Notarzt 10 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Hallo Leute, Wir haben hier einen RRAS-W2k3-VPN-Server. Mein Chef möchte das von Extern nur die Rechner die Domänenmitglieder sind eine VPN-Verbindung aufbauen können. Wie kann ich das einrichten ohne einen aufwendigen Zertifikatsserver installieren zu müssen? Danke euch und LG! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Juli 2008 Melden Teilen Geschrieben 30. Juli 2008 Um Zertifikate wirst Du nicht herum kommen. Im Übrigen sind es Benutzerzertifikate, die bei PPTP benutzt werden ... Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 31. Juli 2008 Melden Teilen Geschrieben 31. Juli 2008 hey, muss es denn zwingend pptp sein? bei l2tp kannst du das ganze mit computerzertifikaten machen.. zwar nich unbedingt das schönste - aber würde ja deiner anforderung entsprechen, oder? ;) mfg Zitieren Link zu diesem Kommentar
Notarzt 10 Geschrieben 13. August 2008 Autor Melden Teilen Geschrieben 13. August 2008 Da schreibe ich einen Thread und vergesse ihn dann...,:suspect: Der liebe Stress.. Lustig das es nicht möglich ist per GPO den Zugriff nur auf Domänen-Rechner zu beschränken. Wenn es eine derartige Lösung geben würde, die VPN-Authentifizierung würde mann damit wohl nicht verhindern, jedoch den Zugriff auf Freigaben etc. Wäre wohl aber keine saubere Lösung. Es muss kein PPTP sein, jedoch brauche ich dann für L2TP eine Zertifizierungstelle was ich eigendlich nicht wollte, denn Computerzertifikate kriege ich ja auch nur von der ZS oder? LG @skippa Was wäre denn die "schönere" Variante? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. August 2008 Melden Teilen Geschrieben 13. August 2008 Das ist die "schöne" Variante, weil die sicherste ... Zitieren Link zu diesem Kommentar
Notarzt 10 Geschrieben 13. August 2008 Autor Melden Teilen Geschrieben 13. August 2008 Ich verstehe aber nicht ganz welche Variante skippa als "nicht die schönste" bezeichnet. ? LG Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. August 2008 Melden Teilen Geschrieben 13. August 2008 Ist mir aber auch vollkommen schleierhaft ... Eventuell hat er was gegen L2TP/IPSec in Verbindung mit dem Windows-Client im Gegensatz zu IPSec-Clients von Safenet oder NCP (Rate mal mit Rosenthal :D). Naja, vielleicht gibt´s ja noch ´ne Erläuterung ... Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 28. September 2008 Melden Teilen Geschrieben 28. September 2008 Ist mir aber auch vollkommen schleierhaft ... Eventuell hat er was gegen L2TP/IPSec in Verbindung mit dem Windows-Client im Gegensatz zu IPSec-Clients von Safenet oder NCP (Rate mal mit Rosenthal :D). Naja, vielleicht gibt´s ja noch ´ne Erläuterung ... :jau: sorry, bin iwie nur sporadisch hier online ;-) joa.. mag den windows-client nicht so unbedingt :D ansonsten mit zertifikaten wäre schon die schönste und sicherste lösung - das stimmt ;) mfg Zitieren Link zu diesem Kommentar
burschi 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hallo zusammen, habe das gleiche Problem und bin dabei über Euren Thread gestolpert. Wie wäre es denn, wenn man in den RAS Richtlinien, in denen ja die Gruppe "Mobile Users" als einwahlberechtigt hinterlegt ist, um die Gruppe "Domänencomputer" erweitert? Hätten dann nicht nur noch Clients Zugriff, die in der Domäne bekannt sind? Ich kann das hier leider gerade nicht wirklich sicher testen, denn ich arbeite remote auf dem System und hab kein Lust mich selber auszusperren :-) Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hallo zusammen, habe das gleiche Problem und bin dabei über Euren Thread gestolpert.Wie wäre es denn, wenn man in den RAS Richtlinien, in denen ja die Gruppe "Mobile Users" als einwahlberechtigt hinterlegt ist, um die Gruppe "Domänencomputer" erweitert? Hätten dann nicht nur noch Clients Zugriff, die in der Domäne bekannt sind? Ich kann das hier leider gerade nicht wirklich sicher testen, denn ich arbeite remote auf dem System und hab kein Lust mich selber auszusperren :-) interessanter ansatz - vermute aber, dass du das nicht per IAS abfangen kannst... (kann das wer bestätigen? :D) mfg Zitieren Link zu diesem Kommentar
burschi 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hi, der existiert da nicht - bisher. Über Sicherheit kann man ja streiten, aber bisher ist mir mit diversen Umgebungen auch nach fünf Jahren nix passiert. Aber darum gings hier ja auch nicht... :-) UPDATE -> das Setup einer Testmaschine läuft schon... prüfe es ggf. selber nach. Ob ich das aber heut noch mach *gähn*... Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 hey! habe eben mal in nen IAS reingeschaut... also du kannst nur windows-benutzergruppen angeben, keine allgemeinen mitgliedschaften.. also fällt der punkt "domänen-computer" raus, so wie ich es mir schon gedacht habe ;-) mfg Zitieren Link zu diesem Kommentar
burschi 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 wobei ich mich dann ernsthaft frage, wofür ich das in der Policy definieren kann/darf, wenn es eh nix bringt....:confused: Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 wobei ich mich dann ernsthaft frage, wofür ich das in der Policy definieren kann/darf, wenn es eh nix bringt....:confused: was defnierst du denn? eine windows-benutzergruppe namens domänen-computer? mfg Zitieren Link zu diesem Kommentar
burschi 10 Geschrieben 30. September 2008 Melden Teilen Geschrieben 30. September 2008 ja, da steht ja bisher die Gruppe "Mobile-Users" drinnen. Wenn Du im AD in den RAS Eigenschaften des Users die Option "Zugriff über RAS Richtlinien steuern" auswählst, dann zieht genau das. Ist er nicht in der Gruppe - keine Einwahl. Zusätzlich zur Gruppe "Mobile Users" kann ich da auch jede andere Gruppe reinsetzen. Nur ob das zieht oder nicht, das ist die Frage. Zum experimentieren ist mir das zu doof, denn zum Kunden muss ich 60 KM fahren und der Server Zuhause ist noch nicht soweit... bisher. – ja, da steht ja bisher die Gruppe "Mobile-Users" drinnen. Wenn Du im AD in den RAS Eigenschaften des Users die Option "Zugriff über RAS Richtlinien steuern" auswählst, dann zieht genau das. Ist er nicht in der Gruppe - keine Einwahl.Zusätzlich zur Gruppe "Mobile Users" kann ich da auch jede andere Gruppe reinsetzen. Nur ob das zieht oder nicht, das ist die Frage. Zum experimentieren ist mir das zu doof, denn zum Kunden muss ich 60 KM fahren und der Server Zuhause ist noch nicht soweit... bisher. Tolle Wurst - das juckt den Server nicht die Bohne. Hab die Gruppe Domain-Computers nun auf dem Testserver drinnen - die Einwahl klappt nach wie vor. So ein Mist.... Da ich aber eine Lösung brauche, kann ich hier nun gleich mal versuchen den Umstieg auf L2TP zu probieren... Falls mir da jemand eine gute Anleitung hat - her damit und Danke schon jetzt :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.