Alforno

@grizzly danke dir für die antwort. ich habe den dhcp auf dem server 2003 deaktiviert. Jetzt läuft nur noch der DHCP des Routers. Intern klappt die Einwahl, extern nicht. Ich bekomme am Client immer unterschiedliche Fehler mal 800 mal 678. Hast du nen Tipp wie ich das Problem jetzt weiter eingrenzen kann? Danke. mfg Alforno

Danke Dir. Laut einiger Forenbeiträge soll das in beide Richtungen funktionieren. Werde gleich nochmal die Firmware Version kontrollieren. Ich wollte jetzt den DHCP auf dem Server deaktivieren und unter RAS einen statischen IP Pool anlegen, dass sollte mein Problem doch lösen oder? mfg Alforno

Genau richtig. Der Router soll VPN Passtrough können, sodass bezüglich GRE keine weiteren Einstellungen notwendig sind. Ich denke eher, dass das Problem dadurch entsteht, dass ich aktuell zwei DHCP Server im Netz habe. Noch jemand nen Tipp. mfg Alforno

Hallo, heute klappt wirklich garnichts. Ich habe einen SMC Barricade 7004abr als Router laufen, der soll laut Hersteller vpn passtrough können. Der Router ist DHCP. Die IP des Routers ist: 192.168.2.1 An dem Router hängen zwei Notebooks, die ihre IP vom DHCP des Routers beziehen. Jetzt habe ich heute einen Rechner mit Windows 2003 Server ins LAN eingebunden. Dieser soll als VPN Server fungieren. Auf dem Server läuft ebenfalls der DHCP, ich denke hier liegt der Fehler, dass ich keine VPN Verbindung aufbauen kann. Der Server hat die feste IP: 192.168.2.100 Intern kann ich eine VPN Verbindung aufbauen, von außen nicht. Muss ich den DHCP des Routers deaktivieren und den zwei Notebooks feste IPs geben? Ich möchte nicht, dass die Notebooks über den Server online gehen. Achso, am Router habe ich den Port 1723 TCP auf den Server 192.168.2.100 weitergeleitet, sollte also funktionieren. Der Router hat nach außen eine feste IP. Vielleicht hat ja jemand eine Idee. Danke. mfg Alforno

Danke Dir. Habe es gerade hinbekommen. Der IIS war nicht installiert, dies ist wohl zwingend notwendig. Ich bewege mich da auf völligem Neuland, deswegen hapert es an allen Stellen. Ich habe den Versuch mit IPSec abgebrochen. Werde dann jetzt nen bisschen mit PPTP rumprobieren. Danke. mfg Alforno

Hallo, ich habe einen VPN Server wie in der bekannten Anleitung Gruppenrichtlinien - Übersicht, FAQ und Tutorials ... aufgesetzt. PPTP klappt einwandfrei. Jetzt wollte ich einen Schritt weiter gehen und das ganze gerne auf Zertifikate umstellen. Ich scheitere aktuell an diesem Absatz: Wie kommt nun ein Benutzer an ein Zertifikat? Wenn ich per IE das Zertifikat anfordern möchte, klappt dies nicht. Ergebnis: Seite nicht gefunden. die beiden genannten einträge stimmen bei mir überein, beides steht auf company.local, ist das so in Ordnung oder mache ich da etwas falsch. Was muss ich denn als url eingeben? Danke euch. mfg Alforno

Ich bin gerade auf der Suche nach einer passenden Lösung für ein kleines LAN. Kann jemand zu den Watchguard Geräten (edge serie) preislich mal eine Hausnummer nennen? Nur die grobe Richtung. Danke. mfg Alforno

@franky dann steht aber mein windows server, vielleicht nicht mit einem ganzen aber zumindest nem halben bein im netz. das wollt ich ja gerade verhindern. @frederik ich habe nochmal nach dem von dir angesprochenen vigor gesucht, aber rein garnichts gefunden, weder auf der deutschen seite von draytek noch auf der englischen. Ist das Teil noch nicht draußen oder hast du dich geirrt? bei den draytek hw's gibt es ja eklatante Preisunterschiede. Der DrayTek Vigor 2950 Router kostet so um 500 Euro, der von Dir erwähnte soll 200 kosten. Wie lassen sich solche Unterschiede erklären? Danke. mfg Alforno

Danke Dir. Wie löse ich das Problem, dass man sich dann nicht mittels Boardmitteln mit den VPN Server verbinden kann? Wenn jemand das von außerhalb nutzen möchte um zu arbeiten, dann soll er sich ja auch an der Domäne anmelden, damit die gpos ziehen. Wie wird soetwas realsiert? Danke Dir für deine Mühe. mfg Alforno

