DNS über VPN (ROUTER<-->ROUTER(

DNS über VPN (ROUTER<-->ROUTER( (10 Beiträge, 177 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich komm von daheim nicht auf die Companyweb Seite, wohl aber seh ich dort die
Rechner in der Netzwerkumgebung

das klingt nach einem öffentlichen webserver, stimmt das?

wenn ja, dann hast du eine vpn ins firmennetzwerk und du würdest die website über die öffentliche ip ansprechen (mit einem ping überprüfen?). dann erlaubt deine vpn verbindung wahrscheinlich kein geteiltest vpn, sprich dass du einerseits eine gesicherte verbindung ins netz hast, andererseits aber ganz normal ungesichert surfen kannst.
bei einer cisco pix nennt sich sowas z.b. split-tunnel..
das wär mal so meine erste vermutung..

zu 2.
können die anderen rechner deinen pc pingen?

linux is for networking, apple for working and windows for solitair

das klingt nach einem öffentlichen webserver, stimmt das?

Warum kann ich alle PCs des
Büros sehen, von dort werden meine aber nicht gesehen?

Vermutlich sind auf dem Server keine Routing-Einträge ins VPN-Netz gemacht.

Die DNS-Server kannst du auch auf deinen Endgeräten eintragen:

hosted by 666kb.com

Hallo Ramses!

Also ich denke das du einfach den falschen dns Server aktiv hast. Verusche doch einfach mal bei geöffneter VPN ein nslookup auf deine interne Seite. Falls das nicht klappt versuche einen Ping auf den Server. Bekommst du da eine Antwort trag einfach die Seite in deine Hosts Datei ein. Dann kommst du von deinem Browser auch ohne Probleme hin.

Sollte es eine öffentlich Website sein dreh einfach die VPN ab und surf normal drauf.

Da du Router über DynDNS verbindest oder damit rumspielst glaube ich ja nicht das du eine Cisco Pix hast oder? Verbindest du dich auf einen RAS Server dahinter oder auf eine andere Firewall? Mit oder Ohne VPN Verbindungstool wie zb. das von Cisco?

Nochwas... Wenn es eine normale PPTP Vpn ist, geht die nur in 1 Richtung. Um Netze zu verbinden solltest du einen ipsec Tunnel von Router zu Router bauen.

lg PinkiTheBrain

<Also ich denke das du einfach den falschen dns Server aktiv hast. Verusche doch <einfach mal bei geöffneter VPN ein nslookup auf deine interne Seite. Falls das nicht Sollte es eine öffentlich Website sein dreh einfach die VPN ab und surf normal
drauf.

Es ist keine öffentliche Seite (sollte es nicht sein) Es ist die Intranetseite der Sharepoint Services. Ist über die Dyndns-Adresse auch nicht erreichbar.
Macht Sharepoint nicht virtuelle Server auf, die man auch anpingen können muß?
Ein Ping auf http://companyweb geht nur im Lan. Nicht über die VPN.

Da du Router über DynDNS verbindest oder damit rumspielst glaube ich ja nicht
das du eine Cisco Pix hast oder? Verbindest du dich auf einen RAS Server
dahinter oder auf eine andere Firewall? Mit oder Ohne VPN Verbindungstool wie
zb. das von Cisco?

Was ist eine Cisco Pix

Es ist kein RAS Server, sondern eine Gateway zu Gateway Verbindung zwischen 2 Routern, und rennt über IPSec.

Nochwas... Wenn es eine normale PPTP Vpn ist, geht die nur in 1 Richtung. Um
Netze zu verbinden solltest du einen ipsec Tunnel von Router zu Router bauen.

Ist schon eine IPsec Verbindung siehe oben.

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

Hallo Ramses!

Also da du dich auf dem Companyweb authentifizieren mußt würde ich sie über eine Subdomain abbinden... dann können alle leute von überall immer auf die Website...

Eine Cisco Pix ist eine Firewall Serie von Cisco Systems.
Have one

Zu deinem Problem:

Also du hast von deinem router zu dem firmen Router einen IpSec Tunnel. Gut...
Dein Gateway zum Surfen wird aber dein Internetanbieter sein mit deren DNS Server. Die CompanySeite kann aber von einem öffentlichen DNS Server nicht gefunden werden, denn der kennt die Ip ja nicht.

Darum wird KEIN Weg an der hosts Datei vorbei führen. Du solltest dort dein Companyweb eintragen.

