mich fachlich oder menschlich irren sollte, bitte ich um Berichtigung!
Falls du dazu befugt bist dies zu tun - viel Erfolg! So wird es aber nicht klappen.
Mitglied: gemini
gemini 31.03.2006 um 20:37:15 Uhr
Goto Top
Aus sicherheitstechnischer Sicht hat duno Recht!

Ob die RDP-Verbindung davon betroffen ist, kann ich nicht sagen.
Das Feature, das, falls dem so ist, dein Vorhaben ermöglichen würde heißt split-tunneling.

Darauf hat der User aber keinen Einfluß, das wird in der VPN-Konfig auf dem Cisco-Concentrator festgelegt.
Mitglied: scrut
scrut 31.03.2006 um 20:45:44 Uhr
Goto Top
Vielen Dank für diese Antwort.
Nun - meine Intention bei dieser Sache ist ganz einfach: statt 10 Mitarbeiter-PCs haben wir genau eine Maschine, auf der alle (über Thin Clients) arbeiten.
Diese Mitarbeiter haben derzeit jeder ihren eigenen, von ihnen selbst administrierten, PC - und greifen von dort aus per VPN aufs Uni-Netz zu.

Mit dem Terminal Server passiert genau dasselbe. Nur halt, dass alle 10 Mitarbeiter ihren VPN-Zugriff über dieselbe Maschine ausführen sollen. Das muss doch möglich sein, oder?
Ich meine - ich will doch nur eine Reihe von PCs durch eine zentrale Maschine ersetzen, die genau dasselbe tun soll wie die 10 existierenden PCs.

Beispielsweise durch die Verwendung einer zweiten Netzwerkkarte, die den Client-Traffic handelt?

Danke

scrut
Mitglied: meinereiner
meinereiner 31.03.2006 um 21:51:15 Uhr
Goto Top
Darauf hat der User aber keinen
Einfluß, das wird in der VPN-Konfig
auf dem Cisco-Concentrator festgelegt.

Hmm, bist du da sicher?
Zumindest in den alten Client Versionen gabs da ein Häkchen für "lokales LAN", mit dem der LAN Access dann möglich war. Das konnte aber "serverseitig" verhindert werden.
Hat sich das geändert???

Zum Problem: ich würde mich da mal mit dem Admin an der Uni kurzschliessen. Ich kann mir vorstellen das es solche Wünsche nicht so selten sind und vielleicht hat die Uni da ja auch Lösungen für.
Mitglied: gemini
gemini 31.03.2006 um 22:01:54 Uhr
Goto Top
Hmm, bist du da sicher?
EnableLocalLAN gibts immer noch.
Wenn das Spliting auf dem VPN-Server abgeschalten ist, wird das Häckchen aber auch nichts nützen.
Den Concentrator kenn ich nicht, auf der PIX kann man hierzu split-tunnel <acl> setzen.
Mitglied: 27119
27119 31.03.2006 um 22:32:54 Uhr
Goto Top
Ja, verstehe ich. Ich unterstelle dir auch keine unlauteren Beweggründe.

Ob es mit einer zweiten Netzwerkkarte auf dem Terminalserver klappen würde, was du vorhast kann ich nicht sagen. Sprich es auf jeden Fall mit den Netzbetreibern ab, die helfen bestimmt gerne, wenn du eine spezielle Anforderung hast, die du für Deine Arbeit brauchst.
Die IT ist schliesslich für den User da, und nicht umgekehrt.
Selbständige Eigenkreationen bzw. Zugriffserweiterungen von im Grunde Zugriffsberechtigten sind Admins halt aus Prinzip ein Dorn im Auge, da nicht kontrollierbar.

Vor Internet-Angreifern ist ein Netz relativ leicht schützen - vor Gefahren die von Zugriffsberechtigten ausgehen leider viel schwerer.
Mitglied: scrut
scrut 01.04.2006 um 17:27:29 Uhr
Goto Top
Hallo an alle
ganz herzlichen Dank für Eure super schnelle, freundliche und qualifizierte Hilfe!

Inzwischen habe ich in der vpnclient.ini den einen Eintrag RunAtLogon=1 gesetzt, so dass der Client beim Serverstart automatisch losläuft und sich dann versteckt -> Der User kriegt davon nichts mit.
Leider wird trotz des in der pcf-Datei angegebenen Passworts der Login-Screen auf der Server-Konsole gezeigt. Aber nur einmal beim hochfahren und dann nicht wieder. Zwar unschön, aber noch akzeptabel.

Den Eintrag EnableLocalLAN konnte ich auch auf 1 setzen, so dass nun trotz VPN auch RDP-Clients Zugriff behalten können. Offenbar waren die Uni-Admins freundlich und akzeptieren split tunneling.

Allerdings habe ich diese natürlich auch kontaktiert und ihnen gesagt, was ich hier vorhabe. Auf unserer Seite bin ich zu der Aktion natürlich befugt, aber die Uni-Admins sollen schon Bescheid wissen und ggf. ein Veto einlegen können.

Vielen Dank noch einmal

Gruss

s.