HSG32 10 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hallo, gleich vorweg: ich bin ein Neuling in MS Server 2003. Mein Problem: Wir wollen einen Server aufsetzen, bei dem die Clients die Internet-Verbindung nutzen und einige User mit VPN Remote auf ihre Daten von Zuhause aus zugreifen können. Jetzt haben wir viel experimentiert und noch kein passendes Ergebnis erreicht. Der Server hat 2 Netzwerkkarten. 1xLAN für die Clients und 1xDSL-Modem zu Verbindung über PPoE. Und da gehts auch schon los mit den Fragen. Geht das überhaupt mit einer PPoE-Verbindung (NAT mit Einwählen b. B. klappt) oder braucht es den externen VPN-Router dazu? Wenn ja, wie richte ich das ein? Ich habe viel gelesen, aber leider noch nicht das Entscheidende. Bitte helft mir weiter...danke schon mal. hsg32 Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hi, und herzlich willkommen :) 1xDSL-Modem zu Verbindung über PPoE. Ein guter Rat zum Anfang. Für die Anbindung an das Internet gehört unbedingt eine ordentlicher Router/Firewall. Den Server mit einem Anschluß ins öffentliche Netz zu stellen ist ein enormen Sicherheitsrisiko. LG Günther Zitieren Link zu diesem Kommentar
Beeboop 10 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hallo, W2K3 oder W2K3 SBS? SBS hat den Vorteil, da ist schon alles drinne was ihr braucht, ohne extra zu zahlen. Auf jeden Fall gehört eine vernünftige Firewall davor, egal welcher Anbieter von Firewalls das ist. Dann nach Möglicheit eine feste, öffentliche IP, erspart ne Menge Konfigurationsarbeit. Intern sollte dann ein Hub oder Switch genutzt werden, damit die Clients und der Server vernünftig angebunden sind. Erspart eine Menge Zeit bei der späteren Fehlersuche. Zitieren Link zu diesem Kommentar
HSG32 10 Geschrieben 11. August 2007 Autor Melden Teilen Geschrieben 11. August 2007 Vielen Dank, für die Antworten. Also: weg mit PPoE (hat mir sowieso nicht so richtig behagt) und: Es lebe der Router (ich habe einen D-Link DI-804HV VPN Router) Brauch ich dafür jetzt die zweite Netzwerkkarte noch oder hängt man am besten alles an einen Switch? Irgendwie stell ich mir vor, dass der Router auf eine Karte soll und die Clients auf die andere. Nur ist das Thema Routing scheint (mir) so Komplex, dass ich einfach noch nicht ganz durchsteige. Könnt ihr mich bei der Hand nehmen und durchführen? Vielen Dank hsg32 edit: Ich benutze Windows Server 2003 R2 Standard Zitieren Link zu diesem Kommentar
Beeboop 10 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hallo, kurze Übersicht: LAN incl. Server -> Switch auf dem Router -> DSL-Modem. Der Router D-Link DI-804HV VPN Router hat doch schon ein 4 Port-Switch. Also den Server mit der Karte, auf dem eine LAN-IP liegt, auf einen freien Port am Switch. Die 2. Karte aus dem Server raus, bringt nur Probleme, wenn du sie sowieso nicht brauchst. Somit noch 3 Ports frei für die Clients im LAN. Dann die Clients direkt an den Switch. Wenn die restlichen 3 Ports nicht ausreichen, dann einfach noch ein Switch zusätzlich auf einen freien Port beim Switch stecken, Switch Kaskade. Dann auf den Clients den Router als Gateway, den Server als DNS; wenn ein DNS drauf läuft. Wenn auf dem Router ein Forward auf die DNS deines ISP eingerichtet ist, die Clients und den Server können dann; und nur dann; den Router als DNS-Server eingetragen bekommen. Machen viele falsch. Ansonsten nach Möglichkeit auf dem Server ein DNS-Server integrieren, dort dann ein Foward auf die DNS deines ISP eintragen und auf den Clients den Server als DNS eintragen. Wenn die Clients ihre IP's per DHCP vom Server bekommen, dann dort im DHCP_Server die lokale IP des Server mit installierten DNS-Dienst als DNS eintragen. Dann nix Probleme mit Routing, ist nicht nötig. Zitieren Link zu diesem Kommentar
HSG32 10 Geschrieben 11. August 2007 Autor Melden Teilen Geschrieben 11. August 2007 Vielen Dank, hab also den Router mit Clients und Server verbunden. Gut das klappt. Liegt wohl am D-Link Router, denn mit meinem alten ging das nicht. Jetzt habe ich beim Server: 1 Netzwerkarte mit statischer IP also im Stil 192.168.xx.xx (keine Öffentliche) DNS läuft auf dem Server DHCP läuft auf dem Server Der Server ist erster Domänen-Controller und AD ist eigerichtet. Das geht alles soweit. Im Moment ist der RRAS-Dienst als RRAS/VPN eingerichtet. Unser Boss soll sowohl Zuhause über Internet/VPN als auch direkt am Netzwerk mit seinem Notebook auf die Daten im Server zugreifen können, bzw. sich an der Domäne anmelden können. Es soll auch jemand den Server übers Internet administrieren können. Da bin ich doch mit VPN richtig, oder? Wie muss ich nun den RRAS-Dienst einstellen damit VPN funktioniert oder übernimmt das jetzt komplett der D-Link Router? Braucht es DynDNS? Gut, dass es dieses Forum gibt, denn Bücher sind einfach nicht alles, Danke. hsg32 Zitieren Link zu diesem Kommentar
