lohelle Skrevet 8. april 2003 Del Skrevet 8. april 2003 Her er mitt tenkte scenario: Jeg har en server med win2000/2003 og 6 nettverkkort. et nettverkkort står mot DMZ (internett) og de 5 andre står i hvert sitt VLAN. Det jeg ønsker er muligheten til å kjøre en VPN server som kobler en bruker i DMZ (eller i et av VLAN-ene) til et annet VLAN. dvs at når brukernavn "lars" med tilhørende passord benyttes skal bruker få en tunnell inn i VLAN1. Ved et annet spesifikt brukernavn in i vlan2 osv.. Det jeg lurer på er altså: finnes det vpn server programvare som kan route brukere til forskjellige nettverkkort på serveren alt etter hvilken bruker man logger på vpn serveren med? Lenke til kommentar
laaknor Skrevet 8. april 2003 Del Skrevet 8. april 2003 Jeg veit Cisco leverer utstyr for dette, men jeg veit ikke om noe som er "sikkert" til windows..... Linux reiner jeg med takler det, men.... Lenke til kommentar
lohelle Skrevet 8. april 2003 Forfatter Del Skrevet 8. april 2003 eventuelle guider for oppsett av dette i linux.. og andre guider til gatewayer i linux...? Lenke til kommentar
_diablito_ Skrevet 8. april 2003 Del Skrevet 8. april 2003 Her er mitt tenkte scenario:Jeg har en server med win2000/2003 og 6 nettverkkort. et nettverkkort står mot DMZ (internett) og de 5 andre står i hvert sitt VLAN. Det jeg ønsker er muligheten til å kjøre en VPN server som kobler en bruker i DMZ (eller i et av VLAN-ene) til et annet VLAN. dvs at når brukernavn "lars" med tilhørende passord benyttes skal bruker få en tunnell inn i VLAN1. Ved et annet spesifikt brukernavn in i vlan2 osv.. Det jeg lurer på er altså: finnes det vpn server programvare som kan route brukere til forskjellige nettverkkort på serveren alt etter hvilken bruker man logger på vpn serveren med? uhm... Vet du i det hele tatt hva du snakker om??? hva vpn er? hva dmz er? hva vlan er? Gir ikke så veldig mye mening det du skriver her, men jeg tror jeg vet hva du er ute etter og M$ har et windowsbasert brannmurprogram som kan brukes: Internet Security and Acceleration server 2000 (ISA server) hvor en kan konfigurere koblinger (routing) mellom forskjellige nettverkskort... Du finner veldig mye info på www.isaserver.org Regner med at mange sikkert vil reagere (tildels kraftig) på bare tanken om å bruke en brannmur fra microsoft... Men gjør du en grundig jobb så blir den pottetett! i allefall fram til neste hull blir oppdaget... så du må HVER dag inn å sjekke om microsoft har lagt ut noen nye sikkerhetspatcher etc... Lenke til kommentar
Navidi Skrevet 8. april 2003 Del Skrevet 8. april 2003 I og for seg ikke noe problem å bruke 2000 server til dette, med det forutsetter mye arbeid. Routerfunksjonen i 2000 serveren er vel egnet til dette. Når det gjelder VPN, er det mange momenter du må ta hensyn til. DHCP, DNS og eventuelt WINS er det som krever mest forarbeid. Lenge siden jeg leste specs, men prøver meg likevell. VPN fra internett via serveren til de forskjellige LAN, krever flere tuneller. En fra internett til serveren og nye tuneller fra serveren og til de forskjellige LAN. Hvilke tuneller hadde du tenkt på? PPTP eller L2TP? PPTP er vel kanskje enklest å sette opp. Skal du bruke L2TP må du i tillegg ha en krypteringsfunksjon, feks. IPSec. Allerhelst bør du, som forrige innlegger også sa, ha inn en ISA server. Er ikke helt sikker, men det er mulig at det går an å lage VPN tunell gjennom ISA servern. ISA serveren er i tillegg en meget bra firewall. Det er faktisk ikke kjent at det er noen som har klart å komme igjennom den fra utsiden. Lenke til kommentar
staaland Skrevet 8. april 2003 Del Skrevet 8. april 2003 Hepp Trenger i utgangspunktet ikke noe mer enn W2K Server eller 2003 Server. Ihvertfall ikke hvis det holder med PPTP. Først aktiviser Routing & Remote Access servicen. Admin tools->Routing and Remote Access. I den nye vakre MMC'n som dukker opp er det ett rødt kryss hvis den ikke allerede er aktivisert. Rightclick og kjør gjennom en wizard. Velg VPN Router, den gjør stort sett alt riktig. Selv om den forutsetter endel ting, slik som at det er DHCP på innsiden... Deretter oppretter du lokale brukere på serveren, og tildeler de forskjellige VPN brukerne statiske IP addresser, fra de forskjellige Subnett (VLAN) du har på de 6 forskjellige NIC i boksen, dette gjøres under Remote access konfigureringen av brukeren, samt krysser av for Dial-in allowed. Hvis du skal skippe bruk av ISA Server... Så bør du i tillegg sette opp pakke filtre på de forskjellige NIC, spesielt DMZ som bare slipper igjennom PPTP trafikk... Husker ikke de i hodet, men søkte litt på google... Godt triks her er å søke på newsgroups... Les gjennom denne artikkelen, for gode tips om VPN, feks port/protocoll som det må åpnes for http://www.winntmag.com/articles/print.cfm...&articleid=8290 ISA bytter ut TCP Stacken med sin egen, har hatt problemer tidligere med å installere ISA, etter å ha enablet RRAS først... If you go ISA, start with a clean box.. Disable alle servicer du ikke trenger, messenger, alerter, browser, distributed link tracking.. osv.. Dette bør selvfølgelig gjøres litt kontrollert.... En godt patcha w2k box, med ett fornuftig oppsett.. er rimelig "tett" Win2003 server er såvidt jeg har sett mer sikret Default. Så utfordringen er motsatt, du må lete etter hva som må åpnes(enable) for isteden for tidligere... Altfor langt svar, men er ganske vidt spørsmål.. heZ Lenke til kommentar
_diablito_ Skrevet 8. april 2003 Del Skrevet 8. april 2003 Er ikke helt sikker, men det er mulig at det går an å lage VPN tunell gjennom ISA servern. ISA serveren er i tillegg en meget bra firewall. Det er faktisk ikke kjent at det er noen som har klart å komme igjennom den fra utsiden. ISA server kan "terminere" vpn tunellen, slik at en kan velge å åpne hele eller deler av nettverket bak isaserveren mot tunellen. 2 siter med isaserver, så kan en sette opp slik at begge nettverk ser hverandre fullt ut. Har også hørt det med at ingen har klart å komme seg gjennom isa serveren, men det kan jo kanskje ha noe med at ingen kjører den? Men den har et veldig bra utgangspunkt, og det er at alt er stengt inn OG ut, også må en åpne opp for det en vil slippe igjennom... Til vpntunneller så vil jeg så absolutt anbefale L2TP med IPSEC da PPTP ikke er sikker nok... Lenke til kommentar
Navidi Skrevet 8. april 2003 Del Skrevet 8. april 2003 Har også hørt det med at ingen har klart å komme seg gjennom isa serveren' date=' men det kan jo kanskje ha noe med at ingen kjører den? quote'] Nyeste hurtigrute, Midnattsol, kjører ISA :smile: Lenke til kommentar
lohelle Skrevet 9. april 2003 Forfatter Del Skrevet 9. april 2003 takker for mange svar! likte godt det tipset med statiske adresser pr bruker. Det var en løsning som jeg ikke har tenkt på. Genialt enkelt, ganske enkelt genialt er det vel et uttrykk som sier.. tror jeg må prøve den der! har ISA server (gjennom Microsoft Action Pack Subscription), men tror jeg kjører den "gode gamle" routing and remote access'n som jeg kjenner godt fra før. btw: regner med jeg starter med PPTP for å teste de "vanlige" tingene først.. så kan jeg oppgradere til ipsek og slikt i etterkant. best å ikke blande for mange feilkilder enn nødvendig. btw: noen som vet om iscsi emuleringssoftware? dvs at jeg vil mounte en "nettverksdisk" på 4 windows-servere (skal kjøre cluster). disken kan gjerne stå på en linux iscsi-server eller noe slikt.. Lenke til kommentar
lohelle Skrevet 9. april 2003 Forfatter Del Skrevet 9. april 2003 det geniale er jo at jeg kan tilordne statisk routing også pr bruker.. (computer management - local users and groups - users - brukernavn - (properties) - dial-in - apply static routes. noen som vet om noe må stilles inn i routing and remote access i tillegg til "standardinstillinger" for VPN server for at static route på brukernivå skal fungere? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå