Jump to content
Sign in to follow this  
quattro Compute

SBS 2003 Lancom "VPN"

Recommended Posts

Hallo zusammen,

ich habe folgendes Problem, bei dem ich den Lösungsansatz nicht sehe oder laufend übersehe und deshalb nicht finde. Wahrscheinlich ist es ganz einfach, aber das sind die meisten Sachen, wenn man weiß wie es geht.

Anforderung: externe VPN Zugriff über einen LANCOM VPN Client auf einen LANCOM Router via WLAN, LAN, UMTS etc. auf eine Arztpraxis in der ein SBS 2003 steht.

 

SBS hat zwei Netzwerkkarten 1. für´s interne LAN 10.100.0.0/24 und die zweite 192.168.10.0/24 für den Lancom-Router (externer Zugriff, Internet)

Was klappt ist, dass ich eine VPN Verbindung auf den Router bekomme und sogar die 2. LAN-Karte im SBS Server pingen kann. Ich kann auch aus dem internen LAN den Router pingen und sogar den VPN-Client.

Was ich aber nicht schaffe ist, dass ich von außen über die VPN ins interne LAN komme.

Ziel soll sein, dass ich per VPN auf den Router und von dort über ein "Routing" in das interne LAN für Dateizugriff, RDP (Branchensoftware) und Outlook (Exchange) komme.

 

Mein Freund, seines Zeichens Checkpoint-Spezialist hatte die ganze Routing Geschichten schon mit mir geprüft und hängt aber am SBS, da er hier nicht so firm ist.

 

Was muss ich wo am SBS einstellen, dass er das 192.168.10.0/24 nach innen durch lässt? Ich denke, dass das Problem im SBS zu finden ist, nur wo zum Teufel muss ich suchen?

 

Vielen Dank,

Gruß

Bernd aus München

Share this post


Link to post
Share on other sites

Hallo Bernd,

 

du mußt dich entscheiden wer die VPN terminieren soll.

Entweder der Router oder der SBS.

 

In deinem Fall würde ich die zweite Karte aus dem SBS herausholen

und den Server mit 1 Karte betreiben. Der Router sichert dein Netzwerk nach aussen

ab und kontrolliert die VPN Zugänge.

 

Möglichkeit 2 wäre dem Router ein VPN Passthrought einzutragen und den

SBS die VPN terminieren zu lassen als Endpunkt. Dann solltest du den angesprochenen

Assistenten ausführen für die Konfiguration des Internetzugangs.

 

BTW: Der SBS ist ein Server 2003, es geht auch alles per Hand zu Fuß wenn es sein soll.

Share this post


Link to post
Share on other sites

Hi djmaker, Servus XP-Fan,

vielen Dank für Eure Unterstützung.

Also den Assi habe ich komplett durchlaufen lassen, das klappt meist beim ersten Mal nicht, aber beim zweiten Mal.

Zu der Terminierung der VPN ... da ich doch per VPN auf dem Router bin, denke ich, dass ich dann ab da als "normaler" Client, wie aus einem anderen Netzwerk komme und hier das Problem ist, dass der SBS von außen keine Anfrage zulässt. Die Pakete von innen heraus erreichen doch meinen VPN Client sogar draußen, das ist ja das verwunderliche. Somit sollte der eigentliche Weg (quais die Terminierung vom VPN) auch nicht das Problem sein. Zugegeben, ich habe die zwei Netzwerkkarten deshalb, weil ich bislang der Meinung war, dass ich dadruch eine bessere Sicherheit/Kontrolle über das interne LAN und die externe Geschichte bekomme. Bei einem Arzt ist das nicht zu vernachlässigen. Sicher ist, dass ich eine Firewall auf dem SBS habe und eine auf dem Router. 2 FW unterschiedlicher Hersteller sollten doch eine erhöhte Sicherheit darstellen. Ich abe über den Assistenten die FW auf dem SBS schon komplett ausgeschaltet, dann kommt ja auch die Meldung, dass nun eine externe FW die Funktion übernehmen sollte weil ... Sicherheit ... aber das ist ja bekannt.

Es sollte meine ich der Fehler auf dem Weg von "außen" nach "innen" liegen, dass der Server mit den Paketen nicht weiß wohin zurück. Kann es eine NAT oder so etwas sein, die ich bislang beim SBS noch nicht beachtet habe?

