VPN Einrichten

[hund555]

Hallo ich hab paar Fragen zu VPN.

(ich will es bestimmt als abschlussprojekt machen, muss aber wissen , ob ich keine schwierigkeiten bekomme)

soll mein VPN Server eine bestimmte Software/Handware haben, oder soll ich da was genaues beachten?

ich hab probiert wie hier http://www.tu-harburg.de/~pbbgk/technik/network.htm

es schnell einzurichten, ging aber nicht. (Hab auch gedacht, dass es nicht so einfach gehen wird)

Wenn ich von zu hause auf den Rechner in der Firma zugreifen will, muss ich den Benutzer freischalten (bei Server) und bei dem Client Firmen-IP Adresse mit Benutzernamen und Passwort eingeben (wie bei dem Link oben )

würde es reichen, oder soll ich da was beachten?

Wie ist es mit der IP-Adresse? die Firma hat doch nach Aussen nur eine IP Adresse, und von außen kann man doch nicht wissen auf welchen Rechner man zugreifen will/soll ?

gibts es irgendwo gute doku wo ich nach der einleitung alles einrichten könnte?

danke

[E-Games]

Grüß Dich,

Als VPN Server kann ich Dir nur einen Windows 2000 Server empfehlen.

Damit kannst Du nichts verkehrt machen und die Funktionen bezüglich

VPN Protokoll, Sicherheit etc. lassen sich wunderbar verwalten.

Es ist vollkommen Richtig, dass der VPN Server im Netzwerk einen IPadresse

hat. Jedoch kann man verschiedene "Virtuelle Ports" erstellen. Die sind vom

jeweiligen Protokoll abhängig. Entwerder man nimmt PPTP oder L2TP als

VPN Protokoll.

Wenn Sich der Client einwählt bekommt dieser eine IP Adresse von deinem Internen

DHCP Server, oder eine Adresse aus einem Bereich, den Du seperat freigegeben hast.

Bei Fragen mail mir einfach

[hund555]

Hallo, danke erstmal für die Antwort.

Originally posted by E-Games

Grüß Dich,

Als VPN Server kann ich Dir nur einen Windows 2000 Server empfehlen.

Damit kannst Du nichts verkehrt machen und die Funktionen bezüglich

VPN Protokoll, Sicherheit etc. lassen sich wunderbar verwalten.

Win2000 Professial geht aber genau so gut, oder kann man bei Win2000 Server besser verwalten?

Originally posted by E-Games

Wenn Sich der Client einwählt bekommt dieser eine IP Adresse von deinem Internen

DHCP Server, oder eine Adresse aus einem Bereich, den Du seperat freigegeben hast.

Ich will von zu hause auf das firmennetzwerk zugreifen.

und es ist eigentlich egal was der Client für eine IP Adresse hat, ich muss doch auf den Server zugreifen.

Wie kann ich auf den Server zugreifen, wenn die Firma nach außen nur eine IP Adresse hat, und ich aber den VPN Server ansprechen will?

danke

[E-Games]

HI,

Windows 2000 Professional besitzt keine Routing Funktionalität.

Man kann lediglich eine Verbindung auf eine W2KPro Machine

herstellen. Bei einem Server können So viele Verbindungen hergestellt

werden wie du praktisch möchtest.

Wo steht euer VPN Server denn ? Habt Ihr euren Router , bzw den VPN

Server nicht in ner DMZ stehen ?

Falls nicht ist das kein Problem. Dem Client gibst Du ganz normal die IP-Adresse

vom dem Firmenrechner der im Internet steht. Dieser Rechner muß dann so

konfiguriert werden das er PPTP Port Verbindungen 1723 automatisch an den VPN Server in deinem Netzwerk weiterleitet an dem Du dich dann letzendlich anmelden möchtest.

[hund555]

Originally posted by E-Games

HI,

Dem Client gibst Du ganz normal die IP-Adresse

vom dem Firmenrechner der im Internet steht. Dieser Rechner muß dann so

konfiguriert werden das er PPTP Port Verbindungen 1723 automatisch an den VPN Server in deinem Netzwerk weiterleitet an dem Du dich dann letzendlich anmelden möchtest.

also hab ich es richtig verstanden:

ein Rechner von der Firma muss extern stehen (mit externer ip adresse) und dann die verbindungen an den VPN server weiterleiten?

dann kann ich gleich den VPN Server externe IP Adresse geben?

(hab noch wenig ahnung davon)

[E-Games]

Also,

der Rechner von dem Du die IP Adresse (Die vom Internet aus

erreicht werden kann) kennst muß, sofern er nicht gleichzeitig VPN Server ist,

die VPN Anfrage von deinem Client (Port 1723) an den VPN Server weiterleiten.

Das macht man mit einfachen Inbound/Outbound Regeln.

Dort wird einfach gesagt alles was vom TCP Port 1723 reinkommt direkt an Adresse

z.B. 172,16,201,1 (Z.B dein VPN Server) weiterleiten

Verstanden ?

