---

Hej,

Jeg leger med at sætte min W2K-server til at agere VPN-server.

Jeg går ind i "Routing and Remote Access". Her følger jeg den guide der
installerer VPN...

MEN! Når jeg når til valget mellem hvilket Inetforbindelse jeg vil bruge gør
det lidt galt. Jeg kan vælge ikke at sætte nogen internetforbindelse, eller
jeg kan vælge min lokalnetsadapter som via en router giver mig inetadgang.
Men når jeg vælger denne mulighed får jeg svaret:

"You have chosen the last available connection as the internet connection. A
VPN-server requires that one connection be used as the private network
connection"

Hvad pokker er problemet? Er der nogen der har FAQ/walkthrough til VPN på
Win2000server?

På forhånd tak!

/Kasper

---

"Kasper Carøe Olsen" <kasper@doek.dk> wrote in message
news:z71%7.12629$aS.1705855@news010.worldonline.dk...

> "You have chosen the last available connection as the internet connection.
A
> VPN-server requires that one connection be used as the private network
> connection"

Du skal vel have et netkort mere i boksen. Tunnelen 'kommer ind' gennem det
netkort, der er forbundet til din ISP (WANsiden), terminerer i din w2k-boks
og giver din klient en IPadresse på det net, der er på LANsiden (det andet
netkort).
Jeg har ikke selv prøvet at sætte et VPN op på en W2K, men ovenstående er
vel ikke helt urimeligt.

mvh
Jan

---

Den Wed, 9 Jan 2002 21:52:05 +0100 skrev Jan Boegh:
>"Kasper Carøe Olsen" <kasper@doek.dk> wrote in message
>news:z71%7.12629$aS.1705855@news010.worldonline.dk...
>
>> "You have chosen the last available connection as the internet connection.
>A
>> VPN-server requires that one connection be used as the private network
>> connection"
>
>Du skal vel have et netkort mere i boksen. Tunnelen 'kommer ind' gennem det
>netkort, der er forbundet til din ISP (WANsiden), terminerer i din w2k-boks
>og giver din klient en IPadresse på det net, der er på LANsiden (det andet
>netkort).
>Jeg har ikke selv prøvet at sætte et VPN op på en W2K, men ovenstående er
>vel ikke helt urimeligt.

Hvis man sidder med et normalt fornuftigt setup, med en firewall foran
maskinen, så er det da spild - medmindre man har en 4 eller 5-benet
firewall, så vpn-maskinen kan få et ben for sig selv.

Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a1ibgs$o78$1@sunsite.dk...
> Den Wed, 9 Jan 2002 21:52:05 +0100 skrev Jan Boegh:
> >"Kasper Carøe Olsen" <kasper@doek.dk> wrote in message
> >news:z71%7.12629$aS.1705855@news010.worldonline.dk...
> >
> >> "You have chosen the last available connection as the internet
connection.
> >A
> >> VPN-server requires that one connection be used as the private network
> >> connection"
> >
> >Du skal vel have et netkort mere i boksen. Tunnelen 'kommer ind' gennem
det
> >netkort, der er forbundet til din ISP (WANsiden), terminerer i din
w2k-boks
> >og giver din klient en IPadresse på det net, der er på LANsiden (det
andet
> >netkort).
> >Jeg har ikke selv prøvet at sætte et VPN op på en W2K, men ovenstående er
> >vel ikke helt urimeligt.
>
> Hvis man sidder med et normalt fornuftigt setup, med en firewall foran
> maskinen, så er det da spild - medmindre man har en 4 eller 5-benet
> firewall, så vpn-maskinen kan få et ben for sig selv.

Nu var det lige jeg kom til at tænke hvordan fungerer det i praksis med en
firewall med flere ben?
Man kunne tage en konkret tilfælde med VPN, hvordan skal denne VPN server
kunne få fat i 'resten' af server farmen hvis den er sendt ud på sit eget
ben (laver man noget med at sætte 2netkort i den så den via det andet
netkort kan snakke med resten af serverne eller har jeg fuldstændig
misforstået noget her?)

