Ich versuche seit einiger Zeit ein VPN für den Exchange-Server der Firma, für die ich arbeite, aufzusetzen.
Bisher sind alle meine Versuche aber ziemlich unschön geblieben.
Die Konfiguration sieht so aus:
- Ein Windows 2003 Standard Server mit statischer IP und viel Bandbreite im Netz. Auf dem läuft der Exchange-Server.
- Dann ein Firmennetz, ebenfalls statische IP (bzw. ein kleiner Block). Davor hängen zwei Linux-Firewalls, eine außen und eine zwischen DMZ und dem LAN.
- Zusätzlich sollen die Mitarbeiter von zu Hause aus auf die Daten des Exchange-Servers zugreifen können.
Die erste - und simpelste - Idee war, auf den Clients einfach eine neue Verbindung zum VPN des Servers mit den Windows-Bordmitteln herzustellen. Klappt per PPTP eigentlich ganz gut, zumindest für die Mitarbeiter zu Hause.
Der Haken ist, dass PPTP nicht wirklich für NAT geeignet ist. Im Firmen-LAN kann deshalb immer nur ein Arbeitsplatz gleichzeitig eine VPN-Verbindung zum Server aufbauen.
Mit IPSEC habe ich es auch versucht, allerdings kommt das mit NAT überhaupt nicht zurecht - und den Router/Firewall so weitreichend anpassen, dass IPSEC funktioniert, erscheint mit zu aufwending.
Dann ist mir die - scheinbar - rettende Idee gekommen: Ich nehme einen der internen Server und installiere den PPTP-Client für Linux darauf (
http://pptpclient.sourceforge.net/). Dann müsste ja nur ein Client (der Server) per NAT auf das VPN zugreifen, die anderen würden den Server als Default-GW einstellen und hätten transparenten Zugriff.
Das klappt im Prinzip auch - nach ein paar Stunden verliert der pptp-client allerdings die Verbindung zum Server. Das wäre an sich kein Problem: es gibt eine Restart-Option im Client, die eine verlorengegangene Verbindung von selbst wieder aufbaut.
Dummerweise merkt der pppd nicht, dass die Verbindung tot ist. Erst nachdem man ihn gekillt hat, kann die Verbindung (per Hand) wieder aufgebaut werden.
So ... langer Rede, kurzer Sinn: Hat von euch schon mal jemand etwas ähnliches gemacht? Würde mich mal interessieren, wie ihr das gelöst habt.
Vorallem würde mich interessieren, was von Hardware-Routern der unteren Preiskategorie mit eingebauten VPN-Client zu halten ist. Funktionieren diese Dinger so, dass man die in einer Firma einsetzen kann?
Ich hab solche Teile schon für ~130€ gesehen ... das wär ja, falls es läuft, super günstig.
Fabian
PS: Falls jemand den Heise-Ticker nicht regelmäßig verfrühstückt:
Windows Sourcen im Netz aufgetaucht!
http://www.heise.de/newsticker/meldung/44586
und
http://www.spiegel.de/netzwelt/technolog…,286138,00.html