VPN mit SBS2K3

[TomM]

Es sind ja ein paar IT'ler hier im Forum. Nachdem ich mich von unserem Novell Server getrennt habe und nun auf einen SBS umgestellt habe (mit allen wirren, z.B. dass Exchange keine Mails mehr abliefern wollte) bin ich nun mit dem VPN am verzweifeln.

Konfiguration:

SBS Server mit einem Netzwerkadapter
D-Link Router D-514
dyndns.org - Domain IP

Nun löpt dat nich.

Ausprobiert:

Routing und RAS konfiguriert
diesen dyndns Client drauf und den Router auf "durchzug" gestellt
Ping geht, adresse stimmt, fehler 800 und 657 (Nicht erreichbar)

diverse Einstellungen im RAS/Router - kein Erfolg
den dyndns client runter
D-Link als virtuellen Server konfiguriert mit entsprechender metasco-sbs.dyndns.org und interner Weiterleitung an 192.168.0.18

gleicher Fehler.

Weiß einer Rat? Geht deas RAS nicht mit nur einem Netzwerkadapter?

Es ist derzeit fast Überlebenswichtig für mich auch Fernzugriff zu haben und somit meinen Laden von jedem Ort der Welt (na ja wenigstens Deutschlands) managen zu können.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[Der Karl]

Moin Tom,

etwas wirr, was Du da schreibst....

Ist der D-Link-Router denn ein Firewall-/VPN-Router, oder versuchst Du, aus dem Internet durch ein NAT einen VPN-Tunnel aufzubauen?

Mit ein paar Tricks und Kniffen geht sowas zwar auch, aber ich würde das nie machen, weil der Server dafür quasi transparent im I-Net stehen müßte!

Hat es sich wirklich gelohnt, das alles seblst hinzuwursteln? Exchange ist nicht wirklich ein Problem - man kann aber viel falsch machen, wenn man sich nicht (richitg) auskennt...

Also, so würde ich das machen, bzw. mache das ständig: Einsatz eines Firewall-VPN-Routers (Netgear, Cisco usw. je nach Vorlieben/Budget). Am Server wird GAR NIX gemacht; das VPN wird zwischen VPN-Client und Router konfiguriert - ab Router ist das wieder transparent und Du bis ganz normal im lokalen Netz unterwegs...

Kostenpunkt für die günstigste Variante:
Netgear FVS318: ~80-90 EUR
ProSafeClient: ~40 EUR

Das funktioniert und ist Tausendfach getestet - aber auch nicht "aus dem Handgelenk" mal eben schnell konfiguriert...

Gruß Karl

[TomM]

Moin Karl, ja, ich war/bin ja auch wewirrt gewesen.

Microsoft selbst beschreibt das so.

Also ich hab den Server mit einem Router verbunden.

Der Router kann VPN ist halt ein etwas älterer D-Link 514

Dann hab ich bei dyndns.org ne Domain als IPRouter

Zunächst hatte ich es so versucht - nix

dann das DNS Update geschickt - nix

direkt auf die IP - nix

dann den I-Net Router konfiguriert - nix

dann dieses Soft tool vom Server gehauen - nix

nun das Softtool wider drauf, die Routerconfig entfernt, die bevorzugten DNS Server raus und glaubs oder nicht. Eigentlich in der Konfig wie sie am Anfang war.

Blub da war der Server. Aber nicht so offen wie ein Scheunentor, das läuft schon über Zertifikate und IP Tunneling.

Nun muß ich mir noch was ausdenken, wie ich eine geschützte Intranet Site aufbaue - oder weißt Du was?

BTW. ein Kreuz war das mit der smtp que, mal gingen drei Mails raus mal gar keine, Empfang war immer ok. Der SBS, nein der Exchange ist schon ein verrecker, er löst die internen Mailadressen für die Authentifizierung nicht auf, also mußt Du Dich mit irgendeiner Mailaddy und Kennwort anmelden und schon lüpt dat. Aber auf einmal war das alles wieder weg - über Nacht und ihne zutun. Nun scheint es aber zu bleiben.

[Der Karl]

Moin Tom,

sorry - kann Deinen Beschreibungen immernoch nicht so recht folgen - aber egal, wenns jetzt läuft....

[TomM]

Moin Karl,

Danke für Deine Mühe. ja es läuft nun.

Klar hab ich die interne Website, die normale (externe) läuft über einen externen Server (kein Paket) so bleibt es auch - kannst doch keinem zumuten mit 128kb und meist drunter .

