Filialvernetzung, VPN und RADIUS

[stifler 10]

Hallo allesamt!

 

Von arbeitswegen her habe ich ja schon ab und an mit Filialvernetzungen und VPN zu tun gehabt, nun aber stehe ich vor der (unliebsamen?!) Aufgabe das Firmennetzwerk meines Vaters auf Vordermann zu bringen.

 

Bisher ist alles an einem Standort im Büro sitzt die Verwaltung mit einem W2K3-Server und 8 Workstations, ein paar Drucker und einer 1 MBit DSL-Leitung und für die Kommunikation Tobit David. Funktioniert alles soweit auch ganz okay.

 

Nun aber ist es so, dass aufgrund von neuen Mitarbeitern sowie der Aufteilung der Produktion und der Verwaltung (Die CAD-Abteilung + Geschäftsführung erhält einen separaten Standort) ich vor der Aufgabe stehe die IT-Infrastruktur umzukrempeln.

 

Folgendes ist gegeben:

 

Standort 1 (Geschäftsführung, Assistenz der GF, CAD-Abteilung)

- 10 MBit SDSL, 8-er Subnetz

- 5-8 Workstations (vorerst 5)

 

Standort 2 (Produktion, Buchhaltung, Auftragsannahme)

- 1 MBit DSL

- 4-5 Workstations

 

Standort 3 (Produktion #2)

- noch nichts, aber angedacht ist DSL und 2 Workstations für die Produktionsleitung

 

Zielsetzung ist folgende: Die Mitarbeiter sollen auf Dokumente zugreifen können die zentral auf dem Server lagern und via Exchange angebunden werden. Ingenieure (2-3)die auf Baustellen zugange sind und einen Laptop mit UMTS-Karte erhalten sollen sich ans Firmennetz anbinden können, dies geschützt über VPN. Zudem gibt es 2 Mitarbeiter die ab und an auch mal im "Home-Office" arbeiten, und so Zugriff auf Exchange/Terminaldienste und Files haben sollen.

 

Folgende Lösung hab ich angedacht (ich kürze jetzt mal Standort mit ST ab)

 

In ST#1 mit der stärksten Inet-Anbindung kommen die Haupt-Server hin, also AD, Exchange und Files + ein weiterer Terminal-Server.

 

In ST#2 kommt ein kleinerer Workgroup-Server hin um Files und evtl. Profile via DFS mit dem Server in ST#1 via VPN anzugleichen.

 

VPN zwischen ST#1 und ST#2 soll über einen VPN-fähigen Router realisiert werden.

 

ST#3, Home-Offices und die Laptops mit UMTS sollten direkt via VPN-Router in ST#1 als TS-Clients einwählen können.

 

Meine Frage dazu:

 

Da ich nicht auf dem 2K3-Server VPN bereitstellen möchte sondern über einen Router ist mir nicht ganz klar wie der Router remoteeinwahlberechtigte User erkennt. Ich habe noch nie was mit Radius zu tun gehabt, meine aber zu wissen dass man irgendwie zwischen dem AD-Server und dem Router über Radius Authentifizierungsinformationen austauschen kann, so dass der Router weiss wen er "rein"lassen soll und wen nicht.

Kann auch sein, dass ich total auf dem Holzweg bin, habe halt noch nicht so viel mit Radius zu tun gehabt, die Zielsetzung ist halt, dass ich über einen Hardware-Router gegen Login-Daten von der AD authentifizieren kann.

Es wäre toll wenn jemand konkretere Informationen für mich hätte und auch was für Hardware empfohlen wird. Ich hab früher Server-to-Server VPN's mit Lancom Routern aufgebaut und war eigentlich von diesen recht angetan, das ist aber ca 2-3 Jahre her.

 

Vielen Dank!

 

Gruß

stifler

[weg5st0 10]

Das könnte so gehen (Wenn der VPN Router eine externe Radius Authentifizierung unterstützt).

 

Bei Windows musst du den Dienst "Internetauthentifizierungsdienst" oder kurz IAS installieren.

 

Die Boardsuche nach "*IAS*" (mit Sternchen) fördert einiges zu Tage.

 

Du solltest auch mal im Technet Productcenter nach whitepapers kramen und idch mit der Idee an sich vertraut machen.

[stifler 10]

Tja die Boardsuche sagt leider unter *IAS* nichts gefunden. Ich vermute der Suchbegriff muss länger als 3 Zeichen sein? mit google auf site:http://www.mcseboard.de gehts etwas müßig.

 

Kann mir jemand Hardwarebeispiele/Empfehlungen nennen für dieses Vorhaben?

 

Was mich ebenfalls interessieren würde, ob ich mit einem Router via IAS/Radius Clients reinlassen kann und parallel dazu eine Verbindung zu einem weiteren VPN-Router (für Filialanbindung).

 

Gruß

stifler