mixdeby

Hallo!

Ich verzweifle!

Ich bin dabei eine VPN Site to Site Verbindung mit dem ISA Server 2004 Enterprise aufzubauen. Ich nutze die 120 Tage Evaluierungsversion.

Als OS nutze ich W2k3 Enterprise.

Ich habe 2 Standorte:

A: ISA Server 1

internet Netz: 10.0.0.0 255.255.0.0

Netzwerkkarte: 10.0.0.1

externes Netz: 192.168.0.0 255.255.0.0 (aber eigentlich egal oder?)

Netzwerkkarte: 192.168.101.77

Der ISA Server baut seine Internetverbindung mit einer DFÜ Verbindung über ein DSL Modem auf!

B: ISA Server 2

internes Netz: 164.25.0.0 255.255.0.0

Netzwerkkarte: 164.25.0.1

externes Netz: 192.168.0.0 255.255.0.0

Netzwerkkarte: 192.168.101.33

Dieser ISA Server sitzt hinter einem Speedport 400P und ist dort als DMZ Host eingetragen!

Beide verfügen über eine Dynamische DNS!

Nun habe ich exakt alle Schritte dieser http://www.msisafaq.de/anleitungen/2004/V ... Anleitung durchgeführt.

Leider bekomme ich aber keinen Datenverkehr hin. Wenn ich von A versuche die 164.25.0.1 zu pingen bekomme ich erst die Meldung Zeitüberschreitung und dann immer Zielhost nicht erreichbar!

Die Routingtabelle zeigt mir aber eine Route in das Netz 164.25.0.0 an! Und zwar über Gateway 0.0.0.0 und Schnittstelle fffffffffff

Manchmal ist dieser Eintrag aber auch nicht da!

Ich habe auch entsprechend alle Richtlinien und Netzwerkregeln vorgenommen! Eben wie in der Anleitung!

Das ganze versteh ich echt nicht!

Oder kann das sein, dass der ISA Server nicht mit klassenloser IP Adressvergabe (CIDR) klarkommt? Kann ich mir nicht vorstellen!

Danke schonmal im voraus!

Wenn ein Server physikalisch greifbar ist, sehe ich Probleme bei der Sicherheit.

Ok, da werde ich dann natürlich einen entsprechenden Systemschrank nutzen, indem die Netztechnik verbaut ist!

Ok schönen Dank schonmal.

Ich werde das ganze dann nochmal allgemeiner verfassen und die Entscheidungen wirklich erst im Projekt treffen.

Meint ihr denn eine Realisierung mit W2k3 wäre angemessen?

Danke schonmal für die Antwort.

Habe mir das ganze nochmal überlegt und ich werde es etwas anders aufziehen.

Mein vorläufiger Antrag sieht erstmal so aus:

--------------------------------

1. Projektbezeichnung

Ausstattung eines Konferenzraumes mit einer Internetverbindung und optionaler Anbindung an das bestehende Betriebsnetz mittels einer VPN Site-to-Site Verbindung mit Smartcardauthentifizierung.

1.1 Kurzform der Aufgabenstellung

Es soll ein Konferenzraum mit Netztechnik ausgestattet werden. In diesem Konferenzraum werden Meetings von Projektteams abgehalten. Mitglieder dieser Projektteams sind sowohl Mitarbeiter der X-Abteilung als auch externe Mitarbeiter bzw. Freelancer, die gezielt für Projekte engagiert werden.

In diesem Raum soll ein Internetzugang für alle Teilnehmer zur Verfügung stehen. Gleichzeitig soll es aber auch möglich sein, dass die Mitarbeiter X-Abteilung Zugriff auf das eigene Betriebsnetz haben.

1.2 Ist- Analyse

Die X-Abteilung ist eine Abteilung der … GmbH

Zurzeit hat die X-Abteilung ihr eigenes Betriebsnetz, das über einen DSL-Anschluss verfügt und als DMZ hinter einer Firewall am Netzwerk der … GmbH angeschlossen ist.

Meetings von Projektteams werden zurzeit in einem Konferenzraum abgehalten, der einen Telefonanschluss hat aber über keinen Netzzugang weder ins Internet noch ins interne Netz verfügt. Ist der Zugriff auf Server, Dokumente, Drucker des Betriebsnetzes, das Internet oder das Intranet erforderlich, müssen die Mitarbeiter Ihr Büro aufsuchen und die entsprechenden Tätigkeiten dort ausführen.