Ich werde wohl Verzeichnisse und Dokumente im Outlook anlegen. Soweit ich bisher begriffen hab ist eine Website nicht über das interne Zertifikat zu sichern.

Die Beschreibung ist wirr, weil ich es war/bin.

Mail abholen geht über den POP3 Connector
Mail senden halt über den smtp Connector - und da ist Strato super stur. Eine Namensauflösung des Exchange Benutzer mit seinem Postfach will das Dingens einfach nicht, Du mußt bei der Authentifizierung einen echten Postfachnamen liefern - eigentlich unsinn, denn der Exchange Name enthält ja den Postfach Namen - was keiner weiß ist eben: Du muße ein vorhandenes Postfach zum authentifizieren nehmen, welches ist völlig egal, denn Exchange muß sich nur einmal authentifizieren um dann alle Mails zu Versenden. Es weiß wirklich kaum einer (oder es sagt kaum einer) wie das geht.

Es geht aber alles von daher - Problem gelöst.

Theoretisch könnte ich die Mails auch über eine smtp Möglichkeit abholen, dazu muß ich aber die POP3 abschalten. Strato bietet das nun auch an. Solange ich nocht nicht von "außen" auf's Intranet kam wollte ich das nicht. Nun mach ich es nicht, denn es läuft ja und 15 Minuten Wartezeit für ein Mail ist in Ordnung.

Das VPN Problem war, glaube ich gar keines, denn ich hatte zwei DNS-Server der T-Offline fix angegeben. Kaum waren die draußen und alles stand auf automatisch beziehen ging das VPN - da waren die DNS halt noch nicht auf dem neusten Stand und wußten nicht wo sich das VPN befindet - zumindest ist das meine Erklärung
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[Der Karl]

[TomM]

[Der Karl]

[TomM]

Jepp, das wird auf jeden Fall ein W-LAN


Weil mein Fachchinesisch offensichtlich zu mager ist, das ist es was Strato offeriert, aber nur für die Server,

[Der Karl]

Genau - Sowas!

Gruß Karl

[mapelt]

Da wir gerade bei Exchange sind. Mit Exchange 5.5 funktionierten Umleitungen wunderbar per Regel oder alternativer Empfänger. Mit Exchange 2000 und 2003 geht das nicht mehr. MAIL FROM: ist immer der Original Absender und das schluckt der Mailserver unseres Providers natürlich nicht. Bei Exchange 5.5 wurde die Absenderadresse immer in den Header (From:) gepackt.
In diversen Foren wird zwar beschrieben, dass es über den Umweg mit einem Kontakt im Active Directory und 2 Adressen (lokale Adresse und Adresse für Umleitung) funktionieren soll. Das Mistding benutzt aber immer die E-Mail Adresse des Absenders anstatt die Adresse des Empfänger zu benutzen und den Original Absender in den Header zu packen. Umleitungen von internen Mails nach draussen funktionieren natürlich.

[Der Karl]

Hä? Bitte nochmal ganz langsam zum mitmeißeln...

Wo ist das Problem?
Was wird wohin umgeleitet?

Wie sieht das Szenario/die Konfiguration aus.
War das überhaupt eine Frage?

Gruß Karl

[TomM]

Ich hatte das Problem mit KEN!

der ließ einfach keine Absender durch, die keine Mailadresse intern hatten, damit waren Würmer recht wirkungslos. Auch Empfangsbestätigungen gingen nicht nach draußen. Ich habs in Exchange noch nicht versucht - könnte aber sein, das 2K3 und 2k das auch blockieren (Spamschutz).

Bei Weiterleitungen kenne ich das nicht, da stehe ich immer als Absender drinnen und in den Headerinformationen steht "Original from:..."
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[mapelt]

Weiterleitung funktioniert natürlich, in dem Fall ist der Absender die interne Adresse. Umleitung funktioniert nicht, weil der Provider nur Mails unseres Domains akzeptiert. Bei Exchange 5.5 war das anders. Absender war dort immer die interne Adresse, aber der Absender der Originalnachricht wird in den Header gepackt. Das hat den Vorteil dass der Empfänger der umgeleiteten Nachricht darauf direkt antworten kann und den Original Absender sieht.

@Der Karl
Vielleicht schaust du dir mal das Beispiel bei WIKI an, dann wird klar was ich meine. http://de.wikipedia.org/wiki/SMTP

MAIL FROM: ist der Absender
From: ist das was man als Absender im Mail Programm sieht, nur im Header sieht man den wahren Absender

[Der Karl]

Moin,

ich weiß, was SMTP ist und auch (einigermaßen), wie das funktioniert.

Was von wo wohin umgeleitet wird (werden soll) ist da aber auch nicht beschrieben...

Gruß Karl

[mapelt]

Mails die von draussen reinkommen sollen per Regel nach draussen umgeleitet werden. Bei internen Mail kein Problem.

[Der Karl]

Wenn ich das recht verstehe (die Infos sind ja immernoch nicht üppig) reden wir hier über Outlook-Regeln!?

Man kann doch in Outllok problemlos abweichende Antwort-Adressen vorgeben - ist das per Regel nicht realisierbar?

[mapelt]

Wie ich schon sagte rede ich von Umleitungen. Also nochmals ganz laaaangsam.
Beispiel:
Herr meyer@web.de schickt eine Mail an Herrn Schmidt in userer Firma (schmidt@meinefirma.de). Für diesen User ist eine Umleitung auf eine externe Adresse schmidt@gmx.de eingerichtet im AD. http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281926

Solch eine Umleitung war unter Exchange 5.5 kein Problem. In der umgeleiteten Nachricht steht
MAIL FROM:<schmidt@meinefirma.de> als Absender und im Header
From: meyer@web.de
Damit sieht Hr. Schmidt den Absender meyer@web.de in der umgeleiteten Nachricht bei GMX.

Bei Exchange 2000 und 2003 funktioniert das so nicht mehr.
MAIL FROM:<meyer@web.de> als Absender
Das nimmt uns unser Provider (smarthost) natürlich nicht ab. Nur die internen Mails werden nach draußen weitergeleitet, weil hier der Domain passt. Versuche ich es direkt per DNS, dann funktioniert es zwar aber die Mails landen beim Empfänger im Spamordner.
Hier das gleiche Problem: http://www.msexchangeforum.de/modules/newbb/viewtopic.php?topic_id=841&viewmode=flat&order=ASC&type=&mode=0&start=0

Ob man es per Regel oder per alternativer Empfänger macht spielt übrigens keine Rolle. Mit einer Regel habe ich keine Möglichkeit den Absender zu verändern.
Also lautet die Frage: Wie bringt man Exchange 2003 dazu es so zu machen wie Exchange 5.5. Ich fürchte das läßt sich nur noch durch einen Event Sink machen.

[TomM]

Hört sich an wie das Problem, das ich mit den ausgehenden Mails hatte, es wird der interne Exchange User als authentifizierungsname genommen und der wird auch weitergegeben, der ist natürlich nicht bekannt im Web, daher funktioniert das ausgehende mail (smtp) nur wenn man den interen User einfach mit der klar-E-Mail adresse überscheibt.

Verwunderlich war das deshalb, eil der pop3 connector das ohne zucken macht und einfach bei der kommunikation nach draußen den internen Exchange namen mit dem realen postfachnamenen adresse@ irgendwer.de weitergibt. mit smtp tut es das offensichtlich nicht.
auch dazu das beispiel:

mail for Herrn Schmidt an mich@meinefirma.de popconector ist eingerichtet als mich@meinefirma.de, Exchange User heißt MICH/Server.

Bei Sendmail wird nun MICH/Server verwendet um zu senden, derr smtp Webserver will aber die Authentifiziereung von mich@meinefirma.de. Also muß man im smtp connector gnadenlos mich@meinefirma.de mit Kennwort in die authentifizierung eingeben, dann können alle user senden, weil nur eine einmalige Authentifizierung notwendig ist.

Hier könnte das Problem von mapelt verborgen liegen - oder?
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[SVCDFan]

@mapelt:

Ich habe mir erlaubt den Link zum msexchangeforum etwas zu kürzen, so dass er immer noch funktioniert. Die Länge des Links hat die Breite etwas gesprengt...


@all:

Ich sehe das "Verhindern" einer Weiterleitung durch Exchange den Versuch das Relaying zu verbieten. Es muß aber eine Möglichkeit geben von intern (Exchange) über den Firmenaccount (@meinefirma.de) wieder als Weiterleitung rauszukommen. Leider kann ich Euch bzgl Exchange überhaupt nicht helfen, da keine Erfahrungen dazu habe. Vor einigen Jahren war ich auch selber mal ein Outlook (Exchange) User und erinnere mich, dass man dort auch Weiterleitungen hat einrichten können, aber ganz sicher bin ich mir nicht mehr... Nur wirklich kann ich mich an "Auto Response" erinnern, da auch dieses verwendet habe.
_________________
Gruß SVCDFan