Internet nicht per VPN routen

[Dienstbier 10]

Moin moin!

 

Gibt es einen Weg, einem VPN-Client nur das eigene Intranet zu routen und nicht das Internet?

 

Derzeitige Situation ist ein W2k3 Server mit RAS. Ein Client wählt sich ein und ab dann werden alle Anfragen (sowohl ins Intranet als auch Internet) über den RAS geleitet, sprich auch der Internet-traffic.

Wie kann ich man verhindern, dass der VPN-Client des RAS-Servers Internetgateway nutzt?

 

IP-Konfig des Servers:

Adresse: 10.69.0.1

Subnet: 255.0.0.0

Gateway: 10.69.0.16

DNS: 10.69.0.1

 

Zwar kann man am Client in der IP-Konfig von der VPN-Verbindung das Nutzen des Remotegateways verhindern, aber das muss per Client konfiguriert werden.

Das muss doch auch via Server gehen?

 

Hoffe ihr könnt mir helfen!

 

Danke!

[Canni 11]

Es wird Dir jetzt wenig nützen, aber das kannst du an einer Appliance steuern, d.h. Du kannst das Standardgateway erzwingen.

[Dienstbier 10]

Hi Canni!

 

Das ist auch eine meiner Ideen. Problem: Wie genau macht man das?

Der VPN-Server vergibt die IP per DHCP, und dann bekommt der Client immer das Gateway vom Intranet :-(.

 

Thx

[GuentherH 61]

HI.

 

und dann bekommt der Client immer das Gateway vom Intranet

 

Das ist auch so erwünscht, da der Weg, den du wählen willst ein Sicherheitsrisiko darstellt.

Wenn nämlich das Internet über den Client verwendet wird, dann ist im Falle einer Kompromittierung des Client, über die VPN Verbindung für Schadprogramme Tür und Tor geöffnet.

 

LG Günther

[Canni 11]

Ich glaub, da hast Du was missverstanden ... er will ja erzwingen, dass als Gateway die Internetverbindung des Clients und nicht die des Servers verwendet wird.

An der GateProtect-Appliance wäre mir diese funktion beispielsweise bekannt, aber wie macht man das beim Routing und RAS?

[Beeboop 10]

Hallo,

erstmal vorweg eine Frage.

Weißt du wie groß dein Netz ist? Ich glaube nicht.

 

Einfache Lösung:

Da der Client ja von extern kommt, Ihm eine feste IP im seinem Netz mit einem festen GW geben.

[Beeboop 10]

Hallo zur Info die Anzahl deiner IP's

16.777.214

[XP-Fan 220]

Hallo zur Info die Anzahl deiner IP's

16.777.214

 

Woher weißt du das denn ? Möglich heißt nicht gleich vorhanden .

[Dienstbier 10]

Moin moin!

 

Weißt du wie groß dein Netz ist? Ich glaube nicht.

Danke für den Hinweis, jedoch dachte ich an konstruktive Ideen und nicht an Bemerkungen zum Offensichtlichen.

 

Die Idee mit dem festen Gateway ist dabei schon viel besser. Aber welches Gateway? Die Clients haben ja schließlich einen variablen Zugang (mal UMTS mal DSL mal ISDN etc) und damit immer verschiedene GWs.

 

 

Danke erstmal und bye

[IThome 10]

Hier geht es doch darum, dass es nicht manuell an jedem Client eingestellt werden soll. Eine Möglichkeit wäre, das CMAK zum Definieren der Clientverbindungseinstellungen zu benutzen. Ist zwar immer noch am Client, aber automatisiert ...

[Dienstbier 10]

Nabend ;-)

 

Hier geht es doch darum, dass es nicht manuell an jedem Client eingestellt werden soll. Eine Möglichkeit wäre, das CMAK zum Definieren der Clientverbindungseinstellungen zu benutzen. Ist zwar immer noch am Client, aber automatisiert ...

 

Jap, die Idee kam auch auf, jedoch - wie du schon sagst - ist sie auch am Client.

Dem Nutzer soll es nicht möglich sein, die Server-Webverbindung zu nutzen.

 

Bye

[Beeboop 10]

Hallo,

da habe ich etwas mißverstanden.

 

Ich war der Meinung, die externen Clients kommen aus einem anderen Netz, zu Hause und sind nicht unterwegs.

 

Deshalb die Ansage, festes GW auf den Clients.

 

Das mit der möglichen Anzahl der IP's soll heißen, warum so ein großes Netz?

Schon mal an einen Broadcast gedacht und das bei dieser Anzahl von möglichen IP's?

Warum sich unnötig Probleme machen, sollte das bedeuten, hätte ich dabei schreiben sollen.

 

Wenn ich es richtig habe, wählt der Client sich ein, bekommt vom ISP sein IP und GW zugewiesen.

Somit hat er ein GW eingetragen.

Dann baut er die Verbindung per VPN zum Server auf und bekommt seine IP auf dem virtuellen Interface, als GW bekommt er seine eigene IP des virtuellen Interfaces -> habe gerade meine Downloads abgeschossen.

[IThome 10]

Hm, das Problem ist bei gesetztem Haken ja, dass bei Verbindungsaufbau bei dem derzeitigen Default Gateway die Metrik um 1 erhöht wird und das neue Default Gateway die Metrik 1 bekommt. Im Moment wüsste ich nicht, wie man das vom Server aus ändern könnte (hab aber schon 2 Wochen Urlaub hinter mir, könnte auch an der Feierei liegen :D) ...

[Dienstbier 10]

Moin moin zusammen!

 

Beeboop

Jap, vom Prinzip hast du ja Recht. Die IP-Struktur ist im Moment sowieso in Überarbeitung und wurde gerade gestern noch geändert. Da tut sich also noch was ;-)

 

IThome

Jap, genau das passiert (****er weise).

Ich habe auch schon mit den statischen Routen rumexperimentiert (siehe AD Benutzer|Benutzereigenschaften|Einwählen), aber die Route

Ziel 0.0.0.0 Maske 0.0.0.0

lässt er sich partout nicht gefallen.

 

Alternativ kann ich ja im RAS eine statische Route hinzufügen.

Wie wäre es mit

Ziel 0.0.0.0

Maske 0.0.0.0

Gateway 127.0.0.1

Metrik 1?

 

Hab ich noch nicht ausprobiert, aber wie wär das?

 

Wünsche euch noch einen schönen Sonntag!

 

Bis denne

[IThome 10]

Die Routen auf dem Server (im AD) gelten für den Server, nicht für den Client. Das nützt Dir also nicht viel ...