Was du natürlich auch noch machen kannst, deiner Lan Verbindung die DNS Server deiner Company zuweisen dann findest du natürlich das Web auch. Dort gibt es ja einen Host(A) eintrag der auf das Web zeigt. Wird aber dein Surfen ein wenig verlangsamen bis die DNS Abfrage da wieder zurück kommt. Nur Surfen ohne Tunnel geht dann auch nicht. Solche Abhängichkeiten sind auch immer sehr schlecht.

lg Brain

Ps. Ich als Admin würde dir nie erlauben einen Permanenten Tunnel zu öffnen. Viel zu viel Risiko trotz sehr guter Verschlüsselung über IPsec. Ausser du bist an einem anderen Standort der Frima der über Policies genauso geschützt ist. Aber wie gesagt einen Privaten permanenten Tunnel ist heftig.

Danke für die nützlichen Infos!

Ps. Ich als Admin würde dir nie erlauben einen Permanenten Tunnel zu öffnen.
Viel zu viel Risiko trotz sehr guter Verschlüsselung über IPsec. Ausser du
bist an einem anderen Standort der Frima der über Policies genauso geschützt
ist. Aber wie gesagt einen Privaten permanenten Tunnel ist heftig.

Was kann bei dem permanenten Tunnel passieren?
Ich selbst bin zweiter gleichberechtigter Geschäftsführer und erster Admin der Firma

Hallo Ramses!

1. wegen der Sicherheit....
sagen wir mal zu fängst dir etwas ein auf deiner privatmaschine dann stehen dem virus oder hacker alle tore offen. einmal in deinem system kann er auf jeden rechner im netz. ok er hat vielleicht noch kein passwort für deinen server aber ist er bei dir drinnen mit einem trojaner keylogger, portmapper was weiß ich... das würde ich nie riskieren. ich administriere von meinen privat pc´s auch sehr viele rechner und server aber ich öffne einen tunnel nur wenn es sein muss. ich habe ca 20 aussendienstmitarbeiter alle mit notebooks usw... nichtmal mehr die lasse ich einwählen die dürfen sich mails nur noch per pop holen oder mit office 2003 sp1 geht ja sagen wir mal smtp über http auch.

DIE GRÖSSTE GEFAHR SIND DIE USER

2. von einer bandbreitenbegrenzung über vpn habe ich noch nichts gehört ausser natürlich du stellst ein datenlimit am tunneleingang ein. limitierend ist eigentlich nur deine anbindung. domainenmitglied kannst du auch sein ohne dich permanent zu verbinden. du kannst dich ja trotzdem normal anmelden ohne dc verbindung. default ist glaube ich unlimited eingestellt in den policies. du kannst auch einstellen das er sich noch 20 mal anmelden wieder 1x an der domaine anmelden muss.

Grundsätzliche Sicherheitsgedanken:

SMTP/Pop nur von deinem SBS, kein andere Client darf das (falls ein virus zuschlägt kann der dann nicht senden. denn smtp muß auch er benutzen auch wenn er seine eigene sendmail engine mitbringt.)

FTP: nur auf den FTP Server der Antivirussoftware. oder du verteilst das natürlich auch von deinem sbs, Patches,Treiber und Updates ist sowieso Admin sache.

DNS nur von SBS

HTTP,HTTPS für alle natürlich sonst gibt es krieg...

sonst alles zumachen wenn es nicht benötigt wird auch hinaus nicht nur hinein. bringt den vorteil sollte ein portmapper in dein netz gelangen machst du es im wesentlich schwerer. tauschbörsen und ähnliches ist damit auch ausgeschlossen. ausser natürlich die http downloads die abzufangen dafür ist ein isa nötig oder ähnliches. das projekt steht bei mir jetzt an. habe user die fast nur noch surfen statt arbeiten.... um seiten zu sperren und vorallem zu protokollieren ist das schon eine feine sache. den werde ich zwischen meine pix und die clients setzen.

wie gesagt der schlimmste fehler sind die user... ich habe leute die machen grundsätzlich alles auf ... was sie bekommen, überhaupt kein sicherheitsdenken. und denen muss man einen riegel vorsetzen.

lg brain

Das Problem wirst du immer haben wenn du zwei Hardware-Vpn Router verwendest und den SBS nicht wissen lässt, dass es eine VPN Verbindung gibt.

Am einfachst ist es, wenn du die companywebsite mit der internen ip des sbs usw. einfach in die host datei einträgst damit diese dem client bekannt ist.

Undying

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung