3
Über VPN zum Windows Server, vom Windows Server über VPN zum Zielserver?
Ich möchte mich über ein VPN zu meinem Windows VPS verbinden und von dort eine bestehende VPN Verbindung nutzen.
Hallo,
Ich habe derzeit ein Problem und weiß nicht richtig wie ich das lösen soll ..
Eine Firma in den USA hat uns einen VPN Zugang zur Verfügung gestellt. Da sie ihrer Firewall aber nur für eine feste IP-Adresse eine Ausnahme hinzufügen wollen, haben wir uns jetzt einen kleinen Windows VServer zugelegt, von welchem wir die VPN-Verbindung öffnen können.
Nun möchte ich einigen Mitarbeitern die Möglichkeit geben, sich über VPN zum VServer zu verbinden und ihre Datenpakete zum Zielnetz zu schicken.
Quasi so:
Firmennetz <=vpn=> Windows VPS <=vpn=> Zielnetz
Wie stelle ich das am besten an? Brauche ich einfach nur die VPN Verbindung auf dem Windows Server einzurichten, den VPN-Server anzuschmeißen und alles funktioniert?
Oder muss ich da noch rum tricksen? bzg. Routing z.B.?
Danke schonmal ;)
Ich habe derzeit ein Problem und weiß nicht richtig wie ich das lösen soll ..
Eine Firma in den USA hat uns einen VPN Zugang zur Verfügung gestellt. Da sie ihrer Firewall aber nur für eine feste IP-Adresse eine Ausnahme hinzufügen wollen, haben wir uns jetzt einen kleinen Windows VServer zugelegt, von welchem wir die VPN-Verbindung öffnen können.
Nun möchte ich einigen Mitarbeitern die Möglichkeit geben, sich über VPN zum VServer zu verbinden und ihre Datenpakete zum Zielnetz zu schicken.
Quasi so:
Firmennetz <=vpn=> Windows VPS <=vpn=> Zielnetz
Wie stelle ich das am besten an? Brauche ich einfach nur die VPN Verbindung auf dem Windows Server einzurichten, den VPN-Server anzuschmeißen und alles funktioniert?
Oder muss ich da noch rum tricksen? bzg. Routing z.B.?
Danke schonmal ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171371
Url: https://administrator.de/contentid/171371
Printed on: April 19, 2024 at 14:04 o'clock
3 Comments
Latest comment
Dem "Zielnetz" wird ja wohl kaum die IP Netzwerk Adresse des "Firmennetz" bekannt sein und somit auch die Route dahin. Folglich musst du natürlich zwingend eine statische oder dynamische Route einrichten und das auf beiden Seiten logischerweise in so einem kaskadierten Netzdesign. Das gilt natürlich auch für den Rückweg der Pakete muss also auch auf der remoten Seite erfolgen !
Schlimmstenfalls sind auch die IP Adressen gleich, dann musst du zwangsweise auch noch ein Address Translation dazwischen machen. Um das alles beurteilen zu können sind aber deine Angaben viel zu oberflächlich und laienhaft. Da müsste man den Rest im freien Fall raten.
Generell gesehen hast du schon einen Kardinalsfehler begangen und einen Server für die VPN Verbindung beschafft. Ein Server soll "serve(r)n" ist aber kein geeignetes Gerät um Netzwerkverbindungen zu realisieren.
Er ist also generell in sich schon die falsche Hardware und wird dir erhebliche Probleme in so einen Szenario schaffen als sie zu lösen, weil er viele relevante Features dafür gar nicht supportet. Aber ok, deine Entscheidung....
Es kommt aber eben darauf an WAS für ein VServer und WAS für ein VPN Protokoll du nutzen willst. Mit OpenVPN hättest du noch die besten Optionen mit Windows und dem bordeigenen VPN die allerschlechtesten.
Erheblich besser wäre ein VPN Router gewesen der alle 3 gängigen VPN Prokolle supportet oder eine Firewall die das ebenfalls leistet. Damit hätten dir alle Optionen offengestanden und so ein Szenario wäre mit ein paar Mausklicks im Setup im Handumdrehen erledigt gewesen.
Schlimmstenfalls sind auch die IP Adressen gleich, dann musst du zwangsweise auch noch ein Address Translation dazwischen machen. Um das alles beurteilen zu können sind aber deine Angaben viel zu oberflächlich und laienhaft. Da müsste man den Rest im freien Fall raten.
Generell gesehen hast du schon einen Kardinalsfehler begangen und einen Server für die VPN Verbindung beschafft. Ein Server soll "serve(r)n" ist aber kein geeignetes Gerät um Netzwerkverbindungen zu realisieren.
Er ist also generell in sich schon die falsche Hardware und wird dir erhebliche Probleme in so einen Szenario schaffen als sie zu lösen, weil er viele relevante Features dafür gar nicht supportet. Aber ok, deine Entscheidung....
Es kommt aber eben darauf an WAS für ein VServer und WAS für ein VPN Protokoll du nutzen willst. Mit OpenVPN hättest du noch die besten Optionen mit Windows und dem bordeigenen VPN die allerschlechtesten.
Erheblich besser wäre ein VPN Router gewesen der alle 3 gängigen VPN Prokolle supportet oder eine Firewall die das ebenfalls leistet. Damit hätten dir alle Optionen offengestanden und so ein Szenario wäre mit ein paar Mausklicks im Setup im Handumdrehen erledigt gewesen.
Hallo aqui,
Danke schonmal für die Infos. Der VServer soll nicht nur die VPN Verbindung Unterverteilen, sondern auch Exchange und MSSQL bereitstellen.
Als VPN Protokoll wird von der Firma PPTP bereitgestellt. Ein Router wäre zwar sinnvoll gewesen, aber ich möchte den Mitarbeitern ja auch von zuhause
Zugriff auf das VPN Netz geben. Am Fremdnetz kann ich nichts ändern, als Address Translation bringt der Windows Server ja bereits NAT mit (im RAS/VPN Server).
Gibt es dennoch eine Möglichkeit, diese PPTP Verbindung (USA) unterzuverteilen? Welche Technik ich von unserem Firmenserver zu den Mitarbeitern nutze, ist mir eigentlich egal.
(Es handelt sich um einen Windows Server 2003 Datacenter Edition)
Danke schonmal für die Infos. Der VServer soll nicht nur die VPN Verbindung Unterverteilen, sondern auch Exchange und MSSQL bereitstellen.
Als VPN Protokoll wird von der Firma PPTP bereitgestellt. Ein Router wäre zwar sinnvoll gewesen, aber ich möchte den Mitarbeitern ja auch von zuhause
Zugriff auf das VPN Netz geben. Am Fremdnetz kann ich nichts ändern, als Address Translation bringt der Windows Server ja bereits NAT mit (im RAS/VPN Server).
Gibt es dennoch eine Möglichkeit, diese PPTP Verbindung (USA) unterzuverteilen? Welche Technik ich von unserem Firmenserver zu den Mitarbeitern nutze, ist mir eigentlich egal.
(Es handelt sich um einen Windows Server 2003 Datacenter Edition)
Generell kannst du ja mehrere VPN Tunnel im PPTP halten, das ist also nicht das Problem. Es ist letztlich genau dasselbe als wenn sich multiple User mit dem Server verbinden. Netztechnisch gesehen ist da kein Unterschied.
Global gesehen ist das also ein simples Szenario, denn die beiden VPN Verbindungen sind ja nichts anderes als virtuelle Standverbindungen die die beiden Netze über den Server verbinden.
Wenn es nur darum geht den Server als gemeinsamen Verbindungspunkt zu nehmen, quasi als Dialin, ist das Szenario einfach und muss man wohl nicht weiter beleuchten. Aber das ist laut deiner Beschreibung ja letztlich nicht dein Ziel, da du ja die 2 Endnetze darüber verbinden willst.
Zielstellung ist also "Firmennetz" als gesamtes Netz mit "Zielnetz" als gesamten Netz zu verbinden, was ja dann eine LAN zu LAN Kopplung ist. Auch das ist in der Vernetzung nichts groß besonderes. Der Winblows Server kann sowas, sollte dann aber besser als aktiver Part im VPN agieren also aktiv die Verbindungen aufbauen indem er einmal die Verbindung zum "Firmennetz" und einmal die ins "Zielnetz" aufbaut. Da das PPTP dafür eine Point to Point Session verwendet mit /32er Hostadressen ist das technisch kein Thema.
Eine Netzverbindung erfordert aber zwingend auf der Firewall in den USA eine statische Route ins "Firmennetz" mit der VServer IP als next Hop und je nachdem wer oder was die VPN Verbindung im "Firmennetz" annimmt oder realisiert (dazu hast du dich leider bis dato nicht geäußert !) hier ebenfalls eine statische Route ins "Zielnetz" via VServer. Der VServer agiert ja hier letztlich als simpler Router.
Andernfalls ist eine Kommunikation über diesen Server netzübergreifend nicht möglich.
Generell gesehen ist das Konstrukt zwar etwas krumm und umständlich, sollte aber dennoch funktionieren !
Global gesehen ist das also ein simples Szenario, denn die beiden VPN Verbindungen sind ja nichts anderes als virtuelle Standverbindungen die die beiden Netze über den Server verbinden.
Wenn es nur darum geht den Server als gemeinsamen Verbindungspunkt zu nehmen, quasi als Dialin, ist das Szenario einfach und muss man wohl nicht weiter beleuchten. Aber das ist laut deiner Beschreibung ja letztlich nicht dein Ziel, da du ja die 2 Endnetze darüber verbinden willst.
Zielstellung ist also "Firmennetz" als gesamtes Netz mit "Zielnetz" als gesamten Netz zu verbinden, was ja dann eine LAN zu LAN Kopplung ist. Auch das ist in der Vernetzung nichts groß besonderes. Der Winblows Server kann sowas, sollte dann aber besser als aktiver Part im VPN agieren also aktiv die Verbindungen aufbauen indem er einmal die Verbindung zum "Firmennetz" und einmal die ins "Zielnetz" aufbaut. Da das PPTP dafür eine Point to Point Session verwendet mit /32er Hostadressen ist das technisch kein Thema.
Eine Netzverbindung erfordert aber zwingend auf der Firewall in den USA eine statische Route ins "Firmennetz" mit der VServer IP als next Hop und je nachdem wer oder was die VPN Verbindung im "Firmennetz" annimmt oder realisiert (dazu hast du dich leider bis dato nicht geäußert !) hier ebenfalls eine statische Route ins "Zielnetz" via VServer. Der VServer agiert ja hier letztlich als simpler Router.
Andernfalls ist eine Kommunikation über diesen Server netzübergreifend nicht möglich.
Generell gesehen ist das Konstrukt zwar etwas krumm und umständlich, sollte aber dennoch funktionieren !