@franky Z Ich habe mich mal ein bisschen durch die Standard Tutorials für den IPCop gelesen. Sehr interessant. Allerdings gibt es wohl keine Möglichkeit sich mit Windows Boardmitteln mit dem VPN Server des IPCop zu verbinden. Die Idee mit der DMZ finde ich ja einleuchtend, aber wenn in der Firewall nur die Ports geöffnet werden, die auch benötigt werden, also sagen wir mal VPN, dann hätte ein Angreifer doch nur die Möglichkeit über diesen Port mein System zu kompromittieren. Wenn ich jetzt davon ausgehe, das der IPCop keine Sicherheitslücke hat und mein VPN Server korrekt konfiguriert wurde, dann sollte man das doch als sicher bezeichnen können? Das derjenige, der sich per VPN verbindet, über seinen Client Müll ins Netz bringen kann ist klar. Wenn ich dem Chef aber ne extra Windows Partition erstelle und er diese nur zum Arbeiten im Netz verwendet, dann sollte das doch klappen. Wenn ich es am Wochenende zeitlich schaffe, werde ich mal auf einem alten Pentium II 233 MHz, 64 mb und 20gb platte den IPCop aufsetzen. Kann ich denn trotzdem den DHCP auf dem Windows Server laufen lassen? Oder muss ich zwingend den DHCP des Routers verwenden? Würde gerne auf dem Windows Server den RIS laufen lassen. Danke im Voraus. mfg Alforno

Ich wollte es sowieso so machen, dass er auf seinem privat Rechner auf dem desktop einfach eine Verknüpfung bekommt, mit der sich die ERP-Software starten lässt. Wenn er sich zusätzlich noch an die Domäne anmelden soll, dann mache ich das direkt im Anmeldebildschirm über dfü? Ist das korrekt? Dann bekommt der Rechner ne IP aus dem lokalen Firmennetz und verhält sich somit als würde er direkt am Switch im Büro hängen? Habe ich das so richtig verstanden. Danke euch für eure Mühe. mfg Alforno

@franky Z Klingt ja ziemlich interessant. Wleche Anforderunge an die Hardware? Ich hab hier noch nen Haufen alter Kisten stehen. Kannst mir nochmal nen Tipp geben, wo ich mich informieren kann. Welche Distribution soll ich denn nehmen? Suse? Kann ich mich denn auch mit Windows Boardmitteln mit dem Teil verbinden? Nen Versuch ist es ja Wert. Danke. mfg Alforno

@frederik Danke für deine Mühe. Wie gesagt den 5300 finde ich nirgends, weder bei google noch auf der Herstellerseite. Der Draytek hat aber keinen zusätzlichen VPN Client. Das heißt man kann die Windows Bordmittel verwenden, um eine VPN Verbindung herzustellen. Preislich ist das ja völlig im rahmen, taugt die denn auch was? ;) mfg Alforno

Danke euch beiden für die Antworten. @frederik ich habe gerade nach dem vigor 5300 gegoogelt aber nicht wirklich was passendes gefunden. Meinst du vielleicht den vigor pro 5500? Der spielt aber preislich auch in einer anderen Liga als der FVX538 oder Cisco PIX. Bei dem SMC den wir hier haben, kann ich nur die Firewall ein- oder ausschalten. Sonst lassen sich wohl keine Regeln erstellen:D Bei dem FVX und der Cisco sieht das ja schon anders aus. Was unterscheidet denn nun diese Typen voneinander bezogen auf die Sicherheit? Nehmen wir mal an ich unterbinde Internet und Mail Vekehr fürs Erste und richte lediglich den VPN Server auf meiner HW-Firewall als Endpunkt ein. Was wäre daran dann unsicher oder ein Sicherheitsrisiko? mfg Alforno

Danke. Ja habe ich mir angesehen. Jetzt stellt sich mir aber die Frage was soll ich in die DMZ hängen? Den ganzen Server und die Clients dann hinter den zweiten Router? Gehen wir mal davon aus ich entscheide mich für den SBS. Würde man den dann in die DMZ setzen? Damit würde sich die Sicherheit doch nur für die Clients erhöhen oder verstehe ich das falsch? Oder würde dann der Router als VPN Endpunkt entfallen und ich nehme die Boardmittel vom 2003 Server? Wenn ich mir dein HowTo ansehe, dann würde ich mit meiner angedachten Konfiguration wohl nicht über Szenario 1 hinaus kommen. Nen Webserver brauchen wir nicht. Also doch ne DMZ? Ruhig schlafen möchte ich schon gerne. Schöne Grüße Alforno