Gruß

Bernd aus München

Share this post


Link to post
Share on other sites

NAT könnte das Stichwort sein. Die Konfiguration des RRAS kannst Du in der RRAS-Konsole sehen. Wenn er NAT durchführt, wundert es mich nicht, dass von innen zum VPN-Client alles funktioniert, vom Client nach innen aber nicht. Wenn Du vom Client aus auf dem Router terminiert wirst, stehst Du eigentlich immer noch aussen (vom SBS aus gesehen). Wenn der SBS NAT durchführt, musst Du in der RRAS-Konsole unter "Dienste und Ports" die entsprechenden Ports nach innen leiten und vom Client aus bei Zugriff die externe Adresse des RRAS ansprechen. Der RRAS bietet auch die Möglichkeit, eine Range anzulegen und abhängig von der IP-Adresse Ports nach innen zu leiten (falls Du mehrere z.B. RDP-Server von aussen ansprechen möchtest).

Die schon angesprochene Möglichkeit, dass der Server nur eine Karte hat oder das VPN selbst terminiert, macht die Sache schon einfacher ...

Share this post


Link to post
Share on other sites

Hi IThome,

ich habe etwas Zeit gebraucht um mir einen Testserver mit 2 LAN-Karten und dem gleichen Szenario wie beschrieben aufzubauen. Leider stehe ich genauso da wie bei meiner Prod.Umgebung und komme auch ohne den Router nicht groß weiter.

Ich verstehe das NAT so, dass es notwendig ist, damit man von innen nach außen mit einer IP "sichtbar" ist und nicht mit der eigenen privaten.

Ohne NAT funktioniert mein Internet nicht, liegt vielleicht daran, dass hier das GW noch der Server ist und noch nicht der Router selber.

Ich habe vor, doch auf eine LAN Karte am Server zu gehen und würde dann das GW auf den Router legen, der dann die einzige FW ist. Oder hat jemand einen Einfall, warum ich hier diese Probleme habe.

Eine weitere Frage wäre, ob ich hier mit meiner Denkweise richtig liege, dass ich mit zwei Karten "sicherere" wäre als mit einer, wenn ich, damit es mit zwei funktioniert die Tore aufmachen muss, dann bin ich mit einer genauso dran und erleichtere mir die Administration.

Vielleicht hat aber auch jemand einen tollen Hinweis wo ich mich noch schlau machen könnte um die Aufgabe evtl. doch mit den beiden Karten zu lösen.

Am VPN selber liegt es nicht, da ich ja quasi scho im Netz bin aber halt nach "außen" vom Server gesehen.

 

Gruß

Bernd

Share this post


Link to post
Share on other sites

Wenn Deine Clients als Default Gateway den SBS haben und der trotz zweier Netzwerkkarten kein NAT mehr macht (reines Routing), kann das Internet nicht mehr funktionieren. Das Problem ist in diesem Fall der Internetrouter, der den Weg in das interne Netzwerk über die externe Schnittstelle des SBS nicht kennt (es findet keine Adressumsetzung seitens des SBS statt, der Internetrouter ist an das interne Netzwerk nicht direkt angebunden). Sind die Clients und der SBS direkt via Switch mit dem Inetrouter verbunden und haben ihn auch als Deafult Gateway eingetragen, klappt es auch mit dem Internet. Wenn der SBS zwischen Clients und Router steht, nur noch routet (ohne NAT), dann muss auf dem Internetrouter eine statische Route definiert oder ein Routingprotokoll wie RIP eingesetzt werden.

Du kannst beide Karten einsetzen und auch NAT, solltest dann aber auf dem SBS das VPN terminieren und nicht auf dem Inetrouter. Terminierst Du auf dem Router und setzt NAT auf dem SBS ein, musst Du so viel nach innen leiten, dass Du Dir das auch sparen kannst (ich denke, dass das ohne weiteres gar nicht durchführbar ist, da Du innen wahrscheinlich mehrere Rechner mit gleichen Ports ansprechen musst). Setzt Du im SBS beide Karten ein und führst nur LAN-Routing durch, kannst Du nur noch durch Paketfilter absichern. Und auch hier musst Du eine Menge durchlassen, damit Deine Anforderungen erfüllt werden können ...

Share this post


Link to post
Share on other sites

Hi IThome,

ok, vielen Dank noch mal für die Zusammenfassung und Bestätigung. Ich werde die zweite Karte aus dem SBS nehmen und nur noch über den Router gehen und dort die Sicherheit halten.

Es war ja eigentlich nur meine Verbissenheit, die zustätzliche Sicherheit haben zu wollen, die ja dann gar keine mehr ist.

Ich habe aber wieder viel gelernt und das war es auch Wert.

Viele Grüße aus München

Bernd

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...