VPN og DHCP, skille brukere til subnett.

[kenwi]

Hei,

 

så har jeg måtte henvende meg her, etter en del riving i hår, kasting av kaffekopper og generell misnøye fra min egen side.

 

Jeg har en Windows VPN server. Dette er den vanlige "Routing and Remote Access" VPNen man finner i Windows Server. I tillegg til dette har jeg en DHCP server. Denne kjører også Windows. Jeg kjører i tillegg Active Directory. Subnettene har sine egne VLAN.

 

Scenarioet mitt er som følger: En bruker skal koble seg opp til VPN-serveren, og basert på hvilke brukergrupper i Active Directory brukeren befinner seg i, så ønsker jeg å plassere ham i korrekt nett.

 

Det er satt opp en helper-adresse fra hvert subnett som sendes til DHCP serveren. Dette betyr i prakis at så lenge jeg får en klient plassert i korrekt nett, så han får kjørt ut sin DHCPREQ så vil han også få korrekte innstillinger fra DHCP.

 

Den vanlige PPTP/IPSEC VPN klienten som eksisterer i Windows er den klienten jeg helst ønsker å benytte for å koble opp.

 

Er fullstendig klar over at en kjempeløsning her ville vært å satt opp to VPN servere, en for hvert nett. Men problemet her er at jeg da vil måtte bruke to offentlige ip-adresser for å få løsningen i orden. Dette er ikke noe jeg har spesielt lyst til.

 

Jeg har holdt på en del, for å få til en løsning på problemet, men akkurat nå har jeg ikke kommet fram til noe som tilfredsstiller meg skikkelig. Er det noen som kan kjøre litt idémyldring med meg og kanskje komme fram til en løsning? Nå er jeg usikker på hvilken funksjonalitet en ISA server kan hjelpe meg med i dette scenarioet, anyone?

 

Et eksempel på en løsning jeg har tenkt at vil kunne fungere, er at jeg setter opp kun ett subnett for begge gruppene. Så benytter jeg en dhcp class id for å sette opp en ekstraoption for den klienten som bruker class id. Det jeg kunne gjort var å sette opp ett nett med TO gatewayer. En gateway for hvert nett. Poenget her er at jeg kan blandt annet kjøre forskjellige brennmurregler for subnettene. Problemet her at dette kun vil være en meget overfladisk løsning, og det skal ikke så veldig mye til for å klare å benytte seg av den gatewayen man ikke skal bruke.

 

Slenger samtidig med et illustrasjonsbilde for good measure.

 

Edit: Jeg unngår å si for mye om hva jeg allerede har prøvdt ut, dette fordi jeg ønsker å høre alle synspunkt i denne saken.

[MasterBlaster]

Noen forslag du kan vurdere:

 

- ISA server gir deg brannmur funksjonalitet i tillegg til VPN. Har du ikke noen annen brannmurløsning idag så bør du vurdere å bytte ut RAS serveren med en ISA server.

 

Oppsett av VPN i ISA finner du her

 

Noen avklaringer som er viktige for å eventuellt kunne hjelpe deg videre:

 

- Hvor mange fysiske NIC har du på RAS serveren din? Benytter du VLAN?

 

 

Gjør løsningen så enkelt som mulig, bruk bare ett subnett hvis du kan.