Über VPN auf ein Netzlaufwerk zugreifen

Nosterer · 08.03.2004, 16:45

Hallo!

Einige Mitarbeiter wollen bei mir in der Firma auf ein Netzlaufwerk über VPN von zuhause aus zugreifen. Wie kann man es so konfigurieren, dass diese nur auf das eine Freigegebene Netzlaufwerk zugreifen können und nicht auf alle oder das ganze Netz?

Hab leider kein Ahnung, wie es aussieht, wenn man ein VPN verbindung herstellt (sieht man da alles wie im Netzwerkumgebung?), da ich noch immer kein Internet habe (warte schon seit Oktober!!) und deshalb nicht versuchen kann.

mfg

Joker · 08.03.2004, 17:29

Hi,

auch wenn sich jemand über VPN in Dein Firmennetz einwählt erhält er deshalb keine besonderen Berechtigungen. Wenn Du also entsprechende Zugriffsberechtigungen gesetzt hast, die in der Firma gelten, dann gelten diese natürlich für den Dateizugriff über eine VPN Verbindung.
(Solange die Personen, die gleichen Zugangsdaten benutzen

lG

Joker

Nosterer · 08.03.2004, 18:21

Wo setzt man die Berechtigungen für VPN? Genauso wie bei Freigaben? Wir haben viele Netzlaufwerke und es soll nur 1 Netzlaufwerk über Remote verfügbar sein . Sieht man über VPN das ganze Netz?

mfg

Joker · 09.03.2004, 12:44

Hi,

oh das habe ich falsch verstanden - Der Mitarbeiter soll also in der Firma alle Netzlaufwerke sehen und über VPN nur ein bestimmtes.
In diesem Fall sollten die Mitarbeiter zusätzlich zum "normalen" Account einen Account nur für die VPN Einwahl besitzen.

Bsp.
In der Firma besitzt der User kipferl 3 Netzlaufwerke
X: \\Server\Group
Y: \\Server1\Project
Z: \\Server1\User

In der Firma sollen alle 3 Laufwerke verfügbar sein über VPN nur Laufwerk Z:

Ich würde dann so vorgehen:
Einen neuen Benutzeraccoung VPN_kipferl anlegen und den Benutzer anweisen, diesen Account bei der VPN Einwahl zu benutzen. (Anmerkung sinnvollerweise wird auch nur diesem Account die VPN Einwahl gestattet!)
NTFS Berechtigungen setzen (Freigaberechte auf jeder Vollzugriff) und zwar:

\\Server\Group kipferl/VOLLZUGRIFF
VPN_kipferl/VOLLZUGRIFF VERWEIGERT
\\Server1\Project kipferl/VOLLZUGRIFF
VPN_kipferl/VOLLZUGRIFF VERWEIGERT
\\Server1\User kipferl/VOLLZUGRIFF
VPN_kipferl/VOLLZUGRIFF

Auf diese Weise ist für den Benutzer VPN_kipferl der Zugriff auf X: und Y: nicht mehr möglich.

Quote: Sieht man über VPN das ganze Netz?

Beispiel:
Du hast in der Firma ein ein Netzwerk 172.16.0.0/16 und einen Router mit einer öffentlichen IP, der auch als VPN Server fungiert. IPs fürs VPN weist Du über DHCP zu.
Ein Benutzer stellt nun eine VPN-Verbindung zur öffentlichen IP des Routers her und erhält daraufhin eine IP aus dem 172.16.0.0er Netz.
Für den Benutzer erscheint es also so, also wäre er Teil des LANs, ergo "sieht" er auch das komplette Netz.

Ich hoffe ich habe mich verständlich ausgedrückt!

Viel Spaß

Joker

PhelanWolf · 09.03.2004, 14:38

@ Joker naja er braucht dem User VPN_kipferl die NTFS Berechtigungen auf die anderen Freigaben ja nicht zu verweigern, es würde ja auch reichen sie nicht aufzulisten... Denn wenn man mal mit dem Verweigern anfängt, kann man mitunter schnell mal einen Kuddelmuddel haben. Denn Verweigern, setzt sogar den Vollzugriff ausser Kraft.

Und bei mehreren Gruppen, Global, domainlocal udgl. kann man dann da schnell mal *auszucken* wenn man nicht mehr weiß wo und wer jetzt ein verweigern in den NTFS berechtigung hat!

Wenn er schon eine eigenen VPN User macht, kann er die Freigaben ja dezidiert der Gruppe der VPN User gewähren, und die anderen Freigaben eben nicht. Ist halt nur eine Sache wie man es sich anfängt. Es gibt für beides Für und Wider...

Joker · 10.03.2004, 09:08

Hi,

@PhelanWolf
So einfach mit nicht auflisten wird´s nicht gehen, da kommt Dir möglicherweise die Gruppe JEDER dazwischen - darum die ausdrückliche Verweigerung.
Ich habe im Beispiel, die Sache nur mit mit einem Benutzer erklären wollen - natürlich ist es sinnvoll Berechtigungen auf Gruppenebene zu vergeben, bei Berechtigungen für einzelne Benutzer wird´s auf alle Fälle recht schnell unübersichtlich.

