yomega 10 Geschrieben 8. März 2009 Melden Teilen Geschrieben 8. März 2009 Hallo zusammen, ich hab folgendes vor: ich administriere einen Windows 2008 Server der in einem RZ steht (also "nur" im Internet und in keinem LAN), der aktuell Exchange Dienste anbietet (für eine Arbeitsgruppe). Es gibt aber noch weitere Anforderungen wie z.B. der Zugriff auf Netzlaufwerke, wie man das von Windows Servern kennt, die im LAN stehen. Die Lösung die mir da sofort in den Sinn kam war ein VPN einzurichten. Jetzt soll das natürlich möglichst transparent und ohne großes IP konfiguriere sein, die Clients sollen sich einfach per VPN "reinverbinden", und ausschließlich Traffic, der für den Server gedacht ist, soll über die VPN Verbindung geschickt werden. Mein Plan war also die Firewall so zu konfigurieren, das eben bei VPN Verbindungen der entsprechende Zugriff gestattet wird, und bei normalen Zugriffsversuchen aus dem Internet, eben der Port geblockt wird. Geht denn das? Wenn ja wie? Ich hab hier mal eine Testumgebung aufgesetzt, bin aber bislang nicht erfolgreich, das VPN war immer schnell konfiguriert, aber der Zugriff kann nicht so wie ich das will reguliert werden (Also VPN Clients: Zugriff erlaubt, nicht VPN Clients: kein Zugriff). Der VPN Zugriff erfolgt via SSTP, und es werden keine neuen IP Adressen o.ä. verteilt, es gibt lediglich diese "Verbindung". Ich hoffe ich hab mich einigermaßen klar ausgedrückt, und hoffe auf Antworten. Vielen Dank schonmal im Voraus, - Stephan Zitieren Link zu diesem Kommentar
viper666 10 Geschrieben 8. März 2009 Melden Teilen Geschrieben 8. März 2009 Hallo Stephan, ich gehe mal davon aus Du terminierst den VPN Tunnel auch in dieser DMZ. Wohlmöglich auch auf diesem Exchange Server. Wenn das so ist, kannst Du an der Firewall (die zw. deinem Exch. und dem Inet steht) soviel rumdrehen wie Du willst. Blocken wirst Du damit keinerlei Traffic innerhalb des VPN Tunnels. Wenn Du den die Zugriffe innerhalb des VPN regeln möchtest mußt Du auf dem VPN Endpunkt die entsprechenden Ports die Du erlauben möchtest freigeben und den rest blocken. Den Internet Traffic regelst Du wie gehabt Durch die Firewall des RZ. Zitieren Link zu diesem Kommentar
yomega 10 Geschrieben 8. März 2009 Autor Melden Teilen Geschrieben 8. März 2009 Hm, ich hab mich doch etwas falsch ausgedrückt: Kann ich der Windows Firewall sagen, dass bestimmte Ports/Dienste erlaubt sind, solange der Benutzer per VPN angemeldet ist, ohne extra interne Netzwerk Adapter mit extra IP Konfiguration zu versehen? Danke & Gruß, Stephan Zitieren Link zu diesem Kommentar
viper666 10 Geschrieben 8. März 2009 Melden Teilen Geschrieben 8. März 2009 Kann ich der Windows Firewall sagen, dass bestimmte Ports/Dienste erlaubt sind, solange der Benutzer per VPN angemeldet ist, ohne extra interne Netzwerk Adapter mit extra IP Konfiguration zu versehen? Nein! Die Windows Firewall kennt keinen Unterschied zw. VPN und dem restlichen Netzwerk. Es bestände zwar die Möglichkeit deinen VPN User anhand der IP zu erkennen. Jedoch kann die Standard Windows Firewall lediglich ausnahmen für Ports konfigurieren und dies nicht auf IP Adressen beschränken. Ich würde dazu den RRAS Dienst der Servers nutzen und die IP Filter konfigurieren. Zitieren Link zu diesem Kommentar
