10
Windows 2003 VPN Server - Routing beschränken
Wie kann ich auf einem Windows 2003 VPN Server die Routingfunktion einschränken
Hallo zusammen
Ich hab folgendes Szenario:
Der Client verbindet via Windows VPN Client auf den Windows 2003 VPN Server hinter der Firewall, welcher in einem Subnet mit mehreren anderen Servern steht.
Nun habe ich die Funktion "Routing aktivieren" ausgeschaltet, dass der Zugriff über den VPN Tunnel nur auf den VPN Server erfolgen kann.
Nun habe ich den Auftrag erhalten, für die VPN Clients auch einen Datenserver zugänglich zu machen. Ist ja kein Problem mit der Funktion "Routing aktivieren". Jedoch ist dann das ganze Subnet freigegeben, so dass der VPN Benutzer auf alle Server zugreifen kann, obwohl er nur auf einen zusätzlichen Server zugreiffen sollte.
Sicherheitstechnisch nicht ideal...
Ein eigenes Subnet für die beiden Server wäre eine Variante, jedoch suche ich eine Variante, bei der ich nicht bei allen Server das Subnet ändern muss, sondern dass irgendwie auf dem Windows 2003 VPN Server einstellen kann.
Wäre froh wenn es das gäbe, oder eine andere praktikable Lösung.
Edit: Eine andere Variante wäre, wenn ich einen frei gegebenen Ordner auf dem Datenserver wiederrum auf dem VPN Server freigeben kann...
Besten Dank im Vorraus!
Gruss Christian
Hallo zusammen
Ich hab folgendes Szenario:
Der Client verbindet via Windows VPN Client auf den Windows 2003 VPN Server hinter der Firewall, welcher in einem Subnet mit mehreren anderen Servern steht.
Nun habe ich die Funktion "Routing aktivieren" ausgeschaltet, dass der Zugriff über den VPN Tunnel nur auf den VPN Server erfolgen kann.
Nun habe ich den Auftrag erhalten, für die VPN Clients auch einen Datenserver zugänglich zu machen. Ist ja kein Problem mit der Funktion "Routing aktivieren". Jedoch ist dann das ganze Subnet freigegeben, so dass der VPN Benutzer auf alle Server zugreifen kann, obwohl er nur auf einen zusätzlichen Server zugreiffen sollte.
Sicherheitstechnisch nicht ideal...
Ein eigenes Subnet für die beiden Server wäre eine Variante, jedoch suche ich eine Variante, bei der ich nicht bei allen Server das Subnet ändern muss, sondern dass irgendwie auf dem Windows 2003 VPN Server einstellen kann.
Wäre froh wenn es das gäbe, oder eine andere praktikable Lösung.
Edit: Eine andere Variante wäre, wenn ich einen frei gegebenen Ordner auf dem Datenserver wiederrum auf dem VPN Server freigeben kann...
Besten Dank im Vorraus!
Gruss Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83553
Url: https://administrator.de/contentid/83553
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
wie viele Netzwerkkarten hat den der Server und ist er ausschließlich für VPN-Zugangserver zuständig?
Grüße
Dani
wie viele Netzwerkkarten hat den der Server und ist er ausschließlich für VPN-Zugangserver zuständig?
Grüße
Dani
Der Server hat zwei Netzwerkkarten, jedoch ist nur eine in Betrieb.
Der Server wird aussschliesslich als VPN und Terminalserver verwendet.
Der Client verbindet per VPN auf den Server und macht dann die TS Verbindung auch auf diesen Server.
Gruss Christian
Der Server wird aussschliesslich als VPN und Terminalserver verwendet.
Der Client verbindet per VPN auf den Server und macht dann die TS Verbindung auch auf diesen Server.
Gruss Christian
Hi,
aber dann müsste er auf die Server, etc... ja zugreifen können. Du sagst selber, der Server steht im gleichen Subnetz wie die Anderen. Somit sollte es doch gehen. Der Server greift dann auf die Freigagaben zu und nicht der VPN-Client selber.