Viel Spaß

Joker

Nosterer · 10.03.2004, 15:10

Hallo Joker,

danke, Sie haben mich ganz verständlich ausgedrückt!

Tut mir leid, dass ich mich erst jetzt wieder melde ....

Leider konnte ich bis jetzt noch nicht testen....

Ich werde mir 3 VPN Verbindungen aufbauen mit Zyxel Zywall 10 Router und 2 Mitarbeiter sollten über Windows VPN - Verbindung zugreifen und 1 Mitarbeiter hat ein Zywall 1 Router.

1) ist es möglich im Windows 2000 ein VPN Verbindung zum Router in der Firma aufzubauen?

2) In der Firma auf Router muss ich 3 VPN Verbindungen konfigurieren, kann jedoch nur 1 aktivieren, da ich bei alle 3 VPN Verbindung die Remote Adresse 0.0.0.0 eingestellt habe, da alle 3 Mitarbeiter von der Telekom ADSL haben und die bekommen die IP Adressen dynamisch (DHCP) zugewiesen. Welche Möglichkeit habe ich in diesen Fall?

lg

Joker · 11.03.2004, 10:03

Hi,

mit Erfahrung mit Zyxel Routern kann ich leider nicht dienen. Bei uns in der Firma setze ich unter Linux Cipe bzw. Windows 2000 Server für VPNs ein.

ad. 1. Mit Windows 2000 (als Client) ist es kein Problem eine VPN Verbindung aufzubauen. (Neue Netzwerkverbindung - VPN - ...)

ad. 2. Mir ist nicht so ganz klar was Du meinst! Die VPN Verbindungen bauen auf einer bereits bestehenden Verbindung auf. Du erhältst einen neuen virtuellen Netzwerkadapter.
Bsp. Der Mitarbeiter geht mit ADSL ins Internet (IP dynamisch, usw.) - die Verbindung steht und jetzt dann baut man erst den VPN Tunnel auf. Die IP Konfiguration fürs VPN kriegt der Client aber vom VPN Server.
Sofern der VPN Server bzw. die Serversoftware genug Verbindungen verkraften kann, können ohne Probleme mehrere Verbindungen gleichzeitig aufgebaut werden.

Viel Spaß

Joker

08.03.2004, 16:45	#1
Nosterer Veteran Registriert seit: 28.12.2002 Beiträge: 205	Über VPN auf ein Netzlaufwerk zugreifen Hallo! Einige Mitarbeiter wollen bei mir in der Firma auf ein Netzlaufwerk über VPN von zuhause aus zugreifen. Wie kann man es so konfigurieren, dass diese nur auf das eine Freigegebene Netzlaufwerk zugreifen können und nicht auf alle oder das ganze Netz? Hab leider kein Ahnung, wie es aussieht, wenn man ein VPN verbindung herstellt (sieht man da alles wie im Netzwerkumgebung?), da ich noch immer kein Internet habe (warte schon seit Oktober!!) und deshalb nicht versuchen kann. mfg

09.03.2004, 14:38	#5
PhelanWolf Master Registriert seit: 30.06.2000 Ort: Klagenfurt Beiträge: 629	@ Joker naja er braucht dem User VPN_kipferl die NTFS Berechtigungen auf die anderen Freigaben ja nicht zu verweigern, es würde ja auch reichen sie nicht aufzulisten... Denn wenn man mal mit dem Verweigern anfängt, kann man mitunter schnell mal einen Kuddelmuddel haben. Denn Verweigern, setzt sogar den Vollzugriff ausser Kraft. Und bei mehreren Gruppen, Global, domainlocal udgl. kann man dann da schnell mal auszucken wenn man nicht mehr weiß wo und wer jetzt ein verweigern in den NTFS berechtigung hat! Wenn er schon eine eigenen VPN User macht, kann er die Freigaben ja dezidiert der Gruppe der VPN User gewähren, und die anderen Freigaben eben nicht. Ist halt nur eine Sache wie man es sich anfängt. Es gibt für beides Für und Wider... ____________________________________ hmmmmmmmmmmmmmmm

08.03.2004, 17:29	#2
Joker Jr. Member Registriert seit: 22.07.2001 Beiträge: 45	Hi, auch wenn sich jemand über VPN in Dein Firmennetz einwählt erhält er deshalb keine besonderen Berechtigungen. Wenn Du also entsprechende Zugriffsberechtigungen gesetzt hast, die in der Firma gelten, dann gelten diese natürlich für den Dateizugriff über eine VPN Verbindung. (Solange die Personen, die gleichen Zugangsdaten benutzen lG Joker

08.03.2004, 18:21	#3
Nosterer Veteran Registriert seit: 28.12.2002 Beiträge: 205	Wo setzt man die Berechtigungen für VPN? Genauso wie bei Freigaben? Wir haben viele Netzlaufwerke und es soll nur 1 Netzlaufwerk über Remote verfügbar sein . Sieht man über VPN das ganze Netz? mfg

