PatrickKByte 12 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hallo an alle! Die Überschrift sagts ja schon, ich plane Zugriff auf meine Windows Domäne per VPN: Szenario 1: [RoadWarrior] -> Internet -> [ipCop mit Zerina] -> SBS2003 mit 2 NICs und NAT Szenario 2: [RoadWarrior] -> WLAN (BlueDev) -> [ipCop mit Zerina] -> SBS2003 mit 2 NICs und NAT Ich habe problemlos aufm IPCOP Zerina installiert, aufm Notebook funktioniert OpenVPN unter Windows XPSP2 super, und ich kann bereits per VPN auf den IPCOP zugreifen, d.h. ich befinde mich bereits im Netz zwischen IPCOP und SBS. Leider kann ich weder die "Gateway"-NIC vom SBS anpingen, geschweige denn mich an der Domäne anmelden. Ist ja auch super, so ists schön sicher :-) leider brauche ich hier trotzdem irgendeine Möglichkeit, vom IPCOP per OpenVPN auf den SBS zuzugreifen. Ich vermute eine Fehlkonfiguration im NAT oder DNS? Sind OpenVPN/SBS-Experten da? Ich freuen mich auf jede Antwort und bedanke mich! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Der SBS hat auch 2 Karten und ist als NAT-Router konfiguriert ? Wenn ja, wird es schwierig ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 6. März 2008 Autor Melden Teilen Geschrieben 6. März 2008 Der SBS hat auch 2 Karten und ist als NAT-Router konfiguriert ? Wenn ja, wird es schwierig ... Hallo! ja, dem ist so. Zum Zeitpunkt der Installation war nur n doofer Router als Firewall da, und weil der SBS auch mit SMTP direkt im Netz hängt, haben wir ihn mit 2NICs und NAT so gut wies geht entkoppelt. Wenn es nun so ist, dass es garnicht geht, kann ich natürlich auch die eine totschalten... Wills aber ungern tun; ich verspreche mir hiervon schon eine Portion Extrasicherheit :suspect: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Du müsstest die relevanten Ports nach innen leiten und das sind sehr viele. Dann kommen da noch die RPC-Verbindungen mit den dynamischen Ports. Ich würde den SBS mit nur einer Karte betreiben oder die VPN-Verbindungen auf dem SBS terminieren ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 6. März 2008 Autor Melden Teilen Geschrieben 6. März 2008 Gut, dann habe ich jetzt ne Gigabit-Karte von Intel über :-) Dank dir! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Kannst ja ein Team einrichten, wenn Du noch ne zweite Intel Karte hast ... :) Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hi PatrickKByte, bei uns gehen wir auch über OpenVPN an die Domäne ran. Als VPN Terminator haben wir aber "nur" einen normalen Rechner mit OpenVPN eingerichtet, der noch nicht mal Domänenmitglied ist. Unser Firmenrouter hat 'ne Portweiterleitung vom OpenVPN Port 1194 auf den OpenVPN Server im FimenLAN. Dort findet die Authentifizierung mittels Zertifikat statt. Gleichzeitig läuft der OpenVPN Server als Router, der die Tunnel IPs aufs LAN umsetzt. Damit sind wir dann schon mal im LAN und können jetzt auf die Resourcen der Domäne zugreifen. Als Nicht Domänenmitglied muss ich natürlich jetzt die Domänenpasswörter kennen. Antwortpakete von den Firmenrechnern aus dem FirmenLAN kennen natürlich den Tunnelendpunkt nicht und schicken alles zum Standardfirmenrouter. Dort ist 'ne Weiterleitung wieder zurück auf den OpenVPN Server eingerichtet. Wenn Du zwar bis zum OpenVPN Server kommst aber nicht weiter ins LAN, würde ich mal die Routing Funktion des OpenVPN Servers genauer checken. Denn sonst ist bei ihm Schluss. Hatte zwar vor ein paar Jahren mal einen IPCop am Laufen aber ohne Zerina. Deshalb kann ich Dir speziell dazu nichts sagen. Aber schau sonst mal unter Deutsche OpenVPN-Community - Forum, Wiki, ZERINA Kennst Du aber wahrscheinlich schon. Gruß Jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. März 2008 Melden Teilen Geschrieben 7. März 2008 Er kommt nicht ins LAN, weil da noch ein NAT-Router vor steht (der SBS) ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 8. März 2008 Autor Melden Teilen Geschrieben 8. März 2008 Er kommt nicht ins LAN, weil da noch ein NAT-Router vor steht (der SBS) ... ... den ich nun beseitigt habe. Der SBS läuft nun mit einer Netzwerkkarte am selben Switch wie die Clients und hat denselben Zugriff, wie der IPCop. Laut Protokoll von OpenVPN sind die Routen zwischen dem OpenVPN-Netz und meinem LAN vorhanden, auch "route print" weist deutlich darauf hin. Leider finde ich weder mit "net view" noch mit direkten pings oder nslookups irgendwas von "meinem" LAN. Ich habe keinen ISA, und außer Port 25 ist auch nichts weitergeleitet. RRAS ist deaktiviert. Hat noch jemand eine Idee? Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 8. März 2008 Melden Teilen Geschrieben 8. März 2008 ... und die Route zurück in den Tunnel ist auch am Standardgateway des LANs gesetzt? Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 8. März 2008 Autor Melden Teilen Geschrieben 8. März 2008 ... und die Route zurück in den Tunnel ist auch am Standardgateway des LANs gesetzt? Wie meinst du? Wahrscheinlich nicht... Klärst du mich auf? Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 8. März 2008 Melden Teilen Geschrieben 8. März 2008 also bei uns im FirmenLAN komme ich auf dem OpenVPN Port 1194 von außen am Router an. Der macht ein Portforwarding auf den OpenVPN Server im LAN. Dieser wiederum hat 'ne Route vom Tunnelendpunkt (TUN/TAP) ins FirmenLAN. Wenn dort irgendwelche Clients reagieren sollen, z.B. auf Pings, dann schicken sie die Antworten wieder an den Tunnel, der aber im anderen IP Bereich liegt, als das eigene LAN. Da die Clients die TunnelIPs nicht im eigenen Netz kennen, schicken sie alles an das bei Ihnen eingetragene Standardgateway. Dieses Gateway, bei uns ist das wieder der Router, muss nun eine Route zum VPN Server kennen. Er leitet also die Antwortpakete an das TUN/TAP Interface des OpenVPN Servers im LAN weiter wo der Tunnel nach draußen wieder beginnt. Außer meinem Portforwarding brauchte ich also zwei Routen - einmal eingehend und einmal ausgehend. Da bei Dir IPCop (Router) und OpenVPN Server (Zerina) auf ein und demselben Gerät liegen, gibt es dort bestimmt alle Einstellmöglichkeiten dafür. Gruß Jörg Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 8. März 2008 Autor Melden Teilen Geschrieben 8. März 2008 Wie du vermutest, erledigt das der IPCop himself... Daran liegts nicht :-/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.