Internetzugriff über VPN

Hallo zusammen,

sollte meine folgende Frage schon in einem anderen Thread beantwortet worden sein, wäre ich für den entsprechenden Link sehr dankbar. Die Boardsuche hat mich leider nicht weitergebracht.

Zu meinem Problem:
Unsere Aussendienstler melden sich übers Internet per VPN an der AD-Domäne an, bekommen ihr Profil geladen und können auf die Ressourcen des LANs zugreifen. Soweit, so schön.

Jetzt wird bemängelt, dass bei aktivem VPN-Tunnel kein Zugriff aufs Internet mehr möglich ist. Ist ja auch logisch, da Split-Tunneling unterbunden wird, was auch so bleiben soll.

Welche Möglichkeiten habe ich, trotzdem einen Internetzugriff zu ermöglichen, ohne eine Sicherheitslücke aufzumachen?

Die Elemente des Netzwerks:
- VPN-Client: SafeNet (Netgear) auf WinXP Pro SP2
- Router: Netgear FVX538
- Domäne: WS2k3 mit Active Directory
- DHCP und DNS auf den Domänencontrollern

Vielen Dank schonmal für Eure Anregungen!
ceebee

Wenn der User sich via VPN einwählt, so bekommt er in der Regel das Standard Gateway des VPNs zugewiesen. Dies kann man unterdrücken, indem man das Standard Gateway manuell löscht oder manuell auf das lokale Gateway umstellt.

snake99 schrieb:

Wenn der User sich via VPN einwählt, so bekommt er in der Regel das Standard Gateway des VPNs zugewiesen. Dies kann man unterdrücken, indem man das Standard Gateway manuell löscht oder manuell auf das lokale Gateway umstellt.

Zum Vergrößern anklicken....

Das ist ja genau das, was nicht gewollt ist...

@ceebee:
Du musst die Router/die Firewall in der Firma dahingehend konfigurieren, dass die VPN-Clients Internet-Zugriff bekommen, also einen Regelsatz erstellen, der VPN nach WAN erlaubt (ich kenne mich mit dem Router nicht so wirklich aus, daher kann ich das nur so pauschal sagen).

Aller Datenverkehr wird ja in den VPN-Tunnel geschickt, daher muss der Router, der den VPN-Tunnel terminiert, auch die Erlaubnis bekommen, Pakete von diesen Rechnern über sein Standardgateway ins Internet zu schicken. Dazu ist normalerweise ein Regelsatz analog o.g. notwendig.

Ausserdem musst du darauf achten, das DNS- und WINS-Auflösung funktionieren, aber soweit ich das lese, scheint das ja kein Problem zu sein.

Gruss
twoday

Um nochmal das Thema Split Tunneling aufzugreifen:
Im Moment kann ich nicht nachvollziehen, warum dies unterbunden wird. Wenn der User schon eine Internetverbindung herstellen darf, dann sollte er auch bei aktiven VPN seine lokale Internetverbindung nutzen dürfen. Klar, man könnte jetzt spekulieren und behaupten, dass bei aktiver VPN Verbinung Bösewichte über die Internetverbidnung ins Firmen LAN eindringen können, doch dies ist mit reichlich Aufwand verbunden und nicht mal eben durchführbar. Bis ein Hacker alle Schritte unternommen hat, einen Zugriff aufs LAN via VPN zu erhalten, hat der Außendienstler längst schon wieder die VPN Verbindung gekappt, oder sind die Außendienstler 24 Stunden am Tag eingewählt? 

Wenn Sicherheit wirklich groß geschrieben werden soll, würde ich einen Internet Access der Außendienstler verbieten und nur VPN Verbindungen via ISDN Karte oder Modem zulassen, wobei auch dies sicherheitskritisch ist. Hinzukäme, dass die LAN Schnittstelle für Außendienstler deaktiviert wäre.

Back to Topic:
Welches Standardgateway bekommen die VPN Clients zugewiesen wenn sie sich einwählen? Wenn sie als Standardgateway die gleiche IP zugewiesen bekommen wie die im LAN verbundenen Clients, sollten sie eigentlich in der Lage sein eine Internetverbindung über die Firmen Internetconnection herzustellen. Wird evt. noch ein ISA Server verwendet?

@twoday:
Der Router ist korrekt konfiguriert. Regel VPN nach WAN exisitiert.

@snake99:
Zum Split Tunneling: Dieses Feature soll unterbunden werden, damit die ADs kontrolliert ins Internet gehen können und nicht für jedes Laptop entsprechende Richtlinien erstellt werden müssen. Die Clients bleiben dann auch bei Remote Access hinter der Firmenfirewall. Soweit jedenfalls die Theorie ... :-\

Das mit dem Standardgateway ist so eine Sache. Der Client benutzt sich selbst als Standardgateway und nicht den Firmenrouter. Das Standardgateway des LANs kann ich nicht automatisch zuweisen sondern muss es manuell über route einfügen. Ohne Effekt. Kann aber auch sein, dass ich es verpeilt habe, weil ich mit Routingtabellen noch nicht viel am Hut hatte ...
Sowohl vor als auch nach den Änderungen wurden tracert und pathping auf google.de durchgeführt. Ohne Erfolg. tracert endet in einem Timeout und pathping findet nur den Laptop selbst.

Ein ISA-Server wird nicht verwendet.

... Zum Split Tunneling: Dieses Feature soll unterbunden werden, damit die ADs kontrolliert ins Internet gehen können und nicht für jedes Laptop entsprechende Richtlinien erstellt werden müssen. Die Clients bleiben dann auch bei Remote Access hinter der Firmenfirewall. Soweit jedenfalls die Theorie ... 

Zum Vergrößern anklicken....

Okay, verstehe. Wie bekommen die VPN Clients ihre IP zugewiesen wenn sie sich einwählen? Ich empfehle hierfür die DHCP Option des RRAS Servers zu nehmen (ich setze einen W2k / W2k3 Server voraus). Dann sollten die VPP Clients nicht nur die IP zugewiesen bekommen, sondern auch die korrekten Informationen über das Standardgateway des Firmen Netzwerks. Natürlich muss die Information über das Standardgateway dem DHCP Server vorliegen, sonst kann er es nicht an die Clients verteilen. 

Ein RRAS steht mir leider nicht zur Verfügung. Ich muss mit dem VPN-Gateway am Router auskommen. Der Router isses auch, der den Clients die IPs zuweist und ihnen DNS und WINS mitteilt, was auch ohne Probleme klappt. Wie gesagt, in der Domäne kann sich der Client frei bewegen, nur Anfragen ins Internet gehen ins Leere. Ich habe am Router keine Möglichkeit, dem Client Informationen über ein Standardgateway zukommen zu lassen. Router und LAN-interner DHCP (WS2k3) können keine Informationen miteinander austauschen (oder ich habe die Option bisher noch nicht gefunden) ... Die LAN-internen Clients bekommen ihr Standardgateway mittels DHCP-Optionen mitgeteilt.

Hm, unter diesen Umständen muss ich langsam passen, da ich mich mit VPN Lösungen von Netgear nicht genug auskenne.
Ich persönlich verbinde mit dem Namen Netgear auch nur Produkte für den SOHO Bereich, nicht aber für professionelle Netzwerkumgebungen. Da würde ich immer Produkten von Cisco den Vorang geben, auch wenn diese recht teuer sind ...

Nunja, bisher kamen wir ja mit den Netgear-Geräten recht gut zurecht. Nur gebe ich dir Recht, dass man, wenn die Anforderungen dann doch ein bissel spezieller werden, die Geräte nicht genug Funktionen bieten ... Naja, es wird nicht der letzte VPN-Gateway in dieser Firma sein ... Vermutlich wurde bei dem Design des Gerätes auch nicht inbedingt davon ausgegangen, dass der geneigte Anwender weiß, dass Split-Tunneling vielleicht doch nicht so gut ist ...
Welche Geräte von Cisco kannst du denn empfehlen? Bin mittlerweile so entnervt von dem Krempel, dass ich durchaus geneigt wäre, die Kiste zu ersetzen ...

Wenn du schnell eine kostengünstige Lösung haben willst, und selber nicht unbedinngt gewillt bist dich erst durch einen Haufen Bücher und Anleitungen zu kämpfen, kann ich dir sehr die Company Remote Universal (CRU) Lösungen von Arcor empfehlen.
Sie installieren dir die Hardware (Cisco) vor Ort und haben einen sehr guten Business Support.

Wenn du dich selber versuchen willst, dann solltest du dir die Geräte SOHO96, Cisco 800er Serie oder 1800er Serie einmal anschauen. Ich denke, dass sie deine Bedürfnisse voll erfüllen sollten. Von Cisco gibt es den CISCO VPN Client. Ich denke, dass du ihn mit deinem jetzigen Client ansatzweise vergleichen kannst. Ich kenne den CISCO VPN Cleint jedoch nur in Verbindung mit einem RADIUS Server, der im LAN ebenfalls vorhanden sein muss. Im weiteren solltest du fit sein im Umgang mit Telnet und dem Cisco IOS, da die Router keine Weboberfläche haben.

Eine andere Alternative wäre, dass du hinter einem normalen DSL Router einen VPN Einwahlserver aufsetzt (beispielsweise mit Hilfe der RRAS Dienste von Windows 2003) . Dann wählt sich der VPN Client nicht mehr auf dem Router ein, sondern direkt auf dem VPN Server, der dann wiederum via DHCP die Gateway informationen publizieren kann.

Den Haufen Bücher und Anleitungen habe ich schon hinter mir ... Ausserdem will ich ja auch eine Lösung, von der ich weiß wie sie funktioniert.
Werde mir die Geräte von Cisco mal anschauen. Danke für die Tipps.
Über den RRAS habe ich auch schon nachgedacht. Nur bin ich mir nicht sicher ob das die sicherste Methode ist ...

Wenn du dich für IPsec statt PPTP entscheidest, bist du schon auf einem sehr sicheren Weg.

Ok. Vielen Dank jedenfalls für deine Hilfe!