XP:SBS2003: VPN-Verbindung zu Novellnetz

[dpetereit 10]

Hallo.

 

Ich habe zwei domänenbasierte Netze. Eines auf der Basis von SBS2003 mit XP-Clients. Eines auf der Basis von Novell-Netware mit NT4-Clients.

 

Nun soll ein Rechner aus dem SBS2003-Netz auf das Novell-Netz zugreifen können. DSL-Router ist vorhanden.

 

Mir wurde der Vorschlag gemacht, auf dem einen Rechner einfach einen VPN-Client zu installieren und dann würde das fluppen. Kann das so einfach sein?

 

Muss es nicht Anmeldekonflikte geben, weil der Rechner sich primär an der SBS-Domäne anmeldet etc...???

 

Gruß

Hannes

[Muelli 10]

Hi Hannes,

 

kommt immer auf die Umsetzung an. Wir haben z.B. den VPN Server im Hardwarerouter mit drin und nicht im W2K Server oder DC. Den Router interessiert in erster Linie erst mal nicht irgendeine Domänenanmeldung. Wenn der Client die Berechtigung zum Tunnelaufbau hat, bekommt er eine IP aus dem Remotenetz und der Router leitet alles weitere ins Netz durch. Welche Domänenrecourcen dann für den Client nutzbar sind steht auf einem anderen Blatt.

 

Die andere Seite ist natürlich die, dass der Router seitens des Clients auch VPN Pakete durchlassen muss. Dazu muss er "VPN pass through" fähig sein oder als neuere Ausführung ein VPN-T (Traversal) Router sein.

 

Gruß

Mülli

[dpetereit 10]

Hi Muelli.

 

Wenn der Client eine IP aus dem Remotenetz bekommt, konkurriert die dann nicht mit der ihm bereits durch den internen DHCP-Server zugewiesen?? Irgendwie komme ich da nicht ganz hinter..

 

Reicht es beim Router einen bestimmten Port freizuschalten, um das Passthrough sicher zu stellen??

 

Hannes

[Muelli 10]

Hi dpetereit,

 

sicher hast Du bereits eine zugewiesene IP vom DHCP im Netz. In dem Moment wo sich der VPN Client aber einen Tunnel zum VPN Server aufbaut, wird ein zweites Netzwerkinterface "gebildet". Bei Windowsrechnern sieht man das am zweiten Netzwerkicon im Systemtray, welches neben dem bereits bestehenden Netzwerkicon erscheint. Bei NOVELL kenn ich mich allerdings nicht aus. Je nachdem welche IP Pakete nun raussollen, wählt der Rechner automatisch ein Interface. Allerdings muss man dann auch bestimmte Einstellungen machen, damit z.B. nicht der gesamte Internet-Verkehr über den VPN Tunnel gelenkt wird.

 

Wenn der VPN Server auch als DHCP für die VPN Clients arbeitet, weißt er ihnen für das neue Interface eine IP zu. Natürlich sollte man für die allereinfachste VPN Konfiguration (Einwahl eines VPN Client übers Internet beim VPN Server) tunlichst vermeiden, dass sich IP Bereiche überschneiden. Das Firmennetz und das Clientnetz (wenn der Client hinter einem Router steht) sollten also in unterschiedlichen Subnetze liegen.

Natürlich gibt es aber auch wieder Sonderfälle, wenn man z.B. zwei komplette Netzwerke über VPN verbinden will. Dann benötigen die Clientrechner keine VPN Client Software. Die jeweiligen VPN Router stellen automatisch und dauerhaft (Flatrate vorausgesetzt) die Verbindung zwischen den Netzen (die dann im gleichen Subnetz liegen dürfen) her. Dabei ist vorher genau festgelegt, welche IP Adressen welches Netz vergeben darf. Alle Rechner sind also im selben Netz.

Mit der Portfreischaltung ist das auch so eine Sache. Da kommt es wieder drauf an, welches VPN Protokoll Du fahren willst. Für das Einfachste: PPTP muss z.B. der Port 1723 offen sein. Zusätzlich muss der Router aber auch sogennante GRE Pakete durchlassen können. Andere VPN Protokolle wie L2TP oder IPSec Transport oder IPSec Tunnel Mode benötigen wieder andere Ports.

man muss also genau wissen was man will, sprich wie viel Sicherheit man implementieren will, und welche Hardware man zur Verfügung hat.

 

Gruß

Mülli