Hi heinzumpel, danke für Deine Antwort.
Ich versuchs mal, ist nicht ganz einfach ;-)
Aufgabe ist es, Win-XP-Clients "zu Hause" per VPN mit dem Firmennetzwerk zu verbinden. In der Firma läuft ein Windows 2003-Server als "ich-mach-alles"-Server, also u.a. DC- und RAS-Server.
Problem dabei ist, dass wg. der verwendeten DSL-Router zu Hause und dem Router in der Firma nur PPTP mit Passwort möglich ist, was einen gewissen Unsicherheitsfaktor beinhaltet. Dieser Zugang funktioniert auch schon testweise und mappt die externen Client-PCs ins gleiche Subnetz. Dies hat jedoch zur Folge, dass jeder, der diese Verbindung herstellen kann, sich an den Windows-Systemen im Firmennetz mit Benutzername+Passwort anmelden kann, Netzwerkdrucker einfach so anwerfen kann usw. Das ist dem Verantwortlichen des Netzes mit PPTP zu unsicher.
Idee war es nun, den externen Client-PCs ein anderes Subnetz zuzuweisen, dieses Subnetz auf eine 2. Netzwerkkarte im Server zu routen (bis hierhin gehts), und dann eben die Anmeldung am Server über diese Netzwerkarte NUR mit Zertifikat zu gestatten. Soweit die Theorie.
Problem hierbei ist, dass ursprünglich mal ein 2. VPN-Tunnel im 1. Tunnel gedacht war, dies scheint aber der Router der Firma nicht zu verkraften. Also ist der einzige Unterschied, an der der RAS-Server erkennen kann, ob eine "externe" Einwahl vorliegt, die IP-Adresse, die die externen Clients zugewiesen bekommen.
Alle Klarheiten beseitigt? ;)