yomega 10 Geschrieben 9. März 2009 Autor Melden Teilen Geschrieben 9. März 2009 Danke für Deine Antwort. Just to make things clear: Ich benutze die Windows Firewall mit erweiterter Sicherheit (Windows 2008), und die hat ja einige Häkchen und Konfigurationsparameter, u.a. auch um Verbindungen nur von autorisierten Benutzern zuzulassen (meine Tests brachten bisher nichts). Wenn ich Dich richtig verstehe, nützt mir auch die nichts! "Richtige" Lösung: Der RRAS Server wird so konfiguriert, dass er IP Adressen aus einem bestimmten privaten Bereich vergibt, und die Firewall dann entsprechend anhand der Ziel IP unterscheidet, ob sich das jetzt um VPN oder um "normalen" Traffic handelt. Seh ich das richtig? Ich habe also in etwa eine folgende Konfiguration (client) <--- INTERNET --> (öffentliche IP)<-- RRAS --> private IP <--> VPN Meine Fragen hierzu: - eventuell ist der private Adressraum bei einem Benutzer schon für das lokale Netzwerk reserviert, d.h. ich kann "nur" einen ungebräuchlichen Adressraum wählen um das zu verhindern? - Die Namensauflösung innerhalb des VPN vergibt logischerweise lokale Adressen, d.h. aber auch, dass auch eine DNS Abfrage nach den internen Hostnamen ohne eine VPN Verbindung, lokale IP Adressen liefern würde. Das ist doch nicht so schön, oder? - Ich möchte natürlich verhindern, dass aller Traffic (auch der der in das Internet soll), über das VPN geleitet wird, d.h. der RRAS Server wird kein IPv4 NAT Router? Vielen vielen Dank schonmal für eure Hilfe! Gruß, Stephan Zitieren Link zu diesem Kommentar
viper666 10 Geschrieben 9. März 2009 Melden Teilen Geschrieben 9. März 2009 Just to make things clear: Ich benutze die Windows Firewall mit erweiterter Sicherheit (Windows 2008) OK, lt. Microsoft sollte man die ja nur nutzen wenn man etwas von der Sache versteht. :D "Richtige" Lösung: Der RRAS Server wird so konfiguriert, dass er IP Adressen aus einem bestimmten privaten Bereich vergibt, und die Firewall dann entsprechend anhand der Ziel IP unterscheidet, ob sich das jetzt um VPN oder um "normalen" Traffic handelt. Seh ich das richtig? Ich habe also in etwa eine folgende Konfiguration (client) <--- INTERNET --> (öffentliche IP)<-- RRAS --> private IP <--> VPN Ja, so sieht dann auch mein Konzept aus. Meine Fragen hierzu: - eventuell ist der private Adressraum bei einem Benutzer schon für das lokale Netzwerk reserviert, d.h. ich kann "nur" einen ungebräuchlichen Adressraum wählen um das zu verhindern? Benutze einfach einen Adressraum der nicht meist von den HOME-LAN Routern verwendet wird. Also etwas aus dem Netz 10.0.0.0/8 oder 172.16.0.0/12. - Die Namensauflösung innerhalb des VPN vergibt logischerweise lokale Adressen, Diese Aussage verstehe ich ganz und gar nicht. Unter Namensauflösung verstehe ich DNS und dieser Dienst vergibt keine Adresse. Das macht höchstens ein DHCP Server. d.h. aber auch, dass auch eine DNS Abfrage nach den internen Hostnamen ohne eine VPN Verbindung, lokale IP Adressen liefern würde. Das ist doch nicht so schön, oder? Irgendwie fehlt mir hier der Zusammenhang. - Ich möchte natürlich verhindern, dass aller Traffic (auch der der in das Internet soll), über das VPN geleitet wird, d.h. der RRAS Server wird kein IPv4 NAT Router? In dem Moment wo der VPN Client eine Verbindung aufgebaut hat wird der Standard Gateway des Client auf den VPN Tunnel gesetzt. Unweigerlich geht somit jeglicher Traffik in Richtung VPN. Dies wäre nur nurch manuelles konfigurieren der Routen veränderbar. Es gibt aber auch ThirdParty Clients (ich glaube der EntryClient von NCP) bei dem Du am Client angeben kannst welche Netze in das VPN geroutet werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.