Netzwerkaufbau - VPN - Ein paar Fragen

[Undying 11]

Hi!

 

Ich hab gerade ein kleines VerständnisProblem.

 

Ich habe 3-4 fixe VPN Aussenstellen (1-2 User). Dazu noch mobile Mitarbeiter mit Notebook.

 

Meine Zentrale hat einen SBS 2003 mit ISA 2004 installiert. Internet wird via Hardwarerouter (FVS318 bzw. ein Linksys R042) realisiert. Fixe IP und Domain die auf die IP pointet ist vorhanden.

 

Jetzt hätte ich gern folgendes:

- die fixen Außenstellen sollen sich vom FVS 318 ins Netz verbinden können.

- die mobilen Mitarbeiter via Windows VPN an den ISA Server verbinden können.

 

Die Frage ist nun wie ich das am besten anstelle.

1) FVS 318 zum ISA Server verbinden (und die VPN Funktionalität vom FVS 318 nicht verwenden). Clients zum ISA Server verbinden.

2) die Hardwarefunktionaltität vom Hardware VPN router verwenden und trotzdem den ISA Server für die "mobilen CLients" verwenden. Nur wie stell ich das an?

 

 

Danke!

 

Undying

 

[Hirgelzwift 10]

1) in der zentrale auch einen FVS318 stellen. damit kannst du ganz leicht ein VPN bauen.

2) für die clients gibt es von netgear software damit die sich auch auf den FVS318 verbinden können. gibt es aber so weit ich weis nicht für lau die software. es soll sogar möglich sein mit dem Windows VPn client ein VPN zu den FVS boxen zu bauen. es soll ein whitepaper hierzu geben. evtl. bei netgear support direkt nachfragen, ich habe die info von netgear direkt, liegt aber schon 1.5 jahre zurück.

[Undying 11]

1) Das wäre möglich. Ich hätte allerdings "lieber" einen von Linksys da die FVS318 bei mehren Tunneln einfach nicht mehr die Performance bringen ;-(

Die Netgear Software ist übringes zum K.... Die funktioniert genau garnicht. Zumindest nicht wirklich :-( ICh hab 5 Lizenzen rumliegen ...

Allerdings würde ich gern den ISA Server im internen Netz behalten um ihn als zusätzliche Firewall und Schutz des Exchanges zu verwenden. Der SBS mit ISA hat von dem her auch 2 Netzwerkkarten drin. (eine internes Netz, eine externes Netz). Die externe Seite hängt dann am am FVS 318.

Wenn ich jetzt eine VPN Verbindung zum FVS 318 direkt herstelle bin ich immer noch nicht im "internen" Netz.

 

Mah der Aufbau macht mich fertig :-/

[Hirgelzwift 10]

dann schick mir doch die 5 lizenzen ;)

 

FVL328 wäre schneller oder Cisco 800 für die Zentrale.

[Undying 11]

Verwendet Ihr die Software?! Kann ich fast nicht glauben, dass die wer produktiv verwenden KANN.

 

Ich hab jetzt gerade die VPN Verbindung zum ISA Server hinbekommen durch den (bestehenden FVS 318)

 

INTERNET - MODEM -FVS318 - SBS2003 mit ISA2004 - SWITCH - CLIENTS

 

Pfeift mal soweit ganz fein. Ich hätte also jetzt mal die Möglichkeit mich remote einzuwählen. von verschiedenen Standorten.

Jetzt ist nur noch die Frage ob ichs bewerkstelligen kann, dass sich bei RemoteStandorten auch eine VPN Verbindung via VPN Hardware hinbekomme.

 

Ich hab mit überlegt bei der Verbindungsaufstellung von oben noch zusätzlich ein Netzwerkkabel vom FVS318 (oder alternativen) zum Internen Switch zu legen. am FVS318 würde ich dann nur die IP vom ISA Server fürn Internet-Zugang freigeben.

dH Alles was rein oder raus will muss übern ISA Server. Außer Clients die sich am FVS318 bereits angemeldet haben.

 

Was sagt ihr zu der Idee / Lösung? Müsste das so hinauen?

 

Danke euch :o)

 

Undying

[XP-Fan 219]

Hallo,

 

mit den FVS318 kann man ja geteilter Meinung sein betr. Leistung.

 

Die Aussage: "Die Netgear Software ist übringes zum K.... " bezieht sich wohl auf eine mangelnde Ausbildung im Bereich der Produkte oder ?

 

Du hast hier aber etwas sehr sicheres vor wenn ich dich richtig verstehe. Wie sieht denn die Anbindung aus ( spiel das mal im Kopf durch ), wenn sich ein User am FVS318 angemeldet hat, dann kommt die nächste Anmeldung ISA, dann kommt Exchange ...

 

"Ich hab mit überlegt bei der Verbindungsaufstellung von oben noch zusätzlich ein Netzwerkkabel vom FVS318 (oder alternativen) zum Internen Switch zu legen. "

 

Wozu das denn ? :shock:

 

Direktverbindung ISA Extern -> Router

[Undying 11]

mit den FVS318 kann man ja geteilter Meinung sein betr. Leistung.

Die Aussage: "Die Netgear Software ist übringes zum K.... " bezieht sich wohl auf eine mangelnde Ausbildung im Bereich der Produkte oder ?