[hund555]

teoretisch schon verstanden

aber ob ich es praktisch schaffe weiß ich nciht

es wäre gut, wenn es irgendwo doku gibt, wo schritt für schritt alles erklärt ist.

falls ich fragen habe, maile ich dir. ok?

[E-Games]

Wenn Du fragen hast,

schreib mir ruhig.

Ist alles kein Problem.

Das kriegen wir schon hin :-)

[gurkenpapst]

Ich kann dir nur empfehlen, da es sich da um Firmendaten handelt, das Du das ganze mit IPSec realisierst. Bei IPSec weden die Daten vor der Übertragung verschlüsselt.

Kostengünstiger gegenüber einem WIN2000 Lizenz ist ein Linux VPN-Gateway.

recht gute anleitungen gibt es http://www.natecarlson.com/linux/ipsec-x509.php <- da

und auf http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/index.html

... nur so als Alternativlösung.

gruss gurkenpapst

[hund555]

grukenpast, das weiß ich auch

andere Sache ist es zu reasieren.

mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen.

[E-Games]

Hi Nochmal,

der Versuch mit Linux ist ganz Nett.

Ist auch realisierbar.

Voraussetzung dafür ist jedoch das Euer InternetRechner als Proxy

fungiert. Wenn euer Router NAT macht, dann kannst Du das vergessen.

Denn IpSec funktioniert leider nicht mit NAt unter 2000.

Da sind bei mir einige schlaflose Nächte drauf gegangen.

Ipsec verändert den Header und so kann Nat den nicht mehr eindeutig

zuordnen.

Da sag ich nur Grundlagenforschung und viel Kaffee :-)

Happy Doing :-)

[hund555]

ich glaube wir haben NAT

(auf jeden Fall geht nur eine IP Adresse nach draussen)

soll ich dann L2TP einsetzten?

[E-Games]

Hi ,

Nein Du kannst Nicht IPSEC in Verbindung mit NAT nutzen.

Es ist immer nur eine Adresse im Internet egal ob Du NAT machst

oder ob Du einen Proxyserver hast.

Ist Dir der Unterschied beider Funktionen bekannt ?

Es gibt nur 3 Möglichkeiten einen Rechner mit dem Internet zu Verbinden.

1. Über einen Proxy, der surft für deine Clients und gibt die Anferderungen weiter ( das wird bei 70% aller Firmen eingesetzt)

2. Über NAT da surfen die Clients selber

3. FEstanbindung über einen Router mit festen Routingeinträgen beim Provider

(Das haben meinst nur Riesen Firmen wie Siemens oder Microsoft etc.)

Wenn Du NAT haben solltest, dann bleibt Dir bei VPN nur noch PPTP als

Protokoll übrig. Das ist ein Standardprotokoll was mit Clients unter Windows 2000

kompatibel ist. Die Verschlüsselung ist bei dem Protokoll bei 56 Bit Allerdings nur der Datenverkehr verschlüsselt, während mit L2tp mit IPSEC die Verbindung zusätzlich verschlüsselt.

WICHTIG um L2TP mit IPSEC nutzen zu können (Für die Zukunft), dann brauchst Du 2 Certifikate (Server und Client, um die Authentifizierung abzuhandeln)

Happy evening.

[DownAnUp]

Originally posted by hund555

grukenpast, das weiß ich auch

andere Sache ist es zu reasieren.

Also ich würde es genauso machen wie gurkenpapst vorgeschlagen hat. Aufjedenfall würde ich dir zu IPSec raten.

mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen.

Hm, das ist ein Problem. Bist du dir wirklich sicher das du dieses Thema als Abschlussprojekt möchtest? Ich würde es mir gut überlegen einen Themenbereich zu bearbeiten in dem ich nicht 1000%ig fit bin.

Informier dich am besten ersteinmal detailiert über die Ausgangssituation, also wie eure Firma ans Internet angebunden ist, wie wichtig die Sicherheit der Daten ist, wieviele Clients sich einwählen sollen, welches Einwahlverfahren genutzt werden soll, wie groß dein Buget wäre usw.

Wenn du das alles hast solltest du wirklich darüber nachdenken ob du dieses Projekt überhaupt willst. 35 Stunden sind auch nicht sehr viel Zeit...

[gurkenpapst]

Originally posted by hund555

grukenpast, das weiß ich auch

andere Sache ist es zu reasieren.

mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen.

Da du es als Abschlussprojekt machen willst solltest du dich aber

a) auch mit alternativlösungen beschäftigen und begründen warum diese nicht in Frage kommen.

über die grundsätzliche Funktionsweise von VPN, deren Protokolle sowie deren Lücken und Tücken beschäftigen.

Du solltest Dir im klaren sein das du durch missliche konfiguration ein erhebliches Sicherheitsrisiko erstellst. Gerade das Thema VPN ist kein "mal eben kurz aus dem Ärmel schütteln", so wie es bei Dir den anschein macht.

Wie wäre es den wenn du z.B. zuerst einmal ausführlich über den Aufbau eures Firmennetzes, speziell der teil der mit dem Internet verbunden ist beschäftigst. Vielleicht habt Ihr noch öffentlich IP Adressen zur Verwendung. Vielleicht kannst du euren Router als IPSec gateway einsetzen. usw. usf.

