ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
VPN mit PPTP
VPN mit PPTP
VPN Site to Site
VPN Quarantäne
VPN-Client Win98
VPN-Client PocketPC
VPN-Client WinXP
VPN Quarantäne Suite
VPN mit Sonicwall
VPN Site to Site mit Zertifikaten

 

Eingehende VPN-Verbindungen per PPTP

Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004

 

Wie der ISA Server 2000 unterstützt der ISA Server 2004 die VPN Einwahl durch Remoteclients.
Durch eine VPN Verbindung wird ein sicherer Tunnel über ein Netzwerk, wie das Internet, aufgebaut, über den der Client Zugriff auf Ressourcen des Firmenetzwerkes bekommt.

Vorteile einer VPN Verbindung:

  • Bei vorhandener DSL Flatrate entstehen keine weiteren Kosten für die Einwahl
  • Abhängig von der Internetanbindung ist eine VPN Verbindung schneller als per Telefonleitung
  • Eine VPN Verbindung kann von jedem Ort aus aufgebaut werden, sobald es einen Internetzugang gibt, z.B. Flughafen


    • Der ISA Server 2004 unterstütz zur Remoteeinwahl per VPN die zwei Tunnelprotokolle PPTP und L2TP/IPSEC.
    Das Tunnelprotokoll PPTP, auf das sich diese Anleitung bezieht, ist leicht einzurichten und hat den Vorteil, dass es
    ohne Probleme mit Geräten die NAT anwenden funktioniert. L2TP/IPSEC hingegen bietet einen höheren Sicherheiststandart
    als PPTP und funktioniert mittlerweile auch, durch NAT-T (NAT - Traversal), mit Geräten die NAT anwenden. Hierbei ist
    allerdings zu beachten, dass der Router L2TP/IPSEC Passtrough unterstützen muss.

    Die Konfiguration der VPN Remoteeinwahl erfolgt durch die, in nachstehendem Bild zu sehenden, 5 Schritte.
    Die Nummerierung der einzelnen Kapitel entspricht den einzelnen Schritten auf dem Bild.




    1. Verifizieren, dass der VPN Clientzugriff aktiviert ist



    Damit der ISA Server VPN - Clientverbindungen akzeptiert muss der Haken bei VPN ClientZugriff aktivieren gesetzt werden. Die Option Maximale Anzahl zugelassener VPN-Clients legt die maximale Anzahl der gleichzeitigen Verbindungen fest. Standartmässig steht diese Option auf 5 Verbindungen. Ändern Sie diese Option auf die Anzahl der benötigten gleichzeitigen Verbindungen ab.

    2. Windows Benutzer angeben

    Der ISA Server 2004 erwartet eine Angabe von zugelassenen Benutzern bzw. einer Gruppe, die eine VPN Verbindung mit dem ISA Server herstellen dürfen. Die einfachste Möglichkeit ist, dies durch eine Gruppe zu realisieren, dabei ist es egal, ob es sich um eine lokale Gruppe oder eine Gruppe aus der Domäne handelt.

    Hinweis: Alternativ ist auch eine Authentifizierung über RADIUS möglich. Falls der ISA Server kein Mitglied der Domäne sein sollte kann trotzdem mittels RADIUS eine Authentifizierung auf Domänenebene stattfinden.

    3.1 VPN Eigenschaften

    Es muss das Tunnelprotokoll ausgewählt werden, für das der ISA Verbindungen akzeptieren soll. Diese Anleitung beschränkt sich auf das Tunnelprotokoll PPTP.

    3.2 Remotezugriffskonfiguration

    Der VPN Zugriff kann aus mehreren Netzwerken erfolgen, meistens geschieht dies aus dem Internet, hierfür muss das Netzwerk Extern ausgewählt sein. Sollten VPN Verbindungen aus weiteren Netzen aufgebaut werden, müssen diese hier zusätzlich angegeben werden.



    Unter dem Karteireiter Adresszuweisung wird festgelegt, wie die VPN Clients ihre IP Adresse beziehen. Es besteht die Möglichkeit durch einen statischen Adresspool oder durch einen DHCP Server. Die Option Folgendes Netzwerk für DHCP-, DNS-und WINS Dienste verwenden ist dafür verantwortlich welche DNS- und WINS Server dem VPN Client zugewiesen werden. Diese Einstellungen können unter dem Punkt Erweitert, wie im nächsten Bild zu sehen, auch manuell konfiguriert werden.



    Die DNS- und WINS Server können hier angepasst werden, falls eine alternative Konfiguration nötig ist.



    Für den Verbindungsaufbau muss eine Authentifizierungsmethode angegeben werden, mit der sich der Remotebenutzer authentifizieren muss. Sinnvoll ist es dies bei der Authentifizierungsmethode MS-Chap V2 zu belassen, da dies die sicherste der angebotenen Methoden für Authentifizierung mit Benutzername und Kennwort ist.

    4. Firewallrichtlinie für das Clientnetzwerk anzeigen

    Abschließend muss noch eine Regel bzw. Regeln erstellt werden, die den VPN Clients Zugriff auf das interne Netzwerk gewährt.
    Neu beim ISA 2004 ist, dass der Zugriff auf bestimmte Protokolle und interne Server eingeschränkt werden kann. Obige Regel erlaubt z.B. nur Zugriff von VPN Clients auf interne Webserver per HTTP.

    5. Netzwerkregeln anzeigen

    Falls es nötig sein sollte kann hier die Beziehung zwischen den Netzwerken konfiguriert werden, d.h. ob von dem VPN Client-Netzwerk in andere Netzwerke geroutet oder NAT angewandt werden soll.

    6. Was passierte durch die Konfiguration der Punkte 1 - 3

    Durch die eben durchgeführten Schritte wurde im Routing und RAS Dienst eine neue RAS Richtlinie, ISA Server Standardrichtlinie erstellt.



    Wie angegeben werden Einwahlberechtigungen nur für Mitglieder der Gruppe VPN-Users erteilt. Bei Bedarf kann die Richtlinie mit weiteren Bedingungen, wie z.B. durch einen Zeitraum in dem sich Benutzer einwählen dürfen, erweitert werden.



    Die Authentifizierungsmethode wurde nur auf MS-Chap V2 gesetzt.

     

    Stand: Friday, 28. August 2009/CG.

    Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

    Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
    Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2009. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
    Stand: Wednesday, 04. August 2010 / Dieter Rauscher