OneFingerJoe 10 Geschrieben 8. November 2005 Melden Teilen Geschrieben 8. November 2005 Erstmal Hallo alle miteinander, ich brauche, wie schon oben erwähnt eure Hilfe beim Aufbau einer VPN-Verbindung. Dazu erstmal ein paar Infos. In unserer Firma betreiben wir ein kleines Netzwerk mit 8 Arbeitsplätzen. Aud allen Rechnern ist Win XP Prof mit SP2 installiert. Als Domain Controller verwenden wir einen Windows Server 2003 Small Business Standard Edition (also ohne ISA-Server) aber mit Exchange Server. WICHTIG: Der Exchange-Server wird von uns NICHT als echter Mail Server genutzt. Wir brauchen den nur als Datenspeicher, damit Kontakte und Termine von allen Mitarbeitern gemeinsam genutzt werden können. Mails werden ganz normal über POP3 vom Server eines anderen Providers (1und1) abgerufen. Die Internetverbindung (DSL 3000 T-Online, kein Business-Tarif) geht über einen alten D-Link DI-804 Router. Wir möchten nun einigen Mitarbeitern die Möglichkeit geben, sich von zu Hause mit dem Firmennetz per VPN zu verbinden. Wichtig ist dabei, neben dem Zugriff auf bestimmte Freigaben, das sich die Mitarbeiter mit ihrem Postfach auf dem Exchange Server verbinden können und Zugriff auf die öffentlichen Ordner haben. So, jetzt kommen die Fragen: 1. Welchen Router müssen wir für die Firma besorgen? Mit den alten D-Link geht das wohl nicht, da er das GRE-Protokoll anscheinend nicht unterstützt. Auch würden wir am liebsten unseren Win 2003 DC als VPN-Server verwenden und nicht einen evtl. im Router eingebauten VPN-Server. 2. Welche Router müssen bei den Mitarbeitern zu Hause aufgestellt werden? 3. Wie läuft die Anmeldung bei den Mitarbeitern zu Hause? Dort fahren die ja dann ihre Maschienen erstmal ohne Domäne hoch und müssen sich dann, nachdem der VPN-Tunnel steht an der Firmendömäne anmelden. 4. Welche IP-Adressen müssen die Clients zu Hause haben und wie bekommen die vom Firmen-DHCP eine IP-Adresse zugewiesen? Wie verhält sich das Ganze mit dem NAT der Router? So, das sind erst mal die wesentlichen Fragen. Ich hoffe, ich hab jetzt nicht zuviel geschrieben und ihr erbarmt euch mir dennoch weiter zu helfen. Dafür gibts auch schon mal einen Dank im voraus. Gruß OneFingerJoe Zitieren Link zu diesem Kommentar
Maik 10 Geschrieben 9. November 2005 Melden Teilen Geschrieben 9. November 2005 Hallo, vielen Fragen und Antworten.. Route habe ich meist mit einer Portweiterleitung auf den VPN-Server konfiguriert. Vielliecht kann dies auch Dein Router. Wenn nicht, Herstellerseite + FIRMWARE erneueren.. Klappt fast imme. Über den Routing und RAS Dienst des Servers kannst du mit dem Assistenten den VPN Server einrichten. Achte darauf dieDomain im einheitlichen Modus zu betreiben, wenn kein NT4 Servervorhanden. Dann steuerst Du die Zugriffe über die RAS Richtlinien. PPTP müsste ohne besondere Einstellungen funktionieren, Ansonsten über einen Preshared-Key. VPN-Server und Client bekommen einen identischen Schlüssel. Feste IP braucht nur der Server, da Erreichbarkeit gefordert Dyndns Dienst anmelden und in Router eintragen oder kleines Programm auf dem Server, dass ständig IP aktualisiert. Exchange, kannst Du als OWA über I-Net Explorer zugreifen. Alternativ kannst Du RPC über http einstellen, heisst nur, alle RPC Anfragen gehen über Port 80 http, so auch von externen Outlook Clients... Zitieren Link zu diesem Kommentar
OneFingerJoe 10 Geschrieben 11. November 2005 Autor Melden Teilen Geschrieben 11. November 2005 Hi Maik, erstmal Danke für die Antwort. So richtig hilft mir das aber noch nicht. Wir sind im Moment noch in der Phase der Vorüberlegung. Mich interessiert hauptsächlich, welche Hardware (Router) dafür geeignet sind. Ich habe gelesen, das die Geräte von Draytek dafür gut sind - simmt das oder welche Erfahrungen habt ihr damit? Und natürlich die Sache mit dem Exchange Server. Mein Wunsch wäre, das ein User von zu Hause aus eine VPN-Verbindung zum Firmenserver aufbaut, dann sein Outlook startet und nun ganz normal auf sein Postfach, öffentliche Ordner, etc. zugreifen kann. Ist das so realisierbar, oder bin ich da zu optimistisch. Ich sollte vielleich noch erwähnen, das ich mich mit der Konfiguration von DC's so einigermaßen auskenne, allerding habe ich keine Erfahrung mit VPN. Deshalb auch meine Fragen hier im Forum. Wäre schön, wenn dazu noch ein paar Antworten kommen würden. Danke OneFingerJoe Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 11. November 2005 Melden Teilen Geschrieben 11. November 2005 Hallo, das mit dem Zugriff auf Exchange ist überhaupt kein Problem. Wenn die VPN-Verbindung aufgebaut ist, hat der Rechner eine IP-Adresse aus dem Firmennetzwerk (wenn alles richtig konfiguriert ist). Somit kann er natürlich auch problemlos den Exchange-Server erreichen. Wenn Benutzername und Passwort der Users auf dem externen Rechner nicht mit dem Benutzernamen und Passwort in der Domäne übereinstimmen kommt einfache eine Login-Maske beim Start von Outlook. Dort muß man halt Domäne\Benutzername und das gültige Passwort eingeben, das wars. Wenn direkt Du eine Domänenanmelung willst, kannst Du auch beim Anmelden das Häckchen setzten: Über DFÜ-Netzwerk anmelden und dann als Verbindung die VPN-Verbindung. Der Router sollte eigentlich egal sein, weil ich bis jetzt keinen aktuellen Router gesehen habe, der VPN nicht forwarden kann, ich würd´s aber auch erstmal über ein Firmwareupdate versuchen. Gruß winhar01 Zitieren Link zu diesem Kommentar
