Verbindung mit OpenVPN-Server

20/08/2009 - 12:12 von W. Grimm | Report spam
Hallo an alle in der NG.

Wir haben hier einen ISA 2006 (int/ext/DMZ) auf Win2K3 laufen. Die
Arbeitplàtze sind überwiegend WinXP, ein paar wenige mit Vista, alle mit
aktuellem Patchlevel.

Jetzt soll ein Firmenportal aktiv werden auf das weltweit, jedoch nur von
Mitarbeitern, zugegriffen werden soll.
Die Firma die uns das erstellt hat (auf Basis eines Linux Servers), stellt
den Zugriff per https über einen OpenVPN-Server bereit. Ein DNS Eintrag für
den Portalaufruf ist generiert und löst auf eine private Range IP auf. Der
Zugriff per OpenVPN-Client funktioniert jedoch nur von externen
Stationen.(DSL, etc.)

Der Zugriff der Stationen im internen Netz (also hinter dem ISA Server) geht
beinahe garnicht.

OpenVPN-Client starten / Verbindung durch den ISA (tcp1194) / Prüfung
Zertifikat / Verbindung steht / Routeneintràge vom OpenVPN-Client gesetzt
zeigen korrekt auf den Tunnel.

Der Aufruf https://portal.**** bricht mit Timeout ab.

In der ISA Konsole sehe ich, dass der https Request am ISA auflàuft und der
kann damit nichts anfangen. Schalte ich an dem Arbeitsplatz den ISA Firewall
Client ab, wird der Request korrekt auf den Tunnel geschickt und die Seite
baut auf. Es müssen dazu jedoch auch immer die Verbindungseinstellungen
(Proxy, etc.) geàndert werden. Das ist aber alles viel zu kompliziert für
die Leute hier.


Meine Fragen nun:
- Wàre es nicht sinnvoller und einfacher den Tunnel im ISA Server anzunehmen
(evtl. zus. Netzwerkkarte), anstatt auf jedem Arbeitsplatz einen eigenen?
- Dann würde sich an der Konfiguration des internen Netzwerks nichts àndern
(nur die "externen" brauchen dann den OpenVPN-Client)?
- Was müsste ich da machen? Oder besser lassen?
- Geht das überhaupt? Oder würdet ihr das gànzlich anders machen? (an der
Gegenstelle Linux komme ich nicht vorbei)

Irgendwie denke ich wohl gerade im Kreis. Jedenfalls habe ich keine sinvolle
Idee dazu und würde mich über jeden Hinweis freuen.

Vielen Dank.
 

Lesen sie die antworten

#1 Jens Baier
20/08/2009 - 16:17 | Warnen spam
Hi,

- Wàre es nicht sinnvoller und einfacher den Tunnel im ISA Server
anzunehmen (evtl. zus. Netzwerkkarte), anstatt auf jedem Arbeitsplatz
einen eigenen?



natuerlich. erhoeht unter anderem die Sicherheit, wenn alles ueber den ISA
gesteuert wird.

- Geht das überhaupt? Oder würdet ihr das gànzlich anders machen? (an der
Gegenstelle Linux komme ich nicht vorbei)



ich wuerde das auf alle Faelle zentral laufen lassen. Ob das geht, habe ich
aber noch nie probiert.

Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen