|
|
|
|
|
|
|||||||
| Netzwerke Rat & Tat zu Netzwerkfragen und -problemen |
 |
|
|
Themen-Optionen | Ansicht |
08.11.2002, 09:38
|
#1 |
|
Inventar
 Registriert seit: 22.10.2000
Alter: 41
Beiträge: 5.552
|
IPSec - Richtlinien für bestimmte Ports?
Ist es möglich eine IPSec-Policy nur für bestimmte Ports zu erstellen?
Ich will nicht den ganzen "Verkehr" sichern, sondern nur den über den Terminal Service Port (3389) auf einer gewissen IP Adresse (der Server hat 2 Netzwerkkarten). Ist das möglich? |
|
|
|
08.11.2002, 10:08
|
#2 |
|
Inventar
Registriert seit: 27.02.2001
Beiträge: 1.967
|
Hi!
Also meine ipsec-Kenntnisse sind auch eher bescheiden, noch dazu geht's da ja um Windows. Wenn ich's richtig verstanden habe, hast Du einen Client (fixe IP?) der den Terminal Server Dienst nützen soll und das durch einen ipsec Tunnel. Ich weiß nicht wie das bei Windows gehandhabt wird (ich find die ipsec Client Unterstützung von Windows schlecht und undurchsichtig). Bei meinem Linux freeswan/ipsec Projekt hab ich auf Clientseite den "ssh-sentinel" verwendet. Dann geht natürlich der gesamte Verkehr durch den Tunnel. Welche Dienste bietet der Server sonst noch an? Grüße Manx |
|
|
|
|
08.11.2002, 15:03
|
#3 |
|
Inventar
Registriert seit: 22.10.2000
Alter: 41
Beiträge: 5.552
|
Leider hab ich keine Fixe IP.
Der Server hängt als Webserver im Internet und davor hängt ein ISA Server als Firewall. Jetzt hab ich mir mal den Terminalserverport aufgemacht (3389) um darauf zugreifen zu können. Wenn ich eine Fixe IP hätte, würd ich sowieso nur meine freigeben und dann is das Problem gegessen, weil der ISA sonst niemanden hinein lässt - doch leider ist dem nicht so. Drum will ich auch nur den einen Port über IPSec laufen lassen. Hab auch schon kurz in die Konsole rein geschaut - nur bevor ich da was herumpfusch wollt ich mal euch fragen ob das Portweise überhaupt möglich ist.  so schaut des aus - ich nehm mal an, ich wähl mir Port 3389 aus und damit sollte das ganze funken - oder müssen alle Instanzen (Router usw.) dazwischen auch IPSec unterstützen? Und wie mach ich das dann mitn Zertifikat, damit ich darauf zu greifen kann? VPN wär natürlich noch idealer - nur kann ich nicht in meinen Tunnel zu Aon der über meinen RRAS Dienst daheim am Win2k Server rennt noch einen Tunnel hinein legen um mich am Server anzumelden - oder doch irgendwie (wahrscheinlich nur mit zusätzlicher Software) |
|
|
|
|
08.11.2002, 18:17
|
#4 |
|
Inventar
Registriert seit: 27.02.2001
Beiträge: 1.967
|
Hi!
Das mit der dynamischen IP ist ja an und für sich mit ipsec kein Thema, weil ja sowieso nur gültige Zertifikate funktionieren. Hab leider wirklich keine Ahnung von ISA bzw. ipsec unter Windows. Einen VPN-Tunnel mit ipsec solltest Du durch den ADSL PPTP schon durchbringen. Am einfachsten wär's wahrscheinlich, wenn der ISA als Ipsec-VPN Tunnelendpunkt agiert (wenn er das kann). Verbinden können sich nur Roadwarrior mit gültigem Zertifikat. Sorry für die dürftige Info, vielleicht meldet sich noch ein MCSE  Grüße Manx |
|
|
|
|
08.11.2002, 18:20
|
#5 | |
|
Inventar
Registriert seit: 22.10.2000
Alter: 41
Beiträge: 5.552
|
Zitat:
 Auf den MCSE/A arbeit ich ja eigentlich auch hin - nur der ISA verschwert das ganze auch ein bissi. Und ich bin mir net so sicher, dass MS IPSec für ein untrusted Network ohne Tunnel empfielt. VPN wär natürlich das beste - mir wärs auch am liebsten. Nur soweit ich das bis jetzt mibekommen hab, gehts nicht ohne Zusatzsoftware die nicht wirklich billig ist - und für den Zweck sicher nicht angeschafft wird. PS: MCSE - Must Cosult Someone Experienced (Sorry _m3 - aber der Spruch passt da genau her  ) |
|
|
|
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
|
|
Linear-Darstellung
