Windows XP als VPN Gateway einrichten

[steppe 10]

Hallo zusammen,

 

bevor ich mich heute abend an die Umsetzung mache frage ich lieber ob hier schon jemand damit Erfahrung gemacht hat.

 

Hintergrund ist folgender:

Unsere Firewall beherscht kein NAT-T über L2TP IPSEC.

Das heisst hinter einem Accesspoint / Router etc können 2 Clients nicht gleichzeitig eine VPN Verbindung aufbauen.

Wenn einer drin ist kann der andere nicht connecten usw.

Dies ist auch in der Beschreibung der Firewall aufgeführt.

 

Nun meine Frage:

Ich habe ein Windows XP Client der sich über L2TP IPsec verbindet und will dass andere ihn als Gateway fürs interne Netz benutzen.

 

Router mit statischen Routen konfigurieren.

192.168.140.0 MASK 255.255.255.0 192.168.178.5

 

Wobei 192.168.140.0 das Firmennetz ist

Wobei 192.168.178.5 der Client mit VPN Verbindung ist

 

Muss ich beim Client die Option unter Erweiterte TCP/IP Eigenschaften (VPN Verbindung) Standardgateway für Remotenetzwerk verwenden aktivieren oder deaktivieren?

 

Grüße

Stephan

[IThome 10]

Ähm, was willst Du machen ? Den XP-Rechner, der die VPN-Verbindung aufbaut, als Router benutzen ? Mit der Internetverbindungsfreigabe ?

[steppe 10]

genau so in der richtung

 

das alle anfragen ins interne netz über den windows xp client laufen

[IThome 10]

Von aussen wählt sich jemand in den XP-Client ein und der soll dann in das interne Netz oder der XP-Client wählt sich in ein extern gelegenes VPN ein und die internen Clients sollen dann diese Verbindung mitbenutzen ? Im ersten Fall kann sich nur einer via VPN verbinden, im zweiten Fall wäre die Internetverbindungsfreigabe eventuell eine Möglichkeit (die ich in dieser Form allerdings noch nicht benutzt habe). Ob "IpEnableRouter" in diesem Fall den XP-Client zum Routen in das VPN-Netz bewegt, ich denke nicht.

Normalerweise benutzt man in solchen Szenarien LAN-LAN Verbindungen ...

edit: was ist NAT-T über L2TP IPSEC ? Sicher können 2 Clients gleichzeitig eine VPN-Verbindung aufbauen, allerdings nicht zum selben Gateway. NAT-Traversal wird vom Initiator und Responder benutzt, wenn festgestellt wird, dass sich ein NAT-Gerät dazwischen befindet. Was ist das denn für ein VPN-Gateway, dass die Verbindungen terminiert ? Je länger ich darüber nachdenke, desto abgedrehter kommt mir das Ganze vor :D

[steppe 10]

Ich glaub am einfachsten kann mans so erklären.

 

Ich will ein quasi "site to site" vpn aufbaun. Mit dem XP Client auf der einen und der Firewall auf der anderen.

 

hinter dem xp client (bzw in dessen segment) sollen dann noch mehrere clients angebunden sein.

 

muss doch gehn :D

[IThome 10]

Da fällt mir nur die Internetverbindungsfreigabe ein, bei der Du die VPN-Verbindung freigibst (alles ungetestet). Die ICS-Clients und der Router müssen dann allerdings angepasst werden, da ja sonst alles über diese ICS-Verbindung läuft. Ich würde Dir allerdings von dieser Bastellösung abraten, zwei VPN-Gateways sind hier der richtige Weg ...

[steppe 10]

VPN Gateway über welche Lösung ?

 

Am liebsten wäre mir natürlich eine virtuelle Maschine.

 

Die Firewall setzt auf openswan/strongswan auf. Geht dann sowas am besten auch mit einer Linux Lösung? (stehe leider mit Linux auf Kriegsfuß ;) )

[Squire 262]

Hi,

 

meine Meinung: Lass das mit XP, besorg Dir einen vernünftigen Router der VPN-Server/Client sein kann. Draytek, Bintec, Zyxel, Linksys seien hier mal als Beispiele genannt, oder setz eine vernünftige VPN Lösung auf W2k3 RRAS oder ISA ein. Alternativ auch IPCop mit OpenVPN ... ist auch für clickibunti Mäuseschubser administrier und konfigurierbar :-)

[IThome 10]

Genau :)