Konfiguration des Internetzugangs für RAS/VPN-Clients
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Ein per RAS oder VPN eingewählter Client kann zwar den Server und das interne Netzwerk erreichen, jedoch ist kein Internetzugang möglich. Selbst wenn im Browser der Eintrag für den Proxyserver existiert, ist noch kein Internetzugang möglich.
Das liegt daran, dass RAS und VPN Clients nicht als Teil des LANs betrachtet werden. Um den Webproxy zu nutzen, müssen die Proxyserver-Einstellungen in der DFÜ-Verbindung eingetragen werden:
Eine weitere Besonderheit betrifft das Standardgateway. Wenn man eine neue VPN-Verbindung einrichtet, wird automatisch das Standardgateway dieser Verbindung zugeordnet. Ist die Verbindung aktiv, werden alle Pakete über die VPN-Verbindung geroutet. Dies ist aus Sicherheitsgründen grundsätzlich zu befürworten. Meist wird die VPN-Verbindung über eine bestehende Internetverbindung aufgebaut. Somit ist der Client mit einem Bein im Internet und mit dem anderen Bein im LAN. Wenn der Client nun auf Anfragen aus dem Internet reagiert ist das eine Sicherheitslücke. Sofern der Client jedoch eine Schutzmöglichkeit hat (z.B. Hardwarefirewall oder die ICF von WindowsXP) kann die Zuordnung des Standardgateways aufgehoben werden. Somit werden grundsätzlich alle Pakete über die Internetanbindung geroutet - bis auf die Anfragen, die für das entfernte LAN bestimmt sind. Nur diese werden dann über die VPN-Verbindung geleitet. Die Einstellung für das Standardgateway wird in den Eigenschaften der VPN-Verbindung unter TCP/IP -> Eigenschaften -> Erweitert vorgenommen:
Stand:
Friday, 28. August 2009/DR.