/Dennis

---

Den Sun, 13 Jan 2002 00:09:25 +0100 skrev Dennis Pedersen:
>
>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:a1ibgs$o78$1@sunsite.dk...
>> Den Wed, 9 Jan 2002 21:52:05 +0100 skrev Jan Boegh:
>> >"Kasper Carøe Olsen" <kasper@doek.dk> wrote in message
>> >news:z71%7.12629$aS.1705855@news010.worldonline.dk...
>> >
>> >> "You have chosen the last available connection as the internet
>connection.
>> >A
>> >> VPN-server requires that one connection be used as the private network
>> >> connection"
>> >
>> >Du skal vel have et netkort mere i boksen. Tunnelen 'kommer ind' gennem
>det
>> >netkort, der er forbundet til din ISP (WANsiden), terminerer i din
>w2k-boks
>> >og giver din klient en IPadresse på det net, der er på LANsiden (det
>andet
>> >netkort).
>> >Jeg har ikke selv prøvet at sætte et VPN op på en W2K, men ovenstående er
>> >vel ikke helt urimeligt.
>>
>> Hvis man sidder med et normalt fornuftigt setup, med en firewall foran
>> maskinen, så er det da spild - medmindre man har en 4 eller 5-benet
>> firewall, så vpn-maskinen kan få et ben for sig selv.
>
>Nu var det lige jeg kom til at tænke hvordan fungerer det i praksis med en
>firewall med flere ben?
>Man kunne tage en konkret tilfælde med VPN, hvordan skal denne VPN server
>kunne få fat i 'resten' af server farmen hvis den er sendt ud på sit eget
>ben (laver man noget med at sætte 2netkort i den så den via det andet
>netkort kan snakke med resten af serverne eller har jeg fuldstændig
>misforstået noget her?)

Firewall'en skal optimalt have fem "ben", til denne konstruktion:

ben 1: LAN
ben 2: Internet
ben 3: DMZ
ben 4: VPN-server, yderside
ben 5: VPN-server, inderside

LAN _____________________
__|__ _____
| |____| |
DMZ----| FW |____| VPN |
|_____| |_____|
|
______|_______________
Internet

Derved kan VPN-trafikken styres meget præcist.

Man kan spare ben 5 væk, hvorved alle der har VPN adgang, har fuld
adgang til nettet bag firewall'en, men dette vil naturligvis afhænge
af sikkerhedspolitikken. Det kan dog diskuteres, om et 4-benet setup
yder mere sikkerhed, end blot at have VPN-boksen på LAN-siden (med kun
et enkelt netkort i VPN-boksen). Umiddelbart mener jeg ikke det kan
betale sig med en 4-benet firewall, og to netkort i VPN-boksen, hvis
der ikke er nogen begrænsninger på hvad VPN-brugere må have adgang
til.

Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.

---

Kent Friis wrote:

> et enkelt netkort i VPN-boksen). Umiddelbart mener jeg ikke det kan
> betale sig med en 4-benet firewall, og to netkort i VPN-boksen, hvis
> der ikke er nogen begrænsninger på hvad VPN-brugere må have adgang
> til.


Du mente nok 5-benet?

Logning?

---

Den Sun, 13 Jan 2002 23:50:36 +0100 skrev Christian E. Lysel:
>Kent Friis wrote:
>
>> et enkelt netkort i VPN-boksen). Umiddelbart mener jeg ikke det kan
>> betale sig med en 4-benet firewall, og to netkort i VPN-boksen, hvis
>> der ikke er nogen begrænsninger på hvad VPN-brugere må have adgang
>> til.
>
>
>Du mente nok 5-benet?

Hovsa, der var sg* en der var vågen...

>Logning?

Det burde VPN-boksen kunne klare.

Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.

---

Hejsa,

> Du skal vel have et netkort mere i boksen. Tunnelen 'kommer ind' gennem
det
> netkort, der er forbundet til din ISP (WANsiden), terminerer i din
w2k-boks
> og giver din klient en IPadresse på det net, der er på LANsiden (det andet
> netkort).

De øvrige enheder på mit LAN skulle jo fortsat gerne have adgang til
routeren - og derfor dur det vel ikke at smide den direkte ind på det ene
NIC i serveren? På den måde adskillet setuppet sig jo fra en egentlig
firewall/VPN-enhed??

Serveren er samtidig domænecontroller skal jeg måske nævne. Det er iøvrigt
kun denne server som jeg er interesseret i at brugerne har adgang til i
første omgang.

> Jeg har ikke selv prøvet at sætte et VPN op på en W2K, men ovenstående er
> vel ikke helt urimeligt.

Sikkert ikke :)

Mvh,

/Kasper