Beeboop 10 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hallo, auf dem Router mußt du das Protokoll GRE und den Port 1723 für das VPN auf den Server forwarden, damit VPN funktioniert. Wenn du keine feste, öffentliche IP hast, mußt du natürlich DynDNS benutzen, wie willst du wissen, zu wem du dich verbinden willst. Damit muß dein Boss aber auch umgehen können oder ihm muß die aktuelle IP per Mail übersandt weden. GRE ist TCP 47, aber manche Router haben dafür spezielle Namen, bitte im Handbuch des Routers bei VPN und GRE nachschauen. Beim RRAS auf dem Server gibt es einen Fallstrick; jedenfalls unter dem W2K3 SBS. Wenn du RRAS per Assistent aktivierst, bekommst du Probleme mit der Windows Firewall, du mußt das VPN benutzerdefiniert einrichten. Auf dem Router wäre das alles. Da du eine ADS hast, mußt du deinem Chef auch das Recht zur Remoteeinwahl geben und ihn auch bei der VPN anlage als VPN User anlegen oder auswählen. Recht Remoteeinwahl machst du im Profil von Ihm über das Active Directory Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2007 Melden Teilen Geschrieben 12. August 2007 Nicht TCP 47, sondern IP-Protokoll 47 ;), wird auch manchmal VPN-Passthrough oder ähnlich genannt ... Welche Probleme gibt es mit der Basisfirewall bei Einrichtung via Assistent ? Oder meinst Du das grundsätzliche Problem des Assistenten bei Einrichtung eines VPNs mit nur einer Netzwerkkarte ? Zitieren Link zu diesem Kommentar
HSG32 10 Geschrieben 12. August 2007 Autor Melden Teilen Geschrieben 12. August 2007 Hallo und Danke für die Hilfe, Oder meinst Du das grundsätzliche Problem des Assistenten bei Einrichtung eines VPNs mit nur einer Netzwerkkarte ? hm...was ist jetzt die beste Konfiguration 1e oder 2 Karten? Wenn zwei Karten, welche Konfi und wie angeschlossen? Der Router (D-Link DI-804HV) hat nur VPN-Passtrough, aber wenn das das lang gesuchte GRE (sprich IP-Protokoll 47) ist, bin ich mächtig erleichtert. IMHO könnten die das doch eigentlich in Bücher und/oder Tutorials etc. über/von VPN dazuschreiben. Was ich immer noch nicht kapiere, ist das mit "forwarden" heißt doch "Weiterleiten". Also eine IP an eine andere weiterleiten, oder? Heißt das, dass ich, wenn ich IP 1 anspreche direkt bei IP 2 lande? (Habt bitte Gnade mit meiner Unkenntnis) Das finde ich nicht in dieser Form in irgendeiner Einstellung. Helft mir doch bitte da mal von der Leitung runter, auf der ich stehe. hsg32 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2007 Melden Teilen Geschrieben 12. August 2007 Ich würde es mit 2 Karten machen, RRAS als NAT und VPN-Server ... Mit Weiterleiten ist Portforwarding gemeint, was bedeutet, dass man den Router vom Internet aus mit der öffentlichen IP und auf einem bestimmten Port anspricht (z.B. UDP 500) und dieser leitet diese Anfrage an einen internen Host (private IP) und ebenfalls UDP 500 (kann aber auch ein anderer Port sein, Port-Redirection) weiter ... Zitieren Link zu diesem Kommentar
HSG32 10 Geschrieben 12. August 2007 Autor Melden Teilen Geschrieben 12. August 2007 Hallo, RRAS mit NAT und VPN also im Assistenten "VPN-Zugriff und NAT" auswählen und die eine Karte für den Router (das wird auch die Gateway IP), die andere mit statischer IP für's LAN,ja? So hatte ich es auch gedacht und anfangs versucht. Leider muß ich da was übersehen oder noch nicht gewusst haben, zwar hat das Internet auf den Clients funktioniert aber die VPN-Einwahl versagte. Der D-Link hat eine Einstellung "Virtuelle Server" bei der "Zugriff auf Dienste im LAN" erlaubt werden, das wird demnach das Portforwarding sein, nehme ich an. Hier hab ich IPSec (TCP und UDP Port 500) und PPTP (TCP Port 1723) auf die statische IP des Servers (LAN-Karte) gesetzt. Zudem habe ich L2TP (UDP 1701) erstellt und ebenfalls erlaubt. Wenn das jetzt so stimmt, muss ich bei einer Konfi mit zwei Karten hier wohl ebenfalls die Statische IP der LAN-Karte angeben (das hatte ich glaube ich falsch). Ich bitte um Korrektur, wenn ich irgendwo falsch liege. Demnach würde der Router im Falle einer VPN-Einwahl mit Hilfe einer DynDNS gefunden und über Portforwarding die Einwahl an die LAN-Karte (statische IP) weitergeben, wo der RRAS-Server die VPN-Verbindung klarmacht. Ich bitte auch bei diesem Gedankengang um Berichtigung, denn das Verständnis der Zusammenhänge scheint mir hier das Einzigste zu sein, was das Knäuel entwirrt. Vielen Dank hsg32 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.