VPN Verbindung von ROUTER zu ROUTER

[Crockett]

Hallo !

Ich möchte eine VPN ROUTER zu ROUTER Verbindung aufbauen um eine Außenbüro an die Hauptstelle anzubinden.

Das Netzwerk in der Hauptstelle sieht so aus :

Ethernet -> ISA2000 Server -> DSL Router -> Internet

IP Lokales Netz : 192.168.x.x
IP ISA 2000 : 192.168.x.x und 10.x.x.x ( 2 NIC´s)
IP DSL Router : 10.x.x.x

Der vorhandene DSL Router kann keine VPN Router zu Router Verbindungen. Ich habe mich für den AVANIS VRT311S entschieden. (an beiden Stellen). Solllte dann der vorhandene DSL Router ausgetauscht werden ?? Wenn ja was muss man beim ISA beachten damit die VPN Clients in das lokale Netz durch den ISA kommen ?

Andere Variante wäre den neuen DSL VPN ROUTER hinter den ISA in das lokale Netz zu hängen. Was müsste außer einer Protokoll Regel dann beim ISA beachtet werden ?

Die Außenstelle ist simpler gestaltet. Dort kommt dann halt nur der neue DSL Router hin und die Clients hängen direkt an dem Router.

Danke im vorraus.

Gruß

Christian

[Operator]

Hi,

auf http://www.msisafaq.de/Anleitungen/2...N/VPN_PPTP.htm findest Du eine Anleitung zur Einrichtung der VPN Einwahl für ISAServer2000 und 2004 (Link führt zu Anleitung für ISA2004).
Damit sollte es klappen.

Die gezeichnete Konstellation deines Netzwerks stimmt so, Du hast nur nicht erwähnt ob die entsprechenden Ports auch an den ISA Server weitergeleitet werden.
Wenn das nicht der Fall ist, kann die Einwahl auch nicht funktionieren.

Gruß
Andre

[Crockett]

@Operator

danke für die Antwort. Eine Einwahl wird doch am ISA 2k überhaupt nicht durchgeführt.
Wenn der neue VPN ROUTER vor dem ISA ist handelt der doch die VPN Verbindung über das Internet mit der Außenstelle aus. Die Frage war dann wie ich die VPN USER die sich dann vor dem ISA befinden im mein lokales NETZ bekomme. Oder habe ich da jetzt einen Gedankenfehler ?


Gruß

Christian

[Operator]

Hi,

ok, dann hatte ich Dich falsch verstanden.

Im Prinzip müsstest Du dann alle möglichen Ports zur Authentifizierung (oft auch dynamische Ports) von der DMZ (ich nenn das 10er Netz einfach mal so) in das LAN zulassen.
Den ISA brauchst Du dann nur als Router, der kein NAT macht. Die Konfiguration ist dann aber schon ein wenig umfangreich.

Wenn Du keine doppelte Firewall brauchst (dein VPN Router ist ja schon eine) und Sicherheit nicht unternehmenskritisch ist , würde ich den VPN-Router einfach ins LAN packen. Dann sollten die Clients in den Außenstellen normal mit der Domain kommunizieren können.
Den ISA würde ich dann höchstens noch als Webproxy einsetzen.

Für mich wäre das jetzt die einfachste Lösung... es gibt bessere, aber da bin ich gerade nicht so in der Materie. Vielleicht hat ein anderer Leser noch eine schönere Lösung?

Gruß
Andre

[Crockett]

@Operator

Also die ISA Firewall soll auf jeden Fall bleiben. Ich hatte mich auch etwas unvollständig ausgedrückt.... Also eine Anmeldung am DC soll nicht erfolgen, daher auch keine Ports für die Auth. notwendig. Wichtig wäre nur das die VPN Clients den Terminal Server im lokalen Netz erreichen. Wenn der VPN ROUTER aber vor der Firewall ist sind die haben die VPN Clients doch eine 10.x.x.x IP. Sie müssen aber den DC im 192.168.x.x Netz erreichen.

Gibt es da keine Möglichkeit ?

Gruß

Christian

[Operator]

Hi,

dazu müsstest Du deinen VPN Router mit Gateway im 10er Netz konfigurieren und den ISA Server als Router konfigurieren. Dann klappt auch der Zugriff ins 192er Netz.

Andre

[Crockett]

@operator

Hallo kann mich erst leider jetzt zurückmelden :-( hatte viel zu tun.

Ich habe die VPN Router bekommen und soweit eingerichtet. Ich finde aber nirgends eine Möglichkeit dem Router ein Gateway zu verpassen. Weder bei den LAN Einstellungen noch bei den VPN Einstellungen. Wo soll das normaler Weise sein ?

Gruß

Christian

[Operator]

Ich kenn den Router jetzt nicht und das passende Manual finde ich auf der Herstellerwebsite auch nicht.
Aber normalerweise gibt es irgendwo eine Configseite, wo man statische Routen konfigurieren kann.

Schau nochmal nach.

Gruß
Andre

[Operator]

Oder alternativ: Vielleicht unterstützt der Router ja RIP-v2.
Wenn du das auf dem ISA Server auch noch konfigurierst tauschen sich die Geräte untereinander aus, was die Subnetze und das Routing angeht.

Zu bevorzugen ist bei deiner relativ kleinen Konstellation aber eine statische Konfiguration.

Gruß
Andre

[Operator]

Hi nochmals

Beim 811 von Avanis befindet sich der Punkt "Routing" unter "Advanced".
Hilft Dir das?

Andre