darkhawk 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 Du wirst schon Firewall Regeln erstellen müssen das die Zugriffe über die VPN-Leitung die Ports für Remotedesktop und Terminal Server Dienste benutzen dürfen. Du möchtest diese Ports doch hoffentlich nicht für die ganze Welt freischalten? Gruß Michael Zitieren Link zu diesem Kommentar
Wordplex 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 Nein, Du musst nicht! Ein VPN verbindet 2 Netzwerke transparent miteinander; Du kannst es vergleichen mit einem LAN, in dem Du Arbeitsstationen mit 2 verschiedenen IP-Ranges hast (also z.B. 192.168.0.x und 192.168.1.x). Und hier kannst Du auch jede Adresse direkt erreichen, ohne irgendwo Ports mappen zu müssen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 Sicher kann man VPNs auch einschränken. Ob man sowas mit Hilfe von Tunnelregeln oder Firewallregeln macht, hängt vom eingesetzten VPN-Gateway ab. Ein Portmapping im Sinne von NAT wird aber nicht durchgeführt. Nur wenn per Default irgendeine ANY-Regel gilt, muss nichts freigegeben werden, Deine Aussage stimmt so also nicht ... Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 @Wordplex das stimmt so nicht! Bei der DFL und auch anderen vergleichbaren Hardware Firewall/Router lösungen sind auch interne Bereiche per default gesperrt. Und dann ist es ein Unterschied ob das eine Netz 192.168.0.1 und das andere 192.168.1.1 ist. Bei der DFL muss man explizit ein Objekt für 192.168.1.1 anlegen und dieses genehmigen. Also nichts mit transparent. Per Default ist hier alles gesperrt sowohl ein als auch ausgehend. Man muss definitiv alles was man benötigt erst aufmachen, und auch explizit angeben für welche Bereiche. Da bei der DFL aber alles mit Objekten angelegt wird geht das ganze sehr komfortabel. So muss man also explizit die Ports für RemoteDesktop und dem Terminalserver aufmachen und zwar für beide Netze. Und nur diese und nicht etwa auch WAN weil man das ja nicht möchte. Aber wie gesagt der Netgear Router ist eben auch Spielzeug, hier dürfte die Konfiguration um einiges leichter ausfallen. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 9. März 2007 Autor Melden Teilen Geschrieben 9. März 2007 Danke für die Antworten. Hey danke für das "Spielzeug", ihr seid gemein :-) Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 @Canni Du weißt sicher wie das gemeint ist :) :) Das ist wie etwa der 3er Golf zum 530er BMW ;) Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 10. März 2007 Autor Melden Teilen Geschrieben 10. März 2007 Haltet ihr generell von Netgear nichts? Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 10. März 2007 Melden Teilen Geschrieben 10. März 2007 @Canni nein so kann man das nicht sagen. Ich verwende im Privatbereich bei Bekannten auch Netgear oder Linksys (Vorzugsweise Linksys). Aber im professionellen Einsatz habe ich noch niemals Router eingesetzt die man im MediaMarkt kaufen kann! Eine Cisco Pix oder eine Fortigate z.B. bekommst Du ja auch nicht im MediaMarkt, dass sind halt einfach professionelle Anwendungsbereiche. Ist halt immer so eine Sache, was man will, und wieviel Wert man auf Sicherheit legt. Gruß Michael Zitieren Link zu diesem Kommentar
Wordplex 10 Geschrieben 10. März 2007 Melden Teilen Geschrieben 10. März 2007 @Wordplex das stimmt so nicht! @darkhawk, meine Aussage gilt für die DFL-200/700/1100; Deine Aussage gilt für die DFL-800 etc. Da sieht man mal wieder: VPN ist nicht gleich VPN und DFL ist nicht gleich DFL! :D Und vor allgemeinen Äußerungen sollte man sich (= ich) alles dreimal überlegen.... Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 10. März 2007 Melden Teilen Geschrieben 10. März 2007 @Wordplex Du hast Recht die DFL200/700/1100 Reihe ist absolut nicht mit der DFL800/1600/2500 Reihe vergleichbar. War übrigens vor einigen Tagen bei einem Kunden der an seinen Standorten die 200er Reihe im Einsatz hat. Anbindung von WinXP, Linux und MacOSX Clients die eine PPTP Verbindung zur DFL aufbauen soll. VPN Server zuzüglich VPN-User Verwaltung soll die 200er machen, es war nicht gewünscht das dies der 2k3 Server übernimmt. Ich hätte Bäume ausreisen können vor Wut über die mickrigen Möglichkeiten der 200er DFL. So hat die doch tatächlich keine VPN Verbindung von Clients angenommen wenn der Client genattet war. Die 200er ist mehr etwas für den Heimbereich für jemanden der etwas mehr Features wünscht als bei nem normalen MediaMarkt Router, aber nicht die Kohle für die 800er hat. Zitieren Link zu diesem Kommentar