2. Zielsetzung entwickeln / Soll-Konzept

2.1 Was soll am Ende des Projektes erreicht sein?

2.2 Welche Anforderungen müssen erfüllt sein?

2.3 Welche Einschränkungen müssen berücksichtigt werden?

Mit dem Projekt soll erreicht werden, dass alle Teilnehmer der Projektteams während ihrer Meetings im Konferenzraum einen Zugang zum Internet über WLAN haben.

Der Zugang zum WLAN soll gesichert sein.

Gleichzeitig sollen der Konferenzraum und das Betriebsnetz mittels einer VPN Site-to-Site Verbindung miteinander verbunden sein, damit Mitarbeiter der X-Abteilung Zugriff auf ihr Betriebsnetz haben und netzinterne Dienste nutzen können.

Dieser Zugriff auf das Betriebsnetz der X-Abteilung soll exklusiv nur Mitarbeitern gestattet sein, weshalb es einer Zugangssteuerung mit Smartcardzertifikaten mittels eines Radius-Servers bedarf.

Hierzu soll auf beiden Seiten jeweils ein VPN-Server installiert werden, der die Site-to-Site Verbindung aufbaut. Gleichzeit soll im Konferenzraum ein Radius Server stehen, der den Zugang auf den VPN-Tunnel regelt.

3. Projektphasen detailliert mit Zeitplanung in Stunden und Gesamtstunden

Vorbereitung

Analyse des IST Zustandes

Informationsbeschaffung

Auswahl und Beschaffung der Soft- und Hardware

Auswahl und Bestellung des DSL Anschlusses

Auswahl der Sicherheitsmechanismen (WLAN-Verschlüsselung, VPN Protokoll, Zertifikatstyp)

Durchführung

Einrichtung des DSL Zugangs

Einrichtung des WLAN Access Points

Installation und Konfiguration der VPN Server

Installation und Konfiguration des Radius Servers

Einrichtung einer dynamischen DNS im Betriebsnetz

Konfiguration der Clients

Nachbereitung

Funktionstests

evtl. Fehlersuche/behebung

Mitarbeiterschulung

Dokumentation

Kundendokumentation

-----------------------------

Über die Zeitplanung werde ich mir noch Gedanken machen.

Nun habe ich auch keine konkreten Angaben über bestimmte Produkte drin, sodass das eben dann Inhalt des Projekts wird, sich über Produkte zu informieren und Entscheidungen nach Kosten/Nutzen Rechnung zu treffen.

Ich glaube ich werde das ganze mit auf W2K3 aufbauen. Ist das angemessen oder heißt es dann wieder das wäre ja nur "klicken"?

Und: sollte ich die Smartcardauthentifizierung im Antrag erstmal weglassen und mich während des Projekts dafür entscheiden?

Gruß, Mixdeby!

Hallo zusammen!

Ich muss in den nächsten 4 Wochen meinen Projektantrag hochladen. Nach viel Grübeln habe ich mir nun ein Projekt überlegt.

Und zwar möchte ich einen Konferenzraum so einrichten, dass dort ein DSLer zur Verfügung steht über den jeder Laptop, der den WPA Schlüssel kennt ins Internet kann. Gleichzeitig soll man sich aber von dort mittels VPN ins Firmeninterne Netzwerk einwählen können. Da in diesem Konferenzraum auch externe Mitarbeiter sitzen, soll eben diese Möglichkeit nicht über Dosen in der Wand geschehen, sondern eben über VPN.

Nun bin ich dabei eine geeignete VPN Lösung zu finden. Eine Realisierung mit Windows ist glaube ich zu popelig. Da wir sowieso größtenteils mit Cisco arbeiten steht mir ein Cisco 1841 zur Verfügung. Nun geht es aber an die Konfiguration. Nach mehrstündiger Suche, habe ich aber immernoch keine brauchbare Anleitung gefunden, wie man so einen VPN Server aufsetzt. Zumal es da wohl auch ziemlich viele verschiedene Möglichkeiten bei Cisco gibt.

Ach ja: Die Authentisfizierung soll dann an einem Radius Server mit Smartcard geschehen.

Deshalb nun meine Fragen:

Findet ihr das Projekt angemessen?

Und hier die wichtigste: Wie konfiguriere ich den VPN Router?

Gruß Mixdeby!