Proxy Server - Win Server 2003

[speedcOre]

Hallo liebe Forumbase!

Ich bin mir nicht ganz sicher, ob der Thread in diesem Forum richtig liegt, mir erschien auf Anhieb aber auch kein anderes Unterforum sinniger. Also entschuldigt, falls ich falsch liege ;-)

So viel vorneweg. Nun meine Frage.

Ich verwalte neben meinem Studium nebenbei Server, Firewall und Netzwerk für eine kleine Firma eines bekannten, was eigentlich problemlos läuft, doch heute wurde ich mit einer Aufgabe konfrontiert, die ich so mit meinem Wissen nicht wirklich lösen kann.

Und zwar ist angefordert, dass ein Mitarbeiter an einem Außenstandort (Düsseldorf!) über seine normale Internetleitung mit einer IP aus unserem Kölner Firmennetz nach außen, also ins Internet, geht.

Könnt ihr mir dabei behilflich sein? Sprich, was muss ich dafür einrichten, welche Software ist ggf. von Nöten, welche Einstellungen muss der Kollege bei sich am PC vornehmen etc. ?

Über euren Beistand würde ich mich sehr freuen und bedanke mich herzlichst im Voraus! ;-)

Beste Grüße,

Sebastian

 

[Domski]

Sollte so etwas nicht mit einer normalen VPN Verbindung realisiert werden können?

 

[marcol1979]

Er soll, über seine eigene Internetverbindung, eine Verbindung ins Firmennetzwerk herstellen und über das Firmennetz ins Internet gehen ?
Was soll das für einen Sinn haben ?

Oh, du meinst eine Aussenstelle, mein Fehler.
Ja, dafür brauchst eine Site-to-Site VPN Verbindung.
Dazu müssen die Router die Zugang zum Internet herstellen am besten diese VPN Funktion integriert haben.

Was auch noch möglich wäre, für maximal Sicherheit, wäre eine PPP Verbindung, zb. FrameRelay.
Ist natürlich eine Kostenfrage und kommt auf die Umgebung an.

 

[em.tie]

Hallo zusammen,
dass kann viele Gründe haben, einige wären die Durchsetzung von Firmenpolicys im Bezug auf die Internetkommunikation (bspw. ist die Sicherheit des Rechners hinter dem Proxy einfacher zu gewährleisten, außerdem kann so über proxy filter sichergestellt werden, dass nur firmenrelevante Dinge über das Gerät laufen, und vieles mehr).
Aber ich muss meinen Vorredner Recht geben, du benötigst zunächst eine VPN Verbindung bzw. Firewall Site-to-Site Anbindung und entsprechende Routingregeln. Der Client muss dann schlussendlich "nur" noch den entsprechenden Proxy Eintrag via Group Policy oder ähnlichem bekommen. Die Frage ist nur, wie der Außendienstkollege ins Internet gelangt. Hat er einen Router (bspw. eine Fritzbox oder ähnliches) dort, der die entsprechenden VPN Feature zur Verfügung stellt, oder geht er direkt ins Internet ohne Router, in dem Fall würde ein Software VPN Client langen? Hat die Firma eine feste IP Adresse? Kann die Firmenfirewall SSLVPN out of the box? Sind DYNDNS Registrierungen von Nöten, weil die Firma keine feste IP hat....
Ich persönliche habe OpenVPN für die Anbindung meines Notebooks via UMTS an mein LAN daheim im Einsatz und nutze privoxy mit TOR als Proxy :-)
Die OpenVPN Konfiguration ermöglicht wunderbarerweise alles was das Herz so begehrt (Routing weiterreichen von DNS Server (für die Kommunikation mit dem FirmenLAN via Namen und nicht IP ), zertifikatbasierte Authentifizierung, AES256 Verschlüsselung usw....

Gruß em.tie

Ergänzung (27. September 2010)

... kleiner Nachtrag, eventuell solltest Du, wenn der Proxy der ISA von MS ist bedenken, dass der Client in der Domäne sein sollte, zwecks AD integrierter Authentifizierung. Ist kein muss, aber macht die Sache für den User etwas einfacher, es sei den du hast IP Adress basierter Authentifierzung bzw. Authentifierzung überhaupt an...

 

[speedcOre]

Also mit einem einfachen VPN-Client ist es komischerweise nicht getan.

Das habe ich schon bei mir selber getestet.
Wir reden hier von einer Astaro Firewall, und wenn ich mich mit dem Astaro SSL VPN Client ins Firmennetz einwähle, so habe ich laut www.ipschwein.de (oder beliebigen anderen IP-Adressauskünften) nach wie vor die IP nach außen, die ich von meinem eigenen Router zu Hause bekomme, wenngleich mir der VPN Client sagt "IP xx.xx.xx.xx. assigned" ...

Ideen?

Beste Grüße

Sebastian

 

[marcol1979]

Du musst deinem VPN Server sagen das, falls die VPN Verbindung aufgebaut ist, sämtlicher Internet Traffic über ihn gehen soll.
Bei OpenVPN gibts dafür zb. eine Einstellung.
Wenn die Ausstelle in Zukunft nur noch über VPN ins Firmennetz/Internet soll musst du sämtlichen restlichen Traffic per ACL blocken!

 

[speedcOre]

Ist in der Firewall eigentlich so angegeben. Also eine Paketfilterregel, die sämtliche Aktionen des VPN Benutzerpools unter Zugriff auf den Server erlaubt.

 

[BasCom]

nene du musst bei von client angeben das sämtlicher traffic ueber das vpn netz gehen soll. an sich sollte der vpn client die feualt route löschen und eine neue anlegen die aufs gateway des vpn servers zeigt.
also sieh dir, wenn du eingeloggt bist mal die routing tabelle an.

 

[marcol1979]

Bei OpenVPN stellt man das beim Server ein, siehe Bild.
Sobald ein Client sich verbindet wird aller Traffic über das VPN geleitet.

 

[em.tie]

wahlweise kann man aber auch den proxy server einfach im Browser bzw. unter Systemsteuerung unter Internetoptionen eintragen. Es muss nicht zwangsweise eine Netzwerkbrücke via OpenVPN genutzt werden...

Systemsteuerung -> Internetoptionen -> Verbindungen -> LAN Einstellungen und dort den Proxy eintragen ..