P.S.

Desweitern frage ich mich wie man in unserem Beruf ohne Englische Dokumentation zurechtkommt...

[hund555]

Hallo E-Games,

ich hab in einer VPN-Dokumentation das gelesen:

Firewall

Da der VPN Access Server logisch hinter der Firewall im Netzwerk installiert ist, musste folgende Konfiguration an der Firewall durchgeführt, werden:

Port 1701 UDP any  VPN Access Server

L2TP (Layer 2 Tunneling Protocol)

Port 1723 TCP any  VPN Access Server

PPTP (Point to Point Tunneling Protocol)

Port 500 UDP any  VPN Access Server

ISAKMP (Internet Key Exchange / IPSec)

Ich dachte davor, dass es bei dem Router (der Rechner der externe IP Adresse hat) umgeleitet werden muss?

es geht doch so ähnlich um die VPN Anfrage weiter zuleiten : in der Dos Box route add 192.... mask ... metrik eintragen

oder?

[E-Games]

Das was Du geschrieben hast ist völlig korrekt. Die Firewall wird

mit Sicherheit euer Rechner sein, der mit dem Internet Verbunden ist.

Dort must Du diese "Filter" setzen.

Mit der DOS box kannst Du lediglich Routen setzen um auf andere Netzwerksegmente zu kommen. Kannst jedoch nicht sagen welche

Ports durchgelassen werden sollen oder nicht. Bzw wohin die weitergeleitet

werden.

Das macht eure Firewall (Was für ein Rechner ist das oder Router der als Firewall läuft ???).

[hund555]

Originally posted by E-Games

Das macht eure Firewall (Was für ein Rechner ist das oder Router der als Firewall läuft ???).

weiß nicht, muss nachfragen

ich als Azubi mache da nichts mit Firewall, Router usw.

[E-Games]

Hi,

mich würde mal Interessieren was so dein Aufgabenbereich ist ?

[hund555]

rechner installation, aufbau, büroarbeiten, datenbankpfege, und was so kommt

vieles was nicht mit FISI zu tun hat, aber da kann man nichts ändern.

[E-Games]

Bei welcher Firma bist Du ?

bzw welcher Standort ?

[hund555]

das will ich hier jetzt nicht veröffentlichen, bringt auch nichts

[hund555]

Hallo,

ich wollte mit einem Kumpel VPN einrichten. Server war Win2000

1) in der MMC Konsole ->Snanp in hinzufügen gabs nicht routing und ras.

wie kann ich RRAS einrichten?

(Zertifizierungsstelle gabs auch nicht)

Also haben wir dann über Assisten eingerichtet.

2)als ich mich dann per VPN auf sein rechner eingewällt habe, und auf sein Rechner zugreifen wollte, musste ich ein Passwort eingeben.

(admin passwort und das passwort von der VPN Leitung ging nciht)

welches soll ich da eingeben?

3)Wo ich die VPN Verbindung hatte, konnte ich nicht surfen, wie kann ich das ändern?

4)Um L2TP Protokoll zu nutzen muss ich Zertifikat installieren, oder?

Vielen dank

[E-Games]

Hi,

Zu 1)

Unter Windows 2000 Professional gibt es das MMC Snap in Nicht, da Windows 2000 Professional nicht für Routingeigentschaften ausgelegt ist. Das kannst Du auf

Microsoftebene nur mit Win2K Server, Ad. Server oder DATACENTER Server realisieren

Zu 2)

Wenn Du Dich auf einer Win2k Professional Maschine einwählst ist immer nur

eine Verbindung möglich. Du must dafür extra einen User anlagen(Lokale User)

und diesem die Einwahlberechtigung erteilen.

Zu 3)

Das ist Richtig, du müstest dann über den Proxy oder Router der im Firmennetz steht surfen. Hierzu kannst Du beim IE unter Verbindungseigenschaften der DFÜ Wählverbindung (VPN) angaben machen.

Zu 4)

Um L2TP nutzen können brauchst Du die Zertifikatsdienste von Win2K Server.

Damit must Du dir ein IPSEC Zertifikat fpr den Server und den Client ausstellen lassen und dieses dann installieren.

Happy Doing

[hund555]

Hi,

bist du sicher das Rounting und Ras unter Win2000 Prof. nicht gibt?

auf dem link von microsoft:

http://support.microsoft.com/default.aspx?scid=kb;de;D308208

steht u.a.

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft Windows 2000 Professional

Microsoft Windows 2000 Server, Advanced Server

und weiter unter bei VPN installieren steht:

Klicken Sie auf Start, zeigen Sie auf Verwaltung und klicken Sie dann auf Routing und RAS

zu 2) hast du das richtige gemeint?

ich hab einen User angelegt, mit dem ich mich dann eingewählt habe (ging auch), aber als ich auf den Entfernten Rechner zugreifen wollte ( Compter suchen, dann doppelklick auf den Rechner) musste ich ein Passwort eingeben. (nur Passwort, keinen Benutzernamen)