Jump to content

mehrere Standorte per VPN verbinden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich brauch mal Eure Hilfe. Habe bei einem Kunden gerade jede Menge Hardware eingeführt.

Und zum Abschluss hatte dieser Kunde noch eine Aufgabe für mich, er hat zum zentralen Standort noch 2 andere Standorte. An allen drei Standorten bekommt er diese Woche Internet mit fixer IP Adresse.

 

Am Zentralstandort hab ich einen Domänencontroller und einen Terminalserver eingerichtet sowie alle Clients in die Domäne gehängt. Exchange wurde auch noch aufgesetzt, soweit so gut.

 

Es soll aber möglich sein das die anderen beiden Standorte per VPN mit dem Hauptstandort verbunden sind, die Rechner der anderen Standorte in die Domäne integriert werden, sie Zugriff auf Exchange sowie dem Terminalserver haben.

 

An allen drei Standorten habe ich eine Hardwarefirewall von D-Link zur Verfügung Typ D-Link Network Security Firewall DFL-700. 3 LAN Ports, 1 DMZ Port, 1 WAN Port. VPN-fähig.

 

Ließe sich das Szenario mit diesen D-Link Firewalls realisieren? Und wenn ja wie funktioniert das ungefähr?

 

Vielen Dank für Eure Hilfe, bräuchte soviele Tips wie möglich, bis zum Wochenende.

 

Danke Euch

Liebe Grüße

Michael

Link zu diesem Kommentar

soweit ich das auf die schnelle sehen konnte unterstützen die DLink Dinger das Herstellen von VPN Tunneln...soweit so gut, also ist eine Anbindung generell erstmal möglich.

 

Das was mir Kopfschmerzen bereitet ist die Integration der Clients in die Domäne über den VPN Tunnel...da gibt es soweit ich mich erinnere immer Probleme bei. Aber vielleicht kennt da jemand einen sicheren Weg dafür...ist bei mir schon zu lange her, dass ich das probiert habe!

Link zu diesem Kommentar

An welche Art von Probleme denkst Du?

 

Also in der Firma wo ich arbeite jetzt unabhängig von dem Kunden, verbinden wir uns mit die Notebooks über Internet mit dem Firmennetzwerk. Ich kann wunderbar mit der Domäne und Exchange arbeiten. Die Geschwindigkeit ist halt ein Faktor.

 

Daher hab ich dem Kunden auch gesagt ich würde nur Outlook direkt über VPN mit dem Exchange laufen lassen. Alle anderen Anwendungen am Zentralstandort nur über Terminalserversitzung bedienen da werden nur die Bildschirminhalte übertragen.

 

Ansonsten denke ich wird Subnetting noch ganz wichtig um nicht mit Broadcasts im VPN-Tunnel überschwemmt zu werden.

Da ich das noch nie so intensiv betrieben habe, hab ich ein wenig Kopfweh. Die D-Link Dinger müssen sich also untereinander verbinden und mit dem Zentralnetz 192.168.0.0 kommunizieren können, PDC muss über dieses Netz erreichbar sein.

Meine Vorstellung war Standort Zentrale ist ja 192.168.0.0, Standort a) soll durch Firewall ein Subnet kriegen 192.168.1.0 und Standort b) 192.168.2.0...... Firewall muss halt dann richtig routen können.

 

Leichter gesagt wie getan oder?

 

Liebe Grüße

Michael

Link zu diesem Kommentar

Was Du vorhast ist ja nichts Ungewöhnliches. Ich mache sowas mit Watchguard-Produkten, die Zweigstellen und die Hauptstelle werden via Site-to-Site VPN miteinander verbunden.

In einem konkreten Fall waren es auch 2 Zweigstellen, die auf die Terminalserver in der Hauptstelle zugreifen. Die Rechner der Zweigstelle wurden aber nicht zum Mitglied der Domäne in der Hauptstelle , sondern führen alle Anwendungen via Terminalserver aus (auch Outlook) . Auf dem VPN-Gateway der Hauptstelle wird ausschliesslich RDP für die Zweigstellen erlaubt.

Die Subnetze solltest Du so konfigurieren, dass Du pro Standort ein eigenes Subnetz hast, aber nicht wegen der Eindämmung der Broadcasts (die die Router normalerweise nicht passieren sollten), sondern um keine Routingprobleme zu bekommen.

Link zu diesem Kommentar

Na mal sehen wie ich das hinbekommen werde. Learning by Doing *ggg*

 

Mal sehen wie die D-Link Geräte aufgebaut sind, sind noch nicht angeschlossen und ich hab mir das Webinterface noch nicht ansehen können.

 

Super wäre es wenn eine Firewall einen VPN-Server machen könnte. Und die anderen beiden Firewalls eher Client spielen und sich zu dem VPN-Server verbinden.

Also so als würden WinXP Clients sich zu nem VPN-Server verbinden...

 

Müsste doch gehen so oder?

 

Liebe Grüße

Michael

Link zu diesem Kommentar

Du benutzt IPSec im Tunnelmodus. Die Gateways bauen untereinander eine Verbindung auf. Wenn der Client eine Verbindung zu einem entfernten Computer machen möchte, schickt er das Paket an sein (VPN)Gateway, anhand der Security Policy stellt das Gateway fest, dass zu dem Punkt X ein Tunnel erzeugt werden muss. Über diesen Tunnel werden die Pakete ausgeliefert und zurück transportiert. Bei den Produkten, die ich einsetze, kann ich über Tunnelregeln festlegen, von wo aus ein Tunnel aufgebaut werden darf, ob das die D-Links können, weiss ich leider nicht (aber grundsätzlich eine verschlüsselte IPSec Tunnelverbindung aufbauen können sie sicher)

Link zu diesem Kommentar

Ein Site-to-Site VPN zwischen den Firewalls ist vorzuziehen da es einfach sicherer ist.

Ich kenne das Gerät nicht aber im groben 2 Tunnel in der Hauptstelle zu den jeweils anderen erstellen und in den anderen jeweils den in die Hauptstelle.

Im einfachsten Fall läuft das über Shared Secret...

 

Ich denke das wird bei d-link nicht so schwer sein...

 

 

Mit Domänen gibt es zum Teil Probleme besonders wenn kein Domänenkontroller im Standort ist. Der Client versucht bei der Authentifizierung relativ große Packete an den DC zu senden...

jedoch treten die besonders bei Herstellerübergreifenden Lösungen auf.

Link zu diesem Kommentar

Hallo Leute, habe die drei Standorte miteinander verbunden.

War einfacher als ich geglaubt hatte.

Wahnsinn. Und gerade bei der dieser Sache hätte ich mir die größten Schwierigkeiten gedacht.

 

Von allen Standorten kann ich jeweils den anderen Standort erreichen.

Die D-Link Dinger sind wirklich "relativ" einfach zu konfigurieren, vorallem weil beim anlegen der VPN-Tunnel das Gerät auch automatisch die richtigen Firewall Policys erstellt. Verschlüsselung 3DES hatte das Gerät schon automatisch eingestellt.

 

Zugriff kann explizit nur von den Standorten erfolgen (LAN-to-LAN).

 

Danke für Eure Hilfe,

seit gestern bin ich erleichtert, dass das so Problemlos läuft.

 

Liebe Grüße

Michael

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...