Grüße
Dani
aber dann müsste er auf die Server, etc... ja zugreifen können. Du sagst selber, der Server steht im gleichen Subnetz wie die Anderen. Somit sollte es doch gehen. Der Server greift dann auf die Freigagaben zu und nicht der VPN-Client selber.
Grüße
Dani
Es soll jedoch so sein, dass der VPN Client via VPN Verbindung nicht nur auf den VPN Server, sondern auch auf den Datenserver zugreifen kann. Jedoch nur auf diesen und nicht auf die anderen Server, welche nichts damit zu tun haben.
Hmm....ok,
was hängen dort für Switche dazwischen?! Layer 3 Switche wären prima. Dann könntest du über ACL Ports / Protokolle / IP-Adressen sperren - freigeben.
Ansonsten muss ich mal genauer überlegen....
Gruß
Dani
was hängen dort für Switche dazwischen?! Layer 3 Switche wären prima. Dann könntest du über ACL Ports / Protokolle / IP-Adressen sperren - freigeben.
Ansonsten muss ich mal genauer überlegen....
Gruß
Dani
Nein leider nur normale Gigabit Layer 2 Switches. (ZyXEL GS-1116A)
Mit Layer 3 Switches wäre es kein Problem, dessen bin ich mir bewusst. Jedoch steht mir diese Infrastruktur leider nicht zu Verfügung.
Mit Layer 3 Switches wäre es kein Problem, dessen bin ich mir bewusst. Jedoch steht mir diese Infrastruktur leider nicht zu Verfügung.
Hmm...kannst du mal einen Netzwerkplan hochladen (als Bild)mit allen Komponenten und Internetzugang, etc... so dass wir mal sehen, wo noch Möglichkeiten da sind.
Gruß
Dani
Gruß
Dani
Hier eine quick-and-dirty Zeichnung in mspaint:
Ist der Cisco Router eurer Router und hast du Zugang zu diesem Router ???
Wenn ja, solltest du besser die PPTP VPN User HIER terminieren und NICHT auf dem Termi Server !
Eine Cisco Konfig dafür sieht so aus:
PPTP Dialin User erhalten dann IP Adressen von 172.32.1.100 bis .150 (Das musst du an deine IP Adressen anpassen)
Auf dem Cisco Router erstellst du nun eine ganz einefach Accessliste für die VPN User die dann nur auf bestimmte IP Adressen (Terminalserver und Datenserver) zugreifen dürfen.
Das tolle an der Lösung ist das du die ACL je nach Bedarf für die VPN User erweitern kannst wenn noch andere Anwendungen freigeschaltet werden müssen
Nur mit der eigentlich eher schlechten VPN Lösung über einen MS Server (du tunnelst diese User durch die FW !) hast du nur eine Chance über die Windows Firewall im Server entsprechend den Zugriff für die VPN User zu regeln !!
Wenn ja, solltest du besser die PPTP VPN User HIER terminieren und NICHT auf dem Termi Server !
Eine Cisco Konfig dafür sieht so aus:
username VPNuser password Geheim
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet 0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.32.1.100 172.32.1.150PPTP Dialin User erhalten dann IP Adressen von 172.32.1.100 bis .150 (Das musst du an deine IP Adressen anpassen)
Auf dem Cisco Router erstellst du nun eine ganz einefach Accessliste für die VPN User die dann nur auf bestimmte IP Adressen (Terminalserver und Datenserver) zugreifen dürfen.
Das tolle an der Lösung ist das du die ACL je nach Bedarf für die VPN User erweitern kannst wenn noch andere Anwendungen freigeschaltet werden müssen
Nur mit der eigentlich eher schlechten VPN Lösung über einen MS Server (du tunnelst diese User durch die FW !) hast du nur eine Chance über die Windows Firewall im Server entsprechend den Zugriff für die VPN User zu regeln !!
ich habs nun so gelöst, dass ich die server, welche untereinander zugriff erhalten sollen in ein eigenes subnetz gestellt habe und diese dann mit einer firewall getrennt habe.
trotzdem besten dank!
trotzdem besten dank!