@Johannes Danke für die schnelle Antwort. Du schreibst: dass die VPN Verbindung in einer RAS DMZ terminiert wird Kannst du das etwas detaillierter beschreiben? Ist mir nicht klar, wie muss ich mir das vorstelllen? Ich denke ich installiere auf dem Privat Rechner ne zweite XP Version aussschließlich zum Arbeiten im Firmennetz. VPN Verbindung und dann die Clientsoftware der ERP Lösung installieren, dann sollte das klappen. Die Fernwartung kann ich dann per RDP machen. Damit wäre das Thema TS vorerst auf Eis. Deine Aussage mit dem Router kann ich nachvollziehen. Das ist ja auch der Grund warum ich gerne eine HW-Firewall einsetzen möchte. Ich habe mir gestern mal das Handbuch des FVX538 durchgelesen. An der ein oder anderen Stelle müsste ich mir sicherlich nochmal Rat holen aber im Großen und Ganzen denke ich, dass ich das hinbekomme. Vielleicht hilft da ja auch der ein oder andere aus dem Forum. Ich bin mir nur einfach unsicher, ob ich, für meine Bedürfnisse die richtige Firewall wähle. Ich möchte im LAN vorerst das surfen völlig unterbinden. Gerne würde ich aber Mailverkehr zulassen. Ich wäre ja nicht der Erste der auf diese Weise sein Firmennetz ans I-Net anbinden möchte. Aber ruhig schlafen möchte ich weiterhin. mfg Alforno

Hallo, der SMC ist bereits im Einsatz, ich denke aber nicht das der ausreicht um das Netz effektiv zu schützen. Der SMC unterstützt zwar VPN Passtrough aber dann müsste ich den VPN auf dem Server aufsetzen und der Server würde mit einem Bein im Netz hängen. Da ist mir dann eine Lösung mit HW-Firewall die auch als VPN Endpunkt dient lieber. Kann der Chef denn jetzt per rdp arbeiten ohne das ich nen ts aufsetze und mir teure ts-cals zulege? Habe ich das richtig verstanden, dass er dann als Admin im Netz unterwegs wäre? Das möchte ich auf keinen Fall, der ist nämlich etwas 'experimentierfreudig' ohne Rücksicht auf Verluste. Kann jemand nochmal was zu meiner Idee sagen, die zwei Router hintereinander zu schalten. I-Net---->SMC--->FVX538---->Switch-->Server+Clients Erhöht man damit die Sicherheit oder ist das völliger Schwachsinn? Würde mich freuen, wenn ihr mir bei meinen Fragen nochmal etwas unter die Arme greift. Danke im Voraus. mfg Alforno

Da tun sich ja jetzt ganz neue Probleme auf. Wenn ich dich richtig verstehe, ist ein TS zwingend erforderlich um a) remote zu arbeiten und b) die Lizenzrechte nicht zu verletzen? Also einen TS möchte ich nicht aufsetzen, erstens habe ich davon keine Ahnung und zweitens ist die Hardware dafür wohl auch ne Nummer zu schwach. Kann mir denn trotzdem nochmal jemand bestätigen oder eben nicht, dass die Idee mit der Hardwarefirewall als sinnige Lösung für diese Konfiguration anzusehen ist. Ich habe hier noch einen SMC 7004abr stehen, der derzeit die Internetverbindung aufbaut, da sind vier Laptops angebunden, damit die Mitarbeiter ihre E-Mails abrufen können. Könnte man den vielleicht noch sinnvoll in meine angedachte Konfiguration integrieren, Stichwort DMZ. Ist das sinnvoll oder schwachsinnig. Kann man beide Router auch hintereinander betreieben, bringt das eine erhöhten Sicherheitsfaktor oder auch ne Schnapsidee. Freue mich auf Antworten. mfg Alforno

@beeboop danke für die schnelle Anwort. Es gibt für die ERP auch ein Modul, welches mir das bedienen über den Browser ermöglicht, dieses müsste aber vorher erworben werden. Leider sind die Kosten ziemlich heftig, sodass ich nicht denke das in naher Zukunft durchzukriegen. Was meinst du damit: Terminalclient/RDP per VPN? Das ist mir nicht klar, das Wort Terminalclient macht mich etwas stutzig. Ich möchte keinen TS aufsetzen. Ich dachte ich stelle eine vpn Verbindung her und erhalte dann aus meinem LAN eine IP, also so als würde ich direkt im LAN hängen. Jetzt stellt sich mir aber die Frage wie ich nun an meinen Desktop komme. Kann ich dann trotz der bestehenden VPN Verbindung eine Remotedesktopverbindung auf den Client des Chef starten? Das habe ich noch nicht so ganz verstanden. Es ist doch wichtig, dass die Verbindung verschlüsselt ist, oder nicht. Meinst du also das der Netgear für meine Bedürfnisse ausreichend ist? Ich denke einfach das ich solch ein Gerät besser konfigurieren kann als beispielsweise einen ISA oder eine Linux Kiste. Freue mich auf konstruktive Antworten. mfg Alforno

