peterg 11 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 (bearbeitet) Hallo, alleine der Thementitel ist schon grausam aber hoffentlich verständlich. Eine Kollegin arbeitet nun teils in einer anderen Einrichtung (ist ganz woanders). Dort sitzt Sie an einem Rechner, welcher nicht Mitglied unserer Domäne ist, keine direkte Verbindung zum Domäenennetzwerk hat und in einer ganz normalen Arbeitsgruppe ist. Nun wäre es schön, wenn Sie trotzdem mit Ihren Zugangsdaten der Domäne Zugriff auf die Netzlaufwerke des Servers hätte. Die Verbidnung mit Outook zum Exchange habe ich schon hinbekommen. Das war aber eine andere Baustelle :-) Dies würde ich gerne über eine IPsec-Verbindung mit unserem bintec-Router machen. Auf dem Rechner wird dann eine IPsec Clientsoftware installiert, welche sich mit dem Router verbindet. Die Verbindung soll definitiv NICHT über den Server aufgebaut werden. Der Router hat entsprechende IPsec Lizenzen mit dabei. Dies ist aber nicht meine Frage. Ich würde gerne wissen, welche Konfigurationen/Einstellungen ich am Server 2012R2 (als VM) machen muss, damit der Benutzer des Rechners (ohne Domänenanbindung) mit seinen Benutzerdaten der Domäne, Zugriff auf die Netzlaufwerke bekommt. Ich denke hier an die Windows Firewall, Routing & RAS aktivieren?, bekommt der Client automatisch vom DHCP des Servers eine IP-Adresse?, muss ich beim Benutzer irgendwlche "Einwahlrechte" aktivieren? Wann erfolgt die Authentifizierung am Server, da die IPsec-Verbidnung wohl nichts mit den Benutzerkonten der Domäne zu tun hat? Bzw. ist das überhaupt so möglich? Schöne Grüße Pit Nachtrag DHCP: Eigentlich muss ich doch nur über den Router einen DHCP-Bereich aus dem Netzwerk festlegen, denn die IPsec-Clients dann bekommen. Diesen Bereich schließe ich am eigentlichen DHCP-Server aus, damit es keine Überscheidungen gibt. Somit solle man über \\servername\freigabe das Netzlaufwerk vom Rechner aufrufen können bzw. kommt dann erst die Authentifizierung (Benutzername, Passwort). Denke ich hier zu einfach? bearbeitet 1. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Hi, du konfigurierst IPSec am Bintec entsprechend, spielst die Konfig am NCP Client ein und baust den Tunnel auf. Jetzt kannst du der Dame eine Batch-Datei auf den Desktop legen mit der die Laufwerke verbunden werden ("net use <LW>: \\<Servername>\<Freigabe> /USER:<domäne>\<user>"). Dann gibt die gute Dame ihr Kennwort ein und das Laufwerk sollte da sein :) Gruß Jan Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 Ist grundsätzlich möglich. Bei vielen VPV-Clinets gibt es die Möglichkeit nach der Verbindungsherstellung ein Script auszuführen. Mit hilfe dieses Scripts können dann die entsprechenden Netzwerkverbindungen hergestellt werden (inkl. Authentifizierung). Das mit deiner DHCP-Idee verstehe ich so nicht! :confused: Normalerweise wird auf der Firewall/Router ein eigener IP-Adressbereich für VPN eingerichtet. Entweder per DHCP, oder per fester IP-Vergabe in jedem VPN-Client. Der Router/Firewall kümmert sich dann um das Routing des VPN-Netzes in das eigentliche LAN. Hier sollten im Regelset dann optimalerweise nur die Ports geroutet werden die auch tatsächlich benötigt werden. Ach ja, beim wählen des IP-Bereiches sollte man etwas exotischere IP-Bereiche verwenden (z.B. nicht die üblichen FritzBox-IP-Bereiche). Wenn Dein VPN z.B. 192.168.2.x nutzt und Dein VPN User in seinem lokalen Netz den gleichen IP-Bereich nutzt sieht es eher schlecht aus mit dem Routing. Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 2. Dezember 2016 Melden Teilen Geschrieben 2. Dezember 2016 In der IKE Phase kann sich der Client wenn entsprechend konfiguriert, die IP vom DHCP holen. Das muss allerdings Client und Bintec in diesem Fall unterstützen. Wir machen es aber in der Regel auch mit einem eigenen VPN Netz auf dem Gateway. Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 3. Dezember 2016 Autor Melden Teilen Geschrieben 3. Dezember 2016 (bearbeitet) Das mit deiner DHCP-Idee verstehe ich so nicht! :confused: Der Router soll dem Client eine IP-Adresse aus dem gleichen Netz wie in der Domäne zuweisen. Am Router läuft dann quasi ein DHCP-Server nur für die VPN-Clients. Diesen IP-Bereich nehme ich aber am DHCP-Server der Domäne aus, bzw. evtl. gibt es ja einen Bereich der gar nicht zur Adressvergabe konfiguriert ist, da es ja sonst zu Adress-Konlikten kommen kann. Muss der IP-Bereich für die VPN-Clients am Router aber gar nicht im gleichen Bereich wie am Server sein? So verstehe ich die nachstehende Aussage. Ach ja, beim wählen des IP-Bereiches sollte man etwas exotischere IP-Bereiche verwenden (z.B. nicht die üblichen FritzBox-IP-Bereiche). Wenn Dein VPN z.B. 192.168.2.x nutzt und Dein VPN User in seinem lokalen Netz den gleichen IP-Bereich nutzt sieht es eher schlecht aus mit dem Routing. Unser Netz hat den IP-Bereich 192.168.110.xx, der Router hat die IP 192.168.110.254. Für die VPN-Clients wird am Router ein IP-Bereich 192.168.169.xx (hoffentlich exotisch :)) reserviert. Der VPN-Client verbindet sich also dann mit dem Router, bekomm eine IP-Adresse (komplett anders als das Netz mit dem Server) und der Router routet dann den Client in das Netz. Richtig? Wenn ich dann am VPN-Client z.B. der Server anpinge müßte das funktionieren oder? Welche Ports wäre das? Die Dame soll nur auf Ihre Netzlaufwekre Zugriff haben. Also reiner Datentransfer. ier sollten im Regelset dann optimalerweise nur die Ports geroutet werden die auch tatsächlich benötigt werden. Gruß, Pit bearbeitet 3. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 5. Dezember 2016 Melden Teilen Geschrieben 5. Dezember 2016 Der VPN-Client verbindet sich also dann mit dem Router, bekomm eine IP-Adresse (komplett anders als das Netz mit dem Server) und der Router routet dann den Client in das Netz. Richtig? Wenn ich dann am VPN-Client z.B. der Server anpinge müßte das funktionieren oder? Welche Ports wäre das? Die Dame soll nur auf Ihre Netzlaufwekre Zugriff haben. Also reiner Datentransfer. Also zu dem 1. Teil Deiner Frage, ob eine IP-Adressvergabe auch über den Windows Server möglich ist, kann ich nichts sagen. Testperson hatte ja geschrieben, dass so etwas bei entsprechender Konfiguration möglich ist. Ist mir in der Praxis bisher nicht untergekommen. Normalerweise wird auf Dem Gateway ein Netzwerkbereich ausschließlich für VPN eingerichtet (mit eigenem DHCP). Der DHCP vergibt dann die IP-Adressen für die VPN-User. Wie das bei einem Bintec-Router gemacht wird??? Wir haben hier zwar auch einen Bintec RT1202. der läuft aber als reines Fax-Gateway. ;) Bei mir bekannten Firewall-Systemen wir das aber immer wie oben beschrieben gemacht. in der Firewall wird dann auch festgelegt welche Ports aus dem VPN-Netz in das LAN geroutet werden. Auf jedem Fall sollten die Ports für DNS (53) und SMB (445) freigeschaltet werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.