31. März 200520 j Hi Leute! Ich will ne VPN Verbindung herstellen und dabei auf IPSec zugreifen...Wie stelle ich das denn ein das er auf IPSec zugreift...ich hab nen Windows 2003 Server Enterprise Edition. Routing & RAS hab ich schon aktiviert. Wär echt klasse wenn mir da jemand weiter helfen kann!!!
31. März 200520 j Wenn du das ganze mit nem Pre Shared Key machen willst machste einfach Routing und RAS -> Servername Rechte Maustaste -> Eigenschaften -> Sicherheit -> Häkchen Rein -> Key Eintragen! Desweiteren würde ich im Routing und RAS unter dem Punkt Ports PPTP einwahl verweigern und nur L2TP zulassen! Mit Zertifikaten weiß ichs leider selbst nicht! Bin da grad am Rumbasteln! Hoffe ich konnte helfen! gruß Markus
31. März 200520 j Dann stellst Du meiner Meinung nach aber nur eine L2TP, keine IPSEC Verbindung her... PPTP und L2TP haben Schwächen und sollten nur zusammen mit anderen Protokollen wie IPSEC oder bei geringem Sicherheitsbedarf eingesetzt werden... mfg cane
31. März 200520 j Dann stellst Du meiner Meinung nach aber nur eine L2TP, keine IPSEC Verbindung her... PPTP und L2TP haben Schwächen und sollten nur zusammen mit anderen Protokollen wie IPSEC oder bei geringem Sicherheitsbedarf eingesetzt werden... mfg cane Das hatten wir doch schonmal? Bei Microsoft ist L2TP automatisch mit IPSec verknüpft (in der out of the box Lösung). Ein Einsatz von L2TP ohne IPSec ist nicht (ohne weiteres)möglich. Um das zu untermauern: http://support.microsoft.com/default.aspx?scid=kb;de;265112 Das gilt für 2003 entsprechend.
31. März 200520 j Also reicht die Konfiguration von "Necro" völlig aus und das ganze läuft über IPSec??? Was muss ich beim "Vorinstallierten Schlüssel" eingeben? Was muss ich bei den Authentifizierungsmethoden" beachten?
31. März 200520 j Also reicht die Konfiguration von "Necro" völlig aus und das ganze läuft über IPSec??? Was muss ich beim "Vorinstallierten Schlüssel" eingeben? Was muss ich bei den Authentifizierungsmethoden" beachten? Das ganze läuft dann im MS Sinne über L2TP/IPSec. Das liegt dann einfach daran das der RRAS keine PPTP Kommunikation mehr annimmt. Allerdings muss die deaktiviert werden, denn weniger als 1 Port geht nicht . Wichtig ist dann eigentlich das die einwählenden Clients für L2TP/IPSec konfiguriert sind und die selbe authentifizierung wählen wie der Server. Hardcore-Sicherheit natürlich mit EAP und Smartcard Anmeldung bei Zertifikatsbasiertem IPSec. Geht aber auch anders. Wenn das IPSec mit nem PSK konfiguriert wird muss natürlich die Passphrase auf allen Systemen identisch sein.
1. April 200520 j Danke erstmal. Hat denn nicht vielleicht jemand ne Anleitung wie man das ganze konfiguriert. Will ja kein Zertifikatsbasiertes IPSec sondern mit nem Pre Shared Key. Das wär echt zu schön, denn ich find nix im Netz (keine Anleitung).
1. April 200520 j Grundlegende Konfiguration des RRAS für VPN http://support.microsoft.com/default.aspx?scid=kb;de;323441 Konfiguration des RRAS für Preshared Key http://support.microsoft.com/default.aspx?scid=kb;de;324258 Konfiguration XP für L2TP/IPSec mit Preshared Key http://support.microsoft.com/default.aspx?scid=kb;de;281555
4. April 200520 j Hier findest du auch eine recht gute Anleitung zum Konfigurieren: http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm
4. April 200520 j mal ein paar fragen dazu - kann ich die Verschlüsselung Protokolle/Stärke Einstellen (wenn nicht was wird verwendet) - wie verhält sich das System bei vielen Nutzern, Beispiel Hardware: Dual Opteron 1,8 Ghz mit je 2 GB RAM. Bei einem Test mit OpenSwan ging diesem System bei 150 Usern die Puste aus. - wie sieht das mit der Sicherheit des Systems aus. Da der VPN-Server ja weit vorne steht aber einen Nutzer tief ins LAN lässt ist das ja relativ wichtig.
5. April 200520 j mal ein paar fragen dazu - kann ich die Verschlüsselung Protokolle/Stärke Einstellen (wenn nicht was wird verwendet). Du kannst über die Freigabe der Ports bestimmen ob PPTP, L2TP/IPSec oder beides verwendet wird. Als Verschlüsselung sind für PPTP mit MPPE 40, 56 und 128 Bit wählbar. Für IPSec gibt es DES (56 Bit) oder 3DES. Einstellung erfolgt über die RAS-Richtlinie die den VPN-Zugang regelt. In der Regel sollte wenn möglich L2TP/IPSec gewählt werden, da der Angriffspunkt bei PPTP die Authentifizierung ist. Hier werden die Anmeldedaten unverschlüsselt übertragen. Auch die Authentifizierung lässt sich einstellen. Hier gibt es dann EAP, CHAP/MS-CHAP v1 und v2 sowie PAP und SPAP . Radius-Authentifizierung ist möglich. Die Hilfe unter W2K3 ist übrigens sehr gut, alle infos gibts dort, suche z. B. mit "L2TP verschlüsselung" oder "RRAS Authentifizierung" . - wie verhält sich das System bei vielen Nutzern, Beispiel Hardware: Dual Opteron 1,8 Ghz mit je 2 GB RAM. Bei einem Test mit OpenSwan ging diesem System bei 150 Usern die Puste aus.. Hab ich persönlich keine Erfahrungen mit. Standardmässig richtet der VPN-Server 128 Ports für beide Protokolle ein. Die Last hängt ja aber auch von anderen Faktoren mit ab, wie z. B. Deiner Netzwerkverbindung. Da wird aber denke ich nur ein Test Erfolg versprechen. . - wie sieht das mit der Sicherheit des Systems aus. Da der VPN-Server ja weit vorne steht aber einen Nutzer tief ins LAN lässt ist das ja relativ wichtig. Sicherlich ist es dabei je nach Grüöße Eurer Infrastruktur ratsam den VPN in ein Perimeter-Netzwerk (DMZ) zu stellen. Auch RADIUS-Athentifizierung über einen IAS-Server und Zertifikatsbasierte Anmeldung und Verschlüsselung sind in grßen Umgebungen sinnvol. Zum Thema Härtung des Server emfehle ich das Windows Server 2003 Sicherheitshandbuch. Gibts umsonst bei Microsoft. http://www.microsoft.com/downloads/details.aspx?FamilyID=87b53b0d-4611-4e68-ab2f-af0bc259af99&displaylang=de Beschreibt in Standardszenarien die Betriebssystemhärtung, inklusive Checklisten und Testvorschlägen.
7. April 200520 j Moin! Wollt mal fragen wo ich beim 2000ér Client den Vordefinierten Schlüssel eingeben kann??? Bei XP hab ichs ja gefunden, aber bei 2000 nicht. Wär super wenn da jemand ne antwort wüsste! Danke
7. April 200520 j schau mal hier... ist bischen komplizierter unter Win2k. http://support.microsoft.com/kb/240262
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.