Hallo, ich danke euch für die Antworten. Also eine Internetdomain ist vorhanden und ebenfalls ein DSL-Anschluss mit fester IP. Ich denke auch das ein SBS genau das richtige wäre. Kann mir jemand zu den Kosten eine Hausnummer nennen? Ich möchte gerne auf eine Hardwarefirewall setzen, weil ich denke, das eben auch der ISA nur was taugt, wenn er richtig konfiguriert ist. Sicherlich gilt das gleiche auch für die HW-Firewall aber die Einrichtung eines ISA traue ich mir zur Zeit nicht zu. Zumindest nicht wenn ich weiterhin ruhig schlafen möchte. Mich würde aber weiterhin interessieren, ob die Absicherung durch eine HW-Firewall ausreicht. Also: Internet------>HW-Firewall------>Switch-----Server+Clients Leider hat niemand etwas zu den von mir favorisierten HW geschrieben. Muss ich daraus schließen, das die nichts taugen? Greift er dann per Terminalclient zu oder nur direkt auf die ERP-Lösung, welche ein Frontend hat, das man übers Internet erreicht. Wie meinst du das? Ich stelle mir das so vor, das der Chef sich von seinem privat Client per VPN Client ins Netz einwählt und dann an seinem standardmäßigen Desktop arbeiten kann, als würde er an seinem Schreibtisch sitzen. Macht man das dann per Remotedesktop? Alternativen? Würde mich freuen wenn ihr euch nochmal zu Wort melden würdet. mfg Alforno

Hallo, ich möchte gerne das Netzwerk eines kleinen Unternehmens mit 11 Clients (alle XP Pro) und 1 Server( Windows 2000 Server) ans I-Net anbinden. Auf dem Server läuft eine ERP-Lösung, die mit der Firebird Datenbank arbeitet. Sonst wird nur Microsoft Office 2003 eingesetzt. Der Chef möchte gerne von zu Hause aus, an seiner Arbeitsstation arbeiten. Außerdem soll jeder Mitarbeiter eine eigene E-Mail Adresse erhalten. Das Surfen im Internet soll völlig unterbunden werden. Jetzt stellt sich mir die Frage, nach der Sicherheit. Hierzu würde ich gerne eure Meinungen hören. Im Moment denke ich, dass eine Hardwarefirewall genau das richtige wäre. Ich habe nur begrenzte Kenntnisse in Sachen Linux, sodass ich etwas selbstgebautes wie IPCOP nicht verwenden möchte. Aber welche? Ich habe schon ordentlich das Forum durchstöbert. Ich habe mir bereits den Netgear FVX538, sowie die Cisco PIX 501 etwas näher angesehen. Preislich wären beide voll im Rahmen des Machbaren. Beide wären in der Lage mittels VPN Client eine Verbindung ins LAN herzustellen. Kann man eine solche Verbindng als sicher bezeichnen? Reicht diese Konstellation aus um das Netz abzusichern oder müssen zwingend weitere Massnahmen ergriffen werden (DMZ, ISA)? Die Konfiguration des Cisco ist wohl deutlich schwieriger als beim Netgear. Würde mich freuen wenn ihr mal eure Meinungen posten würdet. Mich würde besonders interessieren ob eine HW-Firewall ausreicht. Danke im Voraus. mfg Alforno

Aber die nachfolgenden Patches kann ich dann nicht einzeln einbinden? Also immer nur den ganzen WSUS "spiegeln" ? Danke Dir. mfg Alforno

Ich stell mir folgendes Szenario vor: Ein Lan ohne Internet-Anschluss, indem unabhängig von dieser Situation ein WSUS eingesetzt werden soll. Ich ziehe mir die Patches manuell aus dem Netz und bringe diese dann händisch in den WSUS damit dieser die Clients im LAN versorgt. mfg Alforno

Danke Dir für die schnelle Antwort. Schade, mal sehen vielleicht hat ja noch jemand eine Idee. mfg Alforno

Hallo, gibt es beim WSUS die Möglichkeit diesen auch offline also nur im LAN zu betreiben und die Patches manuell in den WSUS zu integrieren? Danke im Voraus. mfg Alforno