PowerShellAdmin 169 Geschrieben 6. September 2012 Melden Teilen Geschrieben 6. September 2012 (bearbeitet) Hi, ich bin dabei unsere VPN vom unsicheren PPTP auf L2TP/IPSEC umzustellen. Das Ganze hat auch in einer Testumgebung geklappt - 2008r2, öffentliche IP und in der Firewall vom Router UDP 500,UDP4500 sowie Protokoll 50 für das System freigebgeben. (Arbeite mit PSKs anstatt Zertifikaten). Nun habe ich im Router das Portforwarding angepasst und UDP 500,UDP4500, UDP1701 (Laut Lancomwebsite wird das ESP Protokoll bei UDP 500 automatisch mit geforwarded...)auf die interne IP umgestellt - Da spare ich mir die öffentliche IP und die MA benötigen keine neue VPN Webadresse. Einwahl per L2TP-Iphone via RouterIP/Portforwarding -> funktioniert Einwahl per L2TP-Windows via RouterIP/Portforwarding->Error 678 Einwahl per L2TP-Iphone via 2. öffentliche IP -> funktioniert Einwahl per L2TP-Windows via 2. öffentliche IP->funktioniert Im Router habe ich Nat-Transversal aktiviert - wir verwenden einen Lancom 1681V Da ich kein Netzwerkexperte bin, wäre ich über einen Tipp sehr dankbar. Viele Grüße & Danke Admin Habe die Frage auch nochmals im Lancomforum gestellt http://www.lancom-forum.de/ptopic,63731.html#63731 bearbeitet 6. September 2012 von PowerShellAdmin Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. September 2012 Melden Teilen Geschrieben 7. September 2012 Arbeite mit PSKs anstatt Zertifikaten Nur mal so eingeworfen: IPSec mit Pre Shared Keys zu verwenden, ist genauso, wenn nicht sogar noch unsicherer als PPTP/MSChap2. Der sendet dann nämlich an Jeden, der eine Verbindung versucht, den Hash frei Haus, sofern der Aggressive-Mode eingestellt ist, wovon ich mal ausgehe (oder haben Eure Clients alle feste IPs? ) Also wenn Du umstellst, dann nutze am besten direkt Zertifikate ;) Zu Deiner Frage: Das sieht für mich tatsächlich nach einem Lancom-spezifischen Problem aus. Daher würde ich einfach mal abwarten, was im dortigen Forum geschrieben wird. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. September 2012 Autor Melden Teilen Geschrieben 7. September 2012 Ich wollte eigentlich nen TMG vorschalten und mit Zertifikaten arbeiten... aber was man will und welche Benutzerfreundlichkeit gefragt ist - 2 paar Schuhe... Den PSK unverschlüsselt zu haben sehe ich auch als Nachteil, die Verbindung selbst ist aber dennoch sicherer als PPTP - Ist eher eine organisatorische Unsicherheit :/ Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. September 2012 Melden Teilen Geschrieben 7. September 2012 die Verbindung selbst ist aber dennoch sicherer als PPTP - Ist eher eine organisatorische Unsicherheit :/ Das kommt drauf an. Schau Dir mal dieses Whitepaper von Bintec an: http://www.corex.at/whitepapers/wp_bin_vpn_preshared_keys.pdf Dort wird schön und verständlich beschrieben, warum VPNs mit Preshared Keys nicht sicher sind und was man dabei beachten muss. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. September 2012 Autor Melden Teilen Geschrieben 7. September 2012 Hi, das ist echt informativ. Das ich über die Zertifikatslösung einzelne Endgeräte sperren kann war mir bekannt und das bei Diebstahl der PSK geändert werden muss bzw in einen temporären Intervall. Auch die Komplexität des PSKs wurde beachtet und ich wollte einen 3 monatigen Wechselintervall nutzen. Was mich nur interessiert, die Schwäche durch den Hashwert besteht doch bei einem Zertifikat ebenso - Hier hat jeder Client seinen eigenen PSK innerhalb des Zertifikats- oder arbeitet die Authentifzierung an dieser Stelle anders und ist durch das Zertifkat zusätzlich verschlüsselt - Gibt daher nicht den gleichen kritischen Rückgabewert? Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. September 2012 Melden Teilen Geschrieben 7. September 2012 Nein. Dabei gibt es eben keinen PSK, sondern jeder Nutzer hat sein eigenes Zertifikat, auf das er natürlich entsprechend aufpassen muss. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. September 2012 Autor Melden Teilen Geschrieben 7. September 2012 Da es da derzeit eh noch Probleme gibt werde ich das nochmal durchtesten. @Nutzer du meinst jeder Rechner hat sein eigenes Clientzertifikat oder ? Vielleicht kann ich die GF ja dann doch noch überreden -.- der TMG wäre mir zusätzlich am liebsten gewesen, da hätte ich SharePoint & co noch mit absichern köennen :-( Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. September 2012 Melden Teilen Geschrieben 7. September 2012 @Nutzer du meinst jeder Rechner hat sein eigenes Clientzertifikat oder ? Wenn man die höchstmögliche Sicherheit will, ja. Dazu hab ich auch noch einen Link für Dich: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Hatte sehr zu meinem Verständnis beigetragen. Dort wird auch auf die Problematik mit Clients hingewiesen, die nicht zur Domäne gehören, was mich momentan ein wenig abschreckt. Es gibt zwar den Trick mit der kurzfristigen Domänenaufnahme, allerdings finde ich das doch sehr umständlich. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. September 2012 Autor Melden Teilen Geschrieben 7. September 2012 Wieso Domainmember - Man muss halt über den Certserver vom Rechner auf einen Aufruf starten und erhält dann das Zertifikat