09.03.2004, 12:44	#4
Joker Jr. Member Registriert seit: 22.07.2001 Beiträge: 45	Hi, oh das habe ich falsch verstanden - Der Mitarbeiter soll also in der Firma alle Netzlaufwerke sehen und über VPN nur ein bestimmtes. In diesem Fall sollten die Mitarbeiter zusätzlich zum "normalen" Account einen Account nur für die VPN Einwahl besitzen. Bsp. In der Firma besitzt der User kipferl 3 Netzlaufwerke X: \\Server\Group Y: \\Server1\Project Z: \\Server1\User In der Firma sollen alle 3 Laufwerke verfügbar sein über VPN nur Laufwerk Z: Ich würde dann so vorgehen: Einen neuen Benutzeraccoung VPN_kipferl anlegen und den Benutzer anweisen, diesen Account bei der VPN Einwahl zu benutzen. (Anmerkung sinnvollerweise wird auch nur diesem Account die VPN Einwahl gestattet!) NTFS Berechtigungen setzen (Freigaberechte auf jeder Vollzugriff) und zwar: \\Server\Group kipferl/VOLLZUGRIFF VPN_kipferl/VOLLZUGRIFF VERWEIGERT \\Server1\Project kipferl/VOLLZUGRIFF VPN_kipferl/VOLLZUGRIFF VERWEIGERT \\Server1\User kipferl/VOLLZUGRIFF VPN_kipferl/VOLLZUGRIFF Auf diese Weise ist für den Benutzer VPN_kipferl der Zugriff auf X: und Y: nicht mehr möglich. Quote: Sieht man über VPN das ganze Netz? Beispiel: Du hast in der Firma ein ein Netzwerk 172.16.0.0/16 und einen Router mit einer öffentlichen IP, der auch als VPN Server fungiert. IPs fürs VPN weist Du über DHCP zu. Ein Benutzer stellt nun eine VPN-Verbindung zur öffentlichen IP des Routers her und erhält daraufhin eine IP aus dem 172.16.0.0er Netz. Für den Benutzer erscheint es also so, also wäre er Teil des LANs, ergo "sieht" er auch das komplette Netz. Ich hoffe ich habe mich verständlich ausgedrückt! Viel Spaß Joker

10.03.2004, 09:08	#6
Joker Jr. Member Registriert seit: 22.07.2001 Beiträge: 45	Hi, @PhelanWolf So einfach mit nicht auflisten wird´s nicht gehen, da kommt Dir möglicherweise die Gruppe JEDER dazwischen - darum die ausdrückliche Verweigerung. Ich habe im Beispiel, die Sache nur mit mit einem Benutzer erklären wollen - natürlich ist es sinnvoll Berechtigungen auf Gruppenebene zu vergeben, bei Berechtigungen für einzelne Benutzer wird´s auf alle Fälle recht schnell unübersichtlich. Viel Spaß Joker

10.03.2004, 15:10	#7
Nosterer Veteran Registriert seit: 28.12.2002 Beiträge: 205	Hallo Joker, danke, Sie haben mich ganz verständlich ausgedrückt! Tut mir leid, dass ich mich erst jetzt wieder melde .... Leider konnte ich bis jetzt noch nicht testen.... Ich werde mir 3 VPN Verbindungen aufbauen mit Zyxel Zywall 10 Router und 2 Mitarbeiter sollten über Windows VPN - Verbindung zugreifen und 1 Mitarbeiter hat ein Zywall 1 Router. 1) ist es möglich im Windows 2000 ein VPN Verbindung zum Router in der Firma aufzubauen? 2) In der Firma auf Router muss ich 3 VPN Verbindungen konfigurieren, kann jedoch nur 1 aktivieren, da ich bei alle 3 VPN Verbindung die Remote Adresse 0.0.0.0 eingestellt habe, da alle 3 Mitarbeiter von der Telekom ADSL haben und die bekommen die IP Adressen dynamisch (DHCP) zugewiesen. Welche Möglichkeit habe ich in diesen Fall? lg

11.03.2004, 10:03	#8
Joker Jr. Member Registriert seit: 22.07.2001 Beiträge: 45	Hi, mit Erfahrung mit Zyxel Routern kann ich leider nicht dienen. Bei uns in der Firma setze ich unter Linux Cipe bzw. Windows 2000 Server für VPNs ein. ad. 1. Mit Windows 2000 (als Client) ist es kein Problem eine VPN Verbindung aufzubauen. (Neue Netzwerkverbindung - VPN - ...) ad. 2. Mir ist nicht so ganz klar was Du meinst! Die VPN Verbindungen bauen auf einer bereits bestehenden Verbindung auf. Du erhältst einen neuen virtuellen Netzwerkadapter. Bsp. Der Mitarbeiter geht mit ADSL ins Internet (IP dynamisch, usw.) - die Verbindung steht und jetzt dann baut man erst den VPN Tunnel auf. Die IP Konfiguration fürs VPN kriegt der Client aber vom VPN Server. Sofern der VPN Server bzw. die Serversoftware genug Verbindungen verkraften kann, können ohne Probleme mehrere Verbindungen gleichzeitig aufgebaut werden. Viel Spaß Joker

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)