Naja ich hatte die Software im Einsatz bei ein paar Außendienstlern. Die Einrichtung war eigentlich schon ein Horror. Danach gabs auch noch "ständig" Probleme die einfach nicht nachvollziehbar waren. Aber sind nur meine persönliche Erfahrungen ...

 

Du hast hier aber etwas sehr sicheres vor wenn ich dich richtig verstehe. Wie sieht denn die Anbindung aus ( spiel das mal im Kopf durch ), wenn sich ein User am FVS318 angemeldet hat, dann kommt die nächste Anmeldung ISA, dann kommt Exchange ...

Naja nein! Der User soll sich entweger am ISA/VPN Server anmelden ODER am FVS318. Ich hab mir das so vorgestellt, dass ich für die Standortverbindung (fixe außenstellen mit mehr als einen PC die IMMER Verbunden sein sollen) dies über die VPN Hardware mache. Das war bis jetzt auch schon so mit einer außenstelle und funktionierte auch fein. Die Clients mag ich allerdings am ISA haben weils einfach besser funktioniert.

 

"Ich hab mit überlegt bei der Verbindungsaufstellung von oben noch zusätzlich ein Netzwerkkabel vom FVS318 (oder alternativen) zum Internen Switch zu legen. "

Wozu das denn ? :shock:

Da von extern nichts über den Router ins interne Netzwerk kann (IP Serre auf NUR ISA Server) hab ich mal sichergestellt, dass alles von intern über den ISA Server läuft. Von extern muss auch alles über den ISA Server (Portweiterleitungen werden nur zum ISA Server bestehen!)

Wenn ich jetzt allerdings noch andere Standorte anbinden möchte muss ich nur eine VPN Anbindung zum FVS 318 herstellen und ich hab sie im internen Netz. Korrekt oder?

 

Ist das eine gute AUfstellung? Oder ein kompletter ****** ;-) Danke :o)

[XP-Fan 219]

Aber sind nur meine persönliche Erfahrungen ...

Naja, Erfahrungen muß man machen, aber eine Schulung /Ausbildung vorher hilft dabei, positive zu machen, weißt du aber auch selbst.

 

 

Da von extern nichts über den Router ins interne Netzwerk kann...Snip...(Portweiterleitungen werden nur zum ISA Server bestehen!

 

Macht Sinn :)

 

Wenn ich jetzt allerdings noch andere Standorte anbinden möchte muss ich nur eine VPN Anbindung zum FVS 318 herstellen und ich hab sie im internen Netz

 

Da haben wir aber irgendwie einen Knoten drin .....

 

siehe: Da von extern nichts über den Router ins interne Netzwerk kann ....

 

Ist das eine gute AUfstellung?

 

Willst du ne Antwort haben ... :wink2:

 

Ich glaube du solltest das Ganze etwas anders planen ...

[Undying 11]

Da haben wir aber irgendwie einen Knoten drin .....

siehe: Da von extern nichts über den Router ins interne Netzwerk kann ....

Deswegen dachte ich mir ich mach ein Kabel vom Router zum Switch (umgehe den SBS/ISA Server)

Ich komme also damit ins internete Netz.

Siehe mal die Grafik oben. Da fehlt eben nur noch das Kabel.

 

Anderer Weg wäre auch die RemoteStandorte auch aufn ISA Server "einwählen" zu lassen. Inwiefern das allerdings geht (FVS 318 "einwahl" am ISA im Hauptoffice) weiß ich leider nicht.

 

Was wäre eine bessere möglichkeit?!

[XP-Fan 219]

Das wäre der deutlich bessere Weg in meinen Augen, stell den ISA vorne hin. Der Router sollte doch Portforwardung machen, sodaß alle Anfragen an den ISA direkt durchgereicht werde.. Dann hast du eine Anmeldung für alle und kannst auch Back to Back VPN machen.

 

Bei Fragen zur Konfiguration des Routers gibts bestimmt im Handbuch Infos oder Hirgelzwift kann die vielleicht auch ein paar gute Tips geben :)

[Undying 11]

Keiner mehr ein Comment dazu? :o)

 

Undying

[Hirgelzwift 10]

ich habe meinen kommentar dazu abgegeben :suspect:

 

wenn dir der FVS318 zu lahm ist nimm einen schnelleren und den FVS318 in die niederlassung. wenn du einen cisco nimmst für die zentrale da hat es auch VPN software kostenlos von cisco. ich hab damit durchweg nur gute erfahrungen.

 

vpn am internen server abzubilden ist meiner meinung nach plödsinn.

[Undying 11]

Also du hältst nichts davon, den ISA Server als VPN Server zu verwenden? (und den FVS318 als reinen Router zu nehmen)

Und ich weiß, dass du schon ein Kommentar abgegeben hast. Aber hier im Board gibts mehr als 2 Leute +g+

 

Undying

[Hirgelzwift 10]

genau, nicht wenn der ISA auch noch als file und print und was weis ich noch alles dient. ISA server mag da sinn machen wo er dediziert als VPN server aufgesetzt wird.

[Undying 11]

Okay Danke für die Antwort! Du mich würd nochwas interessieren.

 

Angenonmmen 2 x FVS 318:

 

Standort 1 mit DC. Standort 2 mit 2 Clients.

 

Wie hast du da die DNS Probleme gelöst? beim FVS DHCP einfach als DNS Server den DC vom 2ten Standort angegeben?

 

Du hast mal 2 verschiedene Addressbereiche angegeben oder? zB 10.0.2.x und 10.0.1.x (mit unterschiedlichen Subnet?)