wean 10 Geschrieben 9. April 2003 Melden Teilen Geschrieben 9. April 2003 huhu Rat der Waisen, bei uns in der Firma läuft ein 2000-Server mit dem RRAS-Dienst für die VPN-Einwahl. Der Server hat logischer Weise zwei Netzwerkkarten, -intern und extern. config - intern: ip: 192.168.10.10 / 24 gw: --------- config - extern: ip: 212.121.128.249 / 29 gw: 212.121.128.250 Da der Server direkt am Internet angeschlossen ist, habe ich auf dem RRAS Eingabe- und Ausgabefilter definiert, die ausschliesslich "VPN" zulassen. Die Firmenlokalen Clients benutzen einen Unix-Router als Standard-GW für den Internet-Access: 192.168.10.11 / 24 Nun ist es so, dass Benutzer sich mit dem VPN-Server verbinden wollen um auf das interne Firmen-Netzwerk zuzugreifen. Der VPN-Server ist so konfiguriert, dass er die benötigten IP-Adressen von einem internen DHCP-Server bezieht. Klappt alles wunderbar. Allerdings kann der "eingewählte" Benutzer dann nicht mehr auf die Internet-Ressourcen zugreifen. Denn die externe Schnittstelle des VPN-Servers lässt ja nur "VPN" zu. Nehme ich die Ein- und Ausgabefilter wieder raus, funzt die Sache. Ich kann aber "leider" ;) nur ein Standard-GW für einen Host definieren... (alles andere wäre ja auch quatsch :p ) p.s. Der DHCP-Server hat als Option Router die 192.168.10.11 eingetragen ... :( `Gibt's da keine andere Möglichkeit, als bei den DFÜ-Verbindungen die Option "Standard-Gateway des Remote-Netzwerks benutzen" zu deaktivieren? :( bitte hilf' Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. April 2003 Melden Teilen Geschrieben 9. April 2003 Mit anderen Worten, du möchtest den VPN Clients ein anderes Default Gateway als das 192.168.10.11 vom VPN Server übergeben lassen? grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 9. April 2003 Autor Melden Teilen Geschrieben 9. April 2003 fast richtig :-) ich will dass die vpn-clients das default gw 192.168.10.11 anstatt das gw des vpn-servers (212.121.128.250) benutzen. Im DHCP ist ja das gw 192.168.10.11 definiert, aber die clients gehen über 212.121.128.250 "raus" Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 9. April 2003 Autor Melden Teilen Geschrieben 9. April 2003 ....aber vielleicht stimmt bei mir ohnehin was nicht. wenn ich mich einwähle, erhalte ich den auf dem vpn-server konfigurierten dns- und wins-server. dns: 192.168.10.1 wins: 192.168.10.2 kurz darauf bekomme ich vom dhcp-server den gleichen eintrag nochmal geschickt. führe ich ipconfig /all erneut aus, ist der dns- und wins-server doppelt registriert: dns 192.168.10.1 dns 192.168.10.1 wins 192.168.10.2 wins 192.168.10.2 und beim standard-gw steht nichts drin... hier scheint er die route über das default-gw des vpn-servers zu nehmen. (ausprobiert über die eingabe-ausgabe-filter...siehe oben) deaktiviere ich den dhcp-relay-agenten auf dem rras-server, bekomme ich nur die dns und wins-einträge des vpn-servers.... -> keine doppelten einträge ich hoffe du kannst mir noch folgen :p Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. April 2003 Melden Teilen Geschrieben 9. April 2003 Seltsam, dass die VPN-Clients kein GW vom DHCP-Server zugeteilt bekommen. Ich meine bei mir ist das so, aber zum Testen muss ich erst mein ISDN-Anschluss wieder zum Fliegen bringen. Beleiben sie dran, das Fräulein verbindet................ grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. April 2003 Melden Teilen Geschrieben 9. April 2003 Hab' gerade mein VPN getestet und mich dann wieder erinnert. Der Client erhält kein GW vom DHCP-Server, denn er erhält eine IP-Adresse für die virtuelle Verbindung mit der Subnetmask 255.255.255.255. Damit ist klar, dass er sich SELBST als GW einträgt. Das sollte zumindest so drin stehen. Ausserdem habe ich natürlich für die "echte" Verbindung mit dem Provider auch eine Adresse mit DNS-Server und GW vom Provider erhalten. So sieht es normalerweise aus. ich habe da aber noch eine andere Frage: du hast am Anfang geschrieben "...habe ich auf dem RRAS Eingabe- und Ausgabefilter definiert, die ausschliesslich "VPN" zulassen". Wie geht das, diesen Eingabe- Ausgabefilter zu setzen? grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 9. April 2003 Autor Melden Teilen Geschrieben 9. April 2003 mhmmm... Damit ist klar, dass er sich SELBST als GW einträgt. Das sollte zumindest so drin stehen [/Quote] ...und das ist ja mein Problem, denn somit bekomme ich die Route des VPN-Servers. Und dessen Default-Route lässt ja nur "VPN" zu. Somit geht der restliche Verkehr nicht mehr.... Dennoch danke für Dein Bemühen. :-) Wie geht das, diesen Eingabe- Ausgabefilter zu setzen? [/Quote] Ist eigentlich ganz simpel. Ich kann es Dir allerdings nur für den RRAS-Dienst sagen, nicht für den ISA-Server (da habi keinerlei Erfahrung) :p 1. Du öffnest die RRAS-Console 2. Server -> IP-Routing -> Allgemein 3. Externe -> Schnittstelle -> Eigenschaften Eingabefilter: und die Ausgabefilter..... ...diese Konfiguration lässt PPTP, L2TP und Terminaldienste zu. Du kannst natürlich auch dort, wo "beliebig" steht fixe Adressen definieren, sollten die "einwählenden" VPN-Tunnelendpunkte feste IP-Adressen haben. Damit ist der Rechner eigentlich dicht wie ein UBoot ;) Zumindest so weit, wie es die Konten- und RAS-Richtlinien zulassen :) Hoffe ich konnte Dir helfen :p -guads Nächtle Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. April 2003 Melden Teilen Geschrieben 10. April 2003 Ja, ich wollte mich nur vergewissern, dass du DEN meintest. Warum ich fragte ist folgender Grund: Du hattest geschrieben, im Versuch hat es funktioniert, wenn du hier VPN rausnimmst. Du könntest meiner Meinung nach die Filterung hier rausnehmen, und dennoch die Einwah auf VPN beschränken, wenn du mit den RAS-Richlinien und den RAS-Profileinstellungen arbeitest: In den RAS-Richtlinien als Bedingung: NAS-Porttyp Virtuell Zusätzlich die Gruppe, die das darf (wirst du eh' drin haben) In den RAS-Profileinstellungen: Registerkarte Authentifizierung : nur entprechendeAuthentifizierung eintragen und Datenverschlüsselung genauso. Bei diesen Einstellungen dürfte auch nichts passieren. Niemand anders, als ein Mitarbeiter über VPN mit entpsrechender Verschlüsselung kann mit dem Server von aussen kommunizieren. Aber dein Problem wäre dann womöglich gelöst. grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 10. April 2003 Autor Melden Teilen Geschrieben 10. April 2003 Huhu Chrissliii Diese RAS-Richtlinien sind ebenfalls definiert. Aber es geht ja nicht um die Berechtigungen der einzuwählenden Benutzer, sondern um die offenen Ports. Und ich hab irgendwie nur ungern eine "offene" 2K-Maschine mit fester IP im Internet hängen :-) mhhmmmmmm, und wie verpass ich jetzt dem einwählenden Client ein Gateway? :D hdl, wean :p Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. April 2003 Melden Teilen Geschrieben 10. April 2003 Im Prinzip sind mehr Ports offen, das ist richtig. Aber kein anderer, als der, der sich über VPN einwählen kann, kann sie nutzen. Möchte jemand anders (böser Mensch aus dem Internet)einen Connect herstellen, wenn sich zuvor schon ein VPN-User eingewählt hat, kann dieser erst nach erfolgreicher eigener VPN-Verbindung mit dem VPN Server kommunizieren. D.h. er kann keine "offenen" Ports der anderen VPN-Verbindung nutzen. Und um das soweit sicherzustellen, reichen die RAS-Bedingngen, wie ich sie beschrieben habe. Ansonsten wären ja VPN-Lösungen im Internet, wie sie auch HW-VPN-Router zur Verfügung stellen hinfällig. grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 10. April 2003 Autor Melden Teilen Geschrieben 10. April 2003 wenn aber auf diesem server der iis oder ettliche andere netzwerkdienste liefen...mhmmmmmm -meiner meinung macht das schon sinn :-) so ist dieser server von aussen unsichtbar und die ports auch definitiv dicht. connected der client, sind alle offen (eben auf der internen schnittstelle) aber das ist wohl ne frage des designs - trotzdme mercý krissssli Zitieren Link zu diesem Kommentar
linuxchristoph 10 Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 moin moin ... ich habe mit regem Interesse Eure Beiträge gelesen. Ich bin zum Thema VPN ein absoluter Newbie. Ich kann leider zu Eurem Problem nichts passendes hinzufügen. Da Ihr hier wohl die Cracks seid, habe stattdessen eine Frage ( :rolleyes: ). Ich habe einen Exchange Server mit einer 2.ten Netzwerkkarte aufgesetzt, diese an den DSL Router gepatched. Soll die VPN Einwahlverbindung werden. RAS and Routing ist installiert, Netzwerkkarte WAN bekommt per dynUpdate die externe Adresse maskiert, VPN Verbindung kann auch aufgebaut werden (inklusive Exchange). Dennoch hängt sich der Server in unregelmäßigen Abständen auf und funktioniert erst wieder nach einem Neustart. Hier meine Beispielkonfiguration: interne Netzwerkkarte: IP 192.168.0.29 SUB 255.255.255.224 DNS 127.0.0.1 DNS2 vom ISP GW 192.168.0.30 externe Netzwerkkarte: IP 192.168.0.27 SUB 255.255.255.224 DNS 192.168.0.29 DNS2 leer GW vom ISP VPN Clients: IP 192.168.0.22 -192.168.0.26 SUB 255.255.255.224 DNS automatisch Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. August 2003 Melden Teilen Geschrieben 7. August 2003 Ahja, einen hab ich noch: steht denn was im Ereignislog? grizzly999 Zitieren Link zu diesem Kommentar
linuxchristoph 10 Geschrieben 7. August 2003 Melden Teilen Geschrieben 7. August 2003 :) ... erstmal Danke für die promte Anwort. Der EReignislog, ist das das Ereignisprotokoll? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.