christian.schneider
Goto Top

Windows 2003 VPN Server - Routing beschränken

Wie kann ich auf einem Windows 2003 VPN Server die Routingfunktion einschränken

Hallo zusammen

Ich hab folgendes Szenario:

Der Client verbindet via Windows VPN Client auf den Windows 2003 VPN Server hinter der Firewall, welcher in einem Subnet mit mehreren anderen Servern steht.

Nun habe ich die Funktion "Routing aktivieren" ausgeschaltet, dass der Zugriff über den VPN Tunnel nur auf den VPN Server erfolgen kann.

Nun habe ich den Auftrag erhalten, für die VPN Clients auch einen Datenserver zugänglich zu machen. Ist ja kein Problem mit der Funktion "Routing aktivieren". Jedoch ist dann das ganze Subnet freigegeben, so dass der VPN Benutzer auf alle Server zugreifen kann, obwohl er nur auf einen zusätzlichen Server zugreiffen sollte.
Sicherheitstechnisch nicht ideal...

Ein eigenes Subnet für die beiden Server wäre eine Variante, jedoch suche ich eine Variante, bei der ich nicht bei allen Server das Subnet ändern muss, sondern dass irgendwie auf dem Windows 2003 VPN Server einstellen kann.

Wäre froh wenn es das gäbe, oder eine andere praktikable Lösung.

Edit: Eine andere Variante wäre, wenn ich einen frei gegebenen Ordner auf dem Datenserver wiederrum auf dem VPN Server freigeben kann...

Besten Dank im Vorraus!

Gruss Christian

Content-ID: 83553

Url: https://administrator.de/forum/windows-2003-vpn-server-routing-beschraenken-83553.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

Dani
Dani 20.03.2008 um 10:30:23 Uhr
Goto Top
Hi,
wie viele Netzwerkkarten hat den der Server und ist er ausschließlich für VPN-Zugangserver zuständig?


Grüße
Dani
christian.schneider
christian.schneider 20.03.2008 um 10:32:39 Uhr
Goto Top
Der Server hat zwei Netzwerkkarten, jedoch ist nur eine in Betrieb.

Der Server wird aussschliesslich als VPN und Terminalserver verwendet.

Der Client verbindet per VPN auf den Server und macht dann die TS Verbindung auch auf diesen Server.

Gruss Christian
Dani
Dani 20.03.2008 um 10:42:25 Uhr
Goto Top
Hi,
aber dann müsste er auf die Server, etc... ja zugreifen können. Du sagst selber, der Server steht im gleichen Subnetz wie die Anderen. Somit sollte es doch gehen. Der Server greift dann auf die Freigagaben zu und nicht der VPN-Client selber.

Grüße
Dani
christian.schneider
christian.schneider 20.03.2008 um 10:44:37 Uhr
Goto Top
Es soll jedoch so sein, dass der VPN Client via VPN Verbindung nicht nur auf den VPN Server, sondern auch auf den Datenserver zugreifen kann. Jedoch nur auf diesen und nicht auf die anderen Server, welche nichts damit zu tun haben.
Dani
Dani 20.03.2008 um 11:18:11 Uhr
Goto Top
Hmm....ok,
was hängen dort für Switche dazwischen?! Layer 3 Switche wären prima. Dann könntest du über ACL Ports / Protokolle / IP-Adressen sperren - freigeben.
Ansonsten muss ich mal genauer überlegen....


Gruß
Dani
christian.schneider
christian.schneider 20.03.2008 um 11:22:45 Uhr
Goto Top
Nein leider nur normale Gigabit Layer 2 Switches. (ZyXEL GS-1116A)

Mit Layer 3 Switches wäre es kein Problem, dessen bin ich mir bewusst. Jedoch steht mir diese Infrastruktur leider nicht zu Verfügung.
Dani
Dani 20.03.2008 um 21:33:03 Uhr
Goto Top
Hmm...kannst du mal einen Netzwerkplan hochladen (als Bild)mit allen Komponenten und Internetzugang, etc... so dass wir mal sehen, wo noch Möglichkeiten da sind.


Gruß
Dani
christian.schneider
christian.schneider 20.03.2008 um 21:54:01 Uhr
Goto Top
Hier eine quick-and-dirty Zeichnung in mspaint:
7a2a0ad981c01fb709b602433e60d605-nwskizze
aqui
aqui 21.03.2008 um 18:46:38 Uhr
Goto Top
Ist der Cisco Router eurer Router und hast du Zugang zu diesem Router ???
Wenn ja, solltest du besser die PPTP VPN User HIER terminieren und NICHT auf dem Termi Server !

Eine Cisco Konfig dafür sieht so aus:
username VPNuser  password Geheim
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
interface Virtual-Template1
 description PPTP Dialin Interface fuer VPN Zugang
 ip unnumbered Ethernet 0
 no keepalive
 peer default ip address pool pptp_dialin
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.32.1.100 172.32.1.150

PPTP Dialin User erhalten dann IP Adressen von 172.32.1.100 bis .150 (Das musst du an deine IP Adressen anpassen)
Auf dem Cisco Router erstellst du nun eine ganz einefach Accessliste für die VPN User die dann nur auf bestimmte IP Adressen (Terminalserver und Datenserver) zugreifen dürfen.
Das tolle an der Lösung ist das du die ACL je nach Bedarf für die VPN User erweitern kannst wenn noch andere Anwendungen freigeschaltet werden müssen face-wink

Nur mit der eigentlich eher schlechten VPN Lösung über einen MS Server (du tunnelst diese User durch die FW !) hast du nur eine Chance über die Windows Firewall im Server entsprechend den Zugriff für die VPN User zu regeln !!
christian.schneider
christian.schneider 25.12.2008 um 01:03:40 Uhr
Goto Top
ich habs nun so gelöst, dass ich die server, welche untereinander zugriff erhalten sollen in ein eigenes subnetz gestellt habe und diese dann mit einer firewall getrennt habe.

trotzdem besten dank!