Small Business Server 2003; VPN split tunneling toestaan - Serversoftware en clouddiensten

vrijdag 22 juni 2007 11:11

Acties:

Verwijderd

Topicstarter

Hallo,

Het is de bedoeling dat externe clienten via VPN op het bedrijfsnetwerk zijn aangesloten (bestanden en exchange), terwijl ze op het internet kunnen via hun lokale gateway. Ik ben er na veel googlen uit dat dit "split tunneling" heet. Ik ben ook tot de ontdekking gekomen dat dit veiligheidsissues veroorzaakt, maar dat neem ik voor lief.

Ik ben op internet vaak dezelfde client-gebaseerde oplossing tegengekomen:
In de geavanceerde TCP/IP instellingen van de VPN verbinding op tabblad "Algemeen" het vinkje voor "Gebruik de standaard gatway in het externe netwerk" verwijderen...

Het probleem is dat de externe clienten hun VPN verbinding configureren via de externe internet werkplek: "verbindingsbeheer downloaden". De verbinding die wordt aangemaakt op deze wijze heeft een zeer beperkt eigenschappen-venster, waarin het niet mogelijk is om het bovengenoemde vinkje te verwijderen.

Als alternatief heb ik geprobeerd om op een externe client de VPN verbinding via "wizard nieuwe verbinding maken" te configureren. Op deze manier kan de verbinding wel voor split tunneling worden geconfigureerd, en verbinding met exchange wordt goed gemaakt. Het probleem is alleen dat de netwerkmappen niet meer toegangkelijk zijn!

Weet iemand hoe dit kan, en hoe ik het kan oplossen?

Wellicht is er ook een (betere) manier om het split tunneling aan de server-kant in te stellen, bijvoorbeeld zodat het bestand "verbindingsbeheer downloaden" is aangepast.

Ik hoor het graag,

Hendrik

vrijdag 22 juni 2007 11:24

Acties:

sanfranjake

Computers can do that?

Misschien kan je met de CMAK (connection manager administration kit) zelf een aangepaste vpn-config maken en het wel instellen?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 22 juni 2007 14:30

Acties:

Verwijderd

Zijn de netwerkmappen zowel via ip-adres als naam niet meer te bereiken?

vrijdag 22 juni 2007 18:40

Acties:

Verwijderd

Topicstarter

Hoi,

Bedankt voor het meedenken.

Ik had vandaag met de CMAK een nieuwe VPN-config aangemaakt. Dit levert dezelfde problemen op als de handmatige VPN verbinding (wel exchange + split tunneling, maar geen netwerkmappen). In ieder geval is het wel een verbetering t.o.v. handmatig VPN verbindingen laten aanmaken.

Ik heb intussen gemerkt dat de externe client die ik gebruik zich zowieso een beetje gek gedraagt: Als ik de oorspronkelijke VPN-verbinding gebruik functioneert het namelijk wel, maar niet volledig: De eerder aangemaakte netwerkmappen zijn wel bereikbaar en vanuit deze locaties kan ik ook bijvoorbeeld een map omhoog, zodat ik in de hoofdmap van de gedeelde mappen kom. ECHTER, als ik via de webbrowser iets probeer te bereiken lukt dit niet. Verder lukt het ook niet om via "netwerklocatie toevoegen" een netwerkmap toe te voegen: het bedrijfsnetwerk is namelijk niet te vinden in de lijst......

Als ik met de nieuwe VPN verbinding ben verbonden, dan heb ik helemaal nergens toegang....

Helaas heb ik het slechts met één externe client kunnen proberen: mijn eigen computer thuis.

Ik hoop dat dit alles bij iemand een lichtje doet branden.... Misschien is er iets mis met terminal services???

Ik hoor het graag,

Hendrik

zondag 24 juni 2007 16:20

Acties:

mookie

Heerlijk Helder

Bedoel je dat je geen drive mappings kunt maken?
Staan die drive mappings niet naar \\servernaam\sharenaam?
Wellicht heeft je computer thuis een andere dns suffix die hij pakt.
stel je domein heet blabla.local en je eigen computer thuis krijgt als dns suffix tiscali.nl ofzo.

Als je nu een drive mapping maakt naar die server zal hij proberen servernaam.tiscali.nl te gebruiken ipv servernaam.blabla.local

Optie is dan om de servernaam met compleet met dns suffix te gebruiken voor je drive mappings.

Als je de drive mapping wel met \\ipadres\sharenaam kunt maken ligt het meestal daaraan.

mookie

zondag 24 juni 2007 16:28

Acties:

sanfranjake

Computers can do that?

Kan een gebruiker als deze via vpn verbonden is wel een tracert doen of de fileserver pingen? Telnetten poort 445?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 25 juni 2007 19:18

Acties:

Verwijderd

Topicstarter

Hoi,

Bedankt voor het meedenken. Ik heb alle suggesties geprobeerd.

- Via het ip-adres is de gedeelde map ook niet te bereiken.
- Pingen, telnetten en tracert lukt wel.

Ik wil nogmaals benadrukken dat:
De externe client wel de eerder ingestelde netwerkmappen kan bereiken als met de oorspronkelijke VPN config verbinding wordt gemaakt. Het is met deze VPN config echter ook niet mogelijk om nieuwe gedeelde mappen toe te voegen, terwijl de gebruiker er wel toegang toe heeft.

Via de nieuwe VPN config kunnen geen nieuwe netwerkmappen worden toegevoegd en ook de al eerder toegevoegde netwerkmappen zijn onbereikbaar.

Ik vind het een vreemd probleem, heeft iemand anders suggesties?

Alvast hartelijk bedankt!

Hendrik

dinsdag 26 juni 2007 09:43

Acties:

Verwijderd

Topicstarter

Ik heb een klein experimentje uitgevoerd.

Dit is wat ik heb gedaan:
- Via de oorspronkelijke VPN config ingelogd op de server.
- Netwerkmap geopend en in een submap gegaan.
- Verbinding gemaakt via nieuwe VPN config.
- Een groot bestand gekopieerd vanaf de netwerkmap naar het bureaublad van de externe client.
- Tijdens het kopieren de oorspronkelijke VPN verbinding verbroken.

Dit is wat gebeurde:
- Het kopieren leek even te stoppen, maar na een kleine hapering ging het door.
- Daarna kon ik vanuit de submap (op het bedrijfsnetwerk) in de bovenliggende hoofdmap komen.
- Vervolgens waren andere submappen ook bereikbaar, en bestanden daarin waren ook naar het bureaublad te kopieren.
- Alleen als ik nog verder naar boven navigeer tot "Netwerklocaties" en daarna de map op het bedrijfsnetwerk wil binnengaan, dan krijg ik de foutmelding weer...

Misschien brengt dit iemand op een idee.

Groeten, Hendrik