ISA als VPN-Server Teil 3: Serverkonfiguration für eingehende VPN-Verbindungen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Dieser Artikel besteht aus insgesamt sechs Teilen:
- Einführung
- Serverkonfiguration für ausgehende PPTP-Verbindungen
- Serverkonfiguration für eingehende VPN-Verbindungen
- Clientkonfiguration für PPTP-VPN-Verbindungen mit Windows 2000/XP
- Clientkonfiguration für PPTP-VPN-Verbindungen mit Windows 98
- Clientkonfiguration für PPTP-VPN-Verbindungen mit PocketPC 2002
3. Eingehende VPN-Verbindungen
Der umgekehrte Weg ist aber für uns interessanter. Wir möchten externen Clients Zugang zum Intranet ermöglichen. Dazu hält der ISA-Server einen Wizzard bereit, den wir nun aufrufen:
"VPN-Clientverbindungen zulassen..." ist richtig.
Die Details geben etwas mehr Informationen:
Was hat dieser Wizzard eingerichtet?
Zuerstmal vier neue IP-Paketfilter:
Ausserdem wurde der Routing- und Remote-Access-Server gestartet und Ports für L2TP und PPTP hinzugefügt:
Der ISA-Server ist nun empfangsbereit für PPTP-Verbindungen. Für L2TP/IPSec-Verbindungen sind zusätzlich server- und clientseitig Zertifikate erforderlich. VPN-Zugang über L2TP/IPSec wird ein eigenes Kapitel unter www.msisafaq.de werden, welches in Kürze verfügbar sein wird.
Abhängig von der allgemeinen Netzwerkkonfiguration ist es anschließend ggfs. erforderlich, individuelle Konfigurationen am RRAS-Dienst vorzunehmen. Da wäre zum einen die Einschränkung/Erweiterung der Portanzahl für VPN-Verbindungen. Zum anderen die IP-Konfiguration, damit eingewählte Clients eine IP-Adresse zugewiesen bekommen:
Natürlich müssen die jeweiligen Benutzer noch über Einwahlrechte verfügen. Das kann man in der Benutzerverwaltung (bzw. der Active Directory Benutzer und Computer-Verwaltungs-MMC) auf Benutzerbasis konfigurieren oder in der RRAS-Konfiguration auf Gruppenebene. Meine Empfehlung für eine einfache, übersichtliche Administration ist die Einrichtung einer Sicherheitsgruppe "VPN", die die betreffenden Mitglieder enthält, die sich per VPN einwählen dürfen. Dann in der Ras-Verwaltung das Einwahlrecht für diese Gruppe erteilen:
Einstellung für Einwahlrechte auf Benutzerebene.
Hier die Konfiguration einer RAS-Richtlinie:
Um eine Gruppe hinzuzufügen wählen Sie in der Mitte des Fensters "Hinzufügen..." aus.
Wählen Sie "Windows-Groups" aus...
Als letztes muß noch angegeben werden, dass die RAS-Berechtigung erteilt wird:
Teil 4
Stand: Friday, 28. August 2009/DR.