Wordplex 10 Geschrieben 10. März 2007 Melden Teilen Geschrieben 10. März 2007 So hat die doch tatächlich keine VPN Verbindung von Clients angenommen wenn der Client genattet war. ???? Was heißt das? Das solltest Du mir mal in Ruhe erzählen, vielleicht kann ich Dir da helfen. VPN Server zuzüglich VPN-User Verwaltung soll die 200er machen, es war nicht gewünscht das dies der 2k3 Server übernimmt. Das machen wir auch so (700/1100): Dafür sind die Dinger prädestiniert; der 2k3 sollte entlastet werden, wo es irgendwie geht. Die 200er ist mehr etwas für den Heimbereich für jemanden der etwas mehr Features wünscht als bei nem normalen MediaMarkt Router, aber nicht die Kohle für die 800er hat. Einspruch! Klar ist die 800er noch eine Ecke besser als die ältere Serie; aber 1. hast Du die 200er auch nicht bei "geilen Geizigen" bekommen und 2. sind die Eckdaten erheblich besser als bei anderen mir bekannten VPN-Routern (z.B. das eigene OS, die Consolenmöglichkeiten, eigener Prozessor und natürlich auch die Einstellmöglichkeiten)! Und die 1100er (ca. 2500,--) ist kaum als "besserer Router" zu bezeichnen....:cool: Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 12. März 2007 Autor Melden Teilen Geschrieben 12. März 2007 Okay, Serverentlastung ist ein Argument. Aber bei uns wählen sich insg. (und nicht gleichzeitig!) ca. 10 User ein. Da gibts doch nix zu entlasten :-) ? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 13. März 2007 Autor Melden Teilen Geschrieben 13. März 2007 hmmm ich hab das alles jetzt mal provisorisch in Betrieb genommen. Allerdings komm ich derzeit komischerweise nicht auf den Router. So weit, so gut. Welche Adressbereich ich für was vergeben habe wisst ihr ja. Aber muss der "DHCP" Server aufm Server trotzdem aktiv bleiben? Ja, wegen VPN-Clients, oder? Oder soll ich dem Router am Standort A (wo auch der Server steht) sagen, dass er alle Anfragen an den Server schicken soll, also nur ein DHCP Server? Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 13. März 2007 Melden Teilen Geschrieben 13. März 2007 Standort A : Windows Server als DHCP Standort B : Router als DHCP Clients von Standort B bekommen IP vom Router von Standort B. VPN-Verbindungen sollten die Clients ja nicht mehr aufbauen müssen vom Standort B aus da dies die Router erledigen. Das wäre nur wenn Sie per Datenkarte oder einem anderen Internetzugang Zugriff aufs Firmennetz haben möchten. Dies ist aber ein anderes Thema. Die Clients am Standort verbinden sich ganz normal mit dem TS in das Netz von Standort A. Den Verbindungaufbau zwischen Standort B und A sollten die Router untereinander erledigen. Wenn Router B keinen Tunnel zu A aufbaut dann hast Du was falsch konfiguriert. Bei richtiger Konfiguration erkennt der Router den Zugriff auf das Netz von Standard A, baut den Tunnel auf und leitet die Anfrage an den Router von Netz A weiter. Hier müssen "normalerweise" entsprechende Firewallregeln definiert werden die diese eingehende Verbindung von Standort B auf den TS erlauben! Gruß Michael Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 14. März 2007 Autor Melden Teilen Geschrieben 14. März 2007 Hi, bei Standort B bin ich noch garnicht :-) Es geht lediglich darum, dass ich den DHCP-Server von Microsoft Server 2003 deaktiviert habe. In Ordnung? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.