yoko 10 Geschrieben 11. November 2005 Melden Teilen Geschrieben 11. November 2005 Hi! Wie wäre es mit OWA? Outlook Web Access! Einfachste Methode! Die Anwender brauchen einfach Internet und greifen über den Explorer auf die Mailbox zu. Die Oberfläche ist beim Exchange 2003 wirklich super und mann kann auch fast alles machen! Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 11. November 2005 Melden Teilen Geschrieben 11. November 2005 Extra Router benötigst du nicht. Dein W2k3 kann mittels Routing und RAS einen VPN Server hosten. Dort musst du dann nur wählen welches Protokoll du nehmen willst. Um es einfach aber dennoch relativ sicher zu machen würde ich L2TP über IPSEC mit NAT-Traversal und PreSharedKey nutzen. Das benötigt nur UDP 500 und 4500. Falls du keine feste öffentliche IP hast, musst du noch DynDNS verwenden damit der Server ausm Inet gefunden wird und dein Router muss natürlich die Anfrage an den Server weiterleiten. Wichtig ist, daß du beim XP SP2 folgenden REGKEY importierst: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec] "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002 Denn mit SP2 wurde das Standartverhalten für IPSEC geändert. Schau mal hier, da findest du auch einige KB Artikel dazu. Eben weil einige Router kein GRE können, ist das die optimale Lösung Dieses Thema auf einem anderen Board Zitieren Link zu diesem Kommentar
OneFingerJoe 10 Geschrieben 11. November 2005 Autor Melden Teilen Geschrieben 11. November 2005 herzlichen Dank an alle, das mach mir ja richtig Mut. Ich werde jetzt mal versuchen, das Ganze mit unserer bestehenden Hardware zu testen - zum Glück ist heute Freitag, da ist hier in der Firma nix mehr los. Ich werde mich später hier wieder melden und berichten. Zitieren Link zu diesem Kommentar
OneFingerJoe 10 Geschrieben 11. November 2005 Autor Melden Teilen Geschrieben 11. November 2005 Hallo zusammen, jetzt hab ich das nächste Problem - wäre ja auch zu schön, wenn's gleich auf Anhieb geklappt hätte. Beim Aufbau der VPN-Verbindung gibts den Fehler 792:"Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandlung das Zeitlimit überschritten hat." Gruß OneFingerJoe Woran könnte das liegen? Wenn ihr mehr Infos braucht, fragt einfach hier kurz nach. Wenn ich jetzt alles genau beschreibe, was ich gemacht habe, müsste ich wieder seitenlangen Text schreiben. Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 11. November 2005 Melden Teilen Geschrieben 11. November 2005 Hast du es mal von einem Rechner im LAN versucht? Wenn das klappt musst du nurnoch dein Routing anpassen. Zitieren Link zu diesem Kommentar
OneFingerJoe 10 Geschrieben 11. November 2005 Autor Melden Teilen Geschrieben 11. November 2005 Genau das hab ich gemacht. Allerdings war ich mir nicht sicher, ob man eine VPN-Verbindung so testen kann. Also, ich habe den VPN-Server eingerichtet (Routing & RAS), habe einen Testuser mit Einwahlrechten erstellt, habe die Ports UDP 4500 und 500 vom Router weitergeleitet, habe mir einen DynDNS-Namen besorgt und habe an einem Clientrechner eine neue VPN-Verbindung eingerichtet. Dann hab ich von einem anderen Rechner im LAN versucht die VPN-Verbindung aufzubauen, was zu dem o.a. Fehler führte. Zitieren Link zu diesem Kommentar
hochfrequenzG5 10 Geschrieben 12. November 2005 Melden Teilen Geschrieben 12. November 2005 Du muß die VPN Verbindung von einem Rechner außerhalb des LANs aufbauen. Du hast wahrscheinlich als Adresse die dyndns Adresse angegeben und die unterstützt dein Router nicht. Probiere mal den Aufbau der VPN Verbindung im LAN mittels der IP des Servers. Als Router kann ich dir den Draytek Vigor 2900 sehr empfehlen! Das ist ein Profi Router mit Content Filter fürs Internet und internem VPN Server. Gruß Björn Zitieren Link zu diesem Kommentar
=BT=Viper 11 Geschrieben 14. November 2005 Melden Teilen Geschrieben 14. November 2005 Jupp, um den Tunnel im LAN zu testen musst du die LAN IP deines Servers angeben und nicht die DynDNS. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.