ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
VPN mit PPTP
VPN mit PPTP
VPN Site to Site
VPN Quarantäne
VPN-Client Win98
VPN-Client PocketPC
VPN-Client WinXP
VPN Quarantäne Suite
VPN mit Sonicwall
VPN Site to Site mit Zertifikaten

 

ISA Server 2004 – VPN Client Zugang mit PPTP - Von Marc Grote
 

Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004

 

Einleitung

Remote-VPN-Clientzugriff

Mit dem ISA Server 2004 können Sie Ihren Mitarbeitern den weltweiten Zugriff auf interne Netzwerkressourcen über eine Internetverbindung ermöglichen. Wenn sich Ihr Unternehmen beispielsweise in Obernkirchen befindet, ein Mitarbeiter jedoch in Braunschweig arbeitet, muss der Verkäufer nicht nach Obernkirchen reisen, um  eine direkte Verbindung mit dem internen Netzwerk herzustellen. Stattdessen kann er über einen lokalen Internetprovider eine VPN-Verbindung aufbauen um auf das interne Netzwerk zugreifen zu können.

Mit dem ISA Server können Sie Lösungen für einen Remoteclientzugriff über …

  • PPTP (Point-to-Point Tunneling Protocol) und
  • L2TP (Layer Two Tunneling Protocol)

 realisieren.

 Die nächste Grafik zeigt eine typische Netzwerktopologie für Remote-VPN-Clients. In der Abbildung werden drei Netzwerke dargestellt:

  • Das Internet, in dem sich der VPN-Client befindet
  • Das VPN-Gateway, ein ISA Server-Computer
  • Das interne Netzwerk, das einen DHCP-Server für die Zuweisung dynamischer IP-Adressen und (optional, bei Verwendung des L2TP-Tunneling-Protokolls) eine Zertifizierungsstelle enthalten kann

In unserem Beispiel verwenden wir eine VPN Client Konfiguration über das Microsoft PPTP Protokoll. Das PPTP Protokoll ist nicht ganz so sicher wie das L2TP Protokoll über IPSEC, lässt sich jedoch wesentlich leichter implementieren, weil es keine Zertifizierungsstellen-Infrastruktur mit Zertifikaten voraussetzt, wie das bei L2TP über IPSEC der Fall ist und bietet bei der Verwendung von „sicheren“ Kennwörtern in der Regel ein ausreichendes Schutzniveau.

PPTP ist auch NAT (Network Address Translation) fähig, das heißt, es existiert ein NAT Editor für PPTP.

Eine Implementierung von L2TP/IPSEC über NAT ist etwas aufwändiger, da hier NAT-T (Network Address Translation Traversal) verwendet werden muss.

Die Implementierung einer Client VPN Verbindung über L2TP/IPSEC wird in einem späteren Artikel auf dieser Webseite beschrieben.

Zur Konfiguration des ISA Server 2004 für einen VPN Client Zugriff starten Sie die ISA Verwaltungskonsole.

ISA Server 2004 bietet einen VPN Clientzugriffs Wizard, der Sie durch die notwendigen Schritte zur Einrichtung eines Client Zugriffs führt.

Sie können den VPN-Clientzugriff über die Aufgabenleiste aktivieren.

Im ersten Schritt muss der VPN-Clientzugriff aktiviert werden. Geben Sie hier die Anzahl der maximal zugelassenen VPN Clients an.

Als nächstes müssen Sie festlegen, welche Benutzer oder Gruppen für den Remotezugriff zugelassen sind. Es ist empfohlen den Remotezugriff über Windows Gruppen zu regeln. In unserem Beispiel haben wir eine Windows Gruppe mit dem Namen VPN erstellt und die entsprechenden Benutzer in diese Gruppe aufgenommen.

Benutzerkonten, welche sich in der Gruppe VPN befinden, muss der Remotezugriff über eine RAS-Richtlinie erlaubt sein oder der Zugriff in den Eigenschaften des Benutzerkontos aktiviert sein.

Zugriff über die Eigenschaften des Benutzerkontos aktivieren.

Zugriff über eine RAS-Richtlinie aktivieren.

Im dritten Schritt ist es notwendig, die Tunnelprotokolle auszuwählen, welche für die VPN Verbindungen verfügbar sind. Wählen Sie hier nur die Protokolle, welche Sie wirklich verwenden wollen.

Wählen Sie für VPN Clientverbindungen die Netzwerke aus, von denen Clients Verbindungen mit dem VPN-Server initiieren können. Stellen Sie sicher, dass das Netzwerk External ausgewählt ist.

Überprüfen Sie, ob die vom ISA Server erstellte Systemrichtlinie korrekt ist.

Zur Anzeige der Systemrichtlinie klicken Sie in der ISA Verwaltungskonsole mit der rechten Maustaste auf Firewallrichtlinie und wählen im Kontextmenü AnsichtSystemrichtlinienregeln anzeigen.

Wenn Sie den VPN-Clientzugriff aktivieren, wird die Systemrichtlinienregel VPN-Clientdatenverkehr zu ISA Server zulassen aktiviert. Je nachdem, welche Protokolle Sie für den Remoteclientzugriff konfiguriert haben, lässt die Systemrichtlinienregel die Verwendung von PPTP (Point-to-Point Tunneling-Protokoll), L2TP (Layer Two Tunneling-Protokoll) oder von beiden Protokollen vom externen Netzwerk (vermutlicher Aufenthaltsort der VPN-Clients) zum ISA Server-Computer (lokaler Host) zu.

 

VPN Protokoll

Für den VPN-Clientzugriff können die Protokolle PPTP, L2TP oder beide verwendet werden. Beim Ändern dieser Einstellung wird die Systemrichtlinienregel entsprechend aktualisiert und lässt das angegebene Protokoll zu.

ISA Server fungiert für VPN-Clients als ARP-Proxy (Address Resolution-Protokoll). Wenn beispielsweise dem VPN-Clientnetzwerk zugewiesene Adressen Bestandteil des internen Netzwerksegments sind, senden Computer des internen Netzwerks ARP-Anforderungen an VPN-Clients. Dabei ist unerheblich, ob die Adressen von einem statischen Pool oder einem DHCP-Server zugewiesen wurden. ISA Server fängt diese Abfragen ab und antwortet anstelle des verbundenen VPN-Clients.Das Subnetz für das VPN-Clientnetzwerk muss nicht vom internen Netzwerk getrennt werden.

Firewallrichtlinien

Um Remote-VPN-Clients den Zugriff auf Ressourcen des internen Netzwerks zu ermöglichen, muss eine Zugriffsregel erstellt werden, die den entsprechenden Zugriff zulässt. Wenn Sie hinsichtlich der Firewallrichtlinien das VPN-Clientnetzwerk und das interne Netzwerk als identisch betrachten, ist das Erstellen einer Zugriffsregel zu empfehlen, die jeden Datenverkehr vom internen Netzwerk zum VPN-Clientnetzwerk zulässt.

Der ISA Server 2004 erlaubt die so genannte Stateful VPN Filterung, dass heißt, Sie können jetzt festlegen, welche Protokolle VPN Clients innerhalb des VPN Tunnels nutzen dürfen. In diesem Beispiel erlauben wir den gesamten Datenverkehr.

Weitere Eigenschaften der VPN Einrichtung

Klicken Sie mit der rechten Maustaste auf virtuelle private Netzwerke (VPN) in der ISA Server Verwaltungskonsole und klicken Sie auf Eigenschaften. Im Reiter Adresszuweisung können Sie eine IP-Adresszuweisungsmethode auswählen. Per Default ist DHCP aktiviert. Haben Sie keinen DHCP Server im Einsatz, so wählen Sie Statischer Adresspol und geben händisch einen IP-Adressbereich an.

Sie können hier auch festlegen, welches Netzwerkinterface auf dem ISA Server für Dienste wie DHCP, DNS und WINS verwendet werden soll.

Klicken Sie auf Erweitert und geben Sie die IP Adressen der DNS- / WINS-Server an.

Im Reiter Authentifizierung können Sie die Authentifizierungsmethoden festlegen. Per Default ist MS-CHAPv2 aktiviert.

Sie sollten auf die Aktivierung der wesentlich unsicheren Authentifizierungsmethoden

  • MS-CHAP / CHAP
  • SPAP
  • PAP

verzichten. In der Regel werden diese Authentifizierungsmethoden nicht benötigt. Für ein Höchstmaß an Sicherheit können Sie auch EAP als Authentifizierungsmethode verwenden. EAP setzt jedoch die Verwendung von Smartcards oder Zertifikaten voraus und erfordert, dass der ISA Server Mitglied einer Domäne ist.

Der Reiter RADIUS bietet die Möglichkeit der Authentifizierung über RADIUS.Für mehr Informationen über RADIUS lesen Sie folgenden Artikel

In Schritt 5 überprüfen Sie die erstellte VPN Netzwerkregel. Es wird eine Regel erstellt, welche den VPN Clients und Quarantined VPN Clients den Zugriff auf das interne Netzwerk zulässt. Die Netzwerkrelation ist ROUTE, das heißt, Datenpakete der VPN Clients werden über den ISA Server in das interne Netzwerk geroutet.

Bei der Installation von ISA Server wird standardmäßig eine Netzwerkregel erstellt, die eine Routingbeziehung zwischen dem internen Netzwerk und dem VPN-Clientnetzwerk definiert. Eine weitere Standardregel wird bei der Installation von ISA Server erstellt. Sie lässt den Zugriff des VPN-Clientnetzwerks auf das externe Netzwerk zu. Um den Datenverkehr zwischen VPN-Clientnetzwerken und anderen Netzwerken zuzulassen, können Sie neue Netzwerkregeln erstellen.

Bemerkung: Normalerweise hängt der ISA Server nicht direkt am Internet, sondern ist über einen Router an das Internet angeschlossen. Sollte das bei Ihnen auch der Fall sein, so müssen Sie am Router ein Portforwarding für PPTP einrichten. Der Router forwarded dann diese Datenpakete an das externe Interface des ISA Servers.Die Einrichtung des Port Forwarding ist von Router zu Router unterschiedlich. Das Beispiel zeigt das Port Forwarding eines SOHO Netgear Routers.

 

VPN-Verbindungsüberwachung

Sie können VPN-Sitzungen überwachen, indem Sie die Ansicht Sitzungen so filtern, dass nur VPN-Verbindungen angezeigt werden. Konfigurieren Sie den Filter zum Überwachen von VPN-Clients so, dass als Sitzungstyp VPN-Client ausgewählt ist. Konfigurieren Sie zum Überwachen der Verbindungen aus einem Remotestandortnetzwerk den Filter in der Ansicht Sitzungen so, dass für das Quellnetzwerk die Option VPN-Remotestandort ausgewählt ist.

 

Protokollierung

ISA Server 2004 unterstützt folgende Protokollierungstypen für VPN-Verbindungen:

  • Ereignisprotokollierung (Systemprotokoll)
  • ISA Server-Protokollierung (MSDE)
  • Authentifizierungs- und Kontoführungsprotokollierung auf der Grundlage von RADIUS

Für weitere Informationen zum Thema Protokollierung lesen Sie den Grundlagenartikel zum Thema Monitoring und den Artikel Protokollierung auf dieser Webseite.

 

Übersicht über die Quarantänesteuerung

ISA Server 2004 bietet ein neues Feature zur sicheren Anbindung von VPN Clients an das lokale Netzwerk – die VPN Quarantine Control.

Die Quarantänesteuerung gewährt Remote VPN Clients, einen Netzwerkzugriff in Stufen. Dieser wird auf einen Quarantänemodus beschränkt, bis der Zugriff auf das Netzwerk zugelassen wird. Sobald sich die Konfiguration des Clientcomputers in Übereinstimmung mit den spezifischen Quarantäneeinschränkungen Ihrer Organisation befindet, wird auf die Verbindung die Standard-VPN-Richtlinie angewendet. Dabei wird der angegebene Quarantänetyp berücksichtigt. In den Quarantäneeinschränkungen kann beispielsweise festgelegt werden, dass während der Verbindung zum Netzwerk Antivirus-Software installiert und aktiviert wird. Obwohl die Quarantänesteuerung keinen Schutz vor Angreifern bietet, können Computerkonfigurationen für autorisierte Benutzer überprüft und ggf. korrigiert werden, bevor diese Benutzer in der Lage sind, auf das Netzwerk zuzugreifen. Darüber hinaus können Sie über einen Zeitraum definieren, nach welchem Zeitraum die Verbindung getrennt wird, wenn der Client die Quarantine Anforderungen nicht erfüllt.

Informationen über die Konfiguration von VPN Quarantine Control finden Sie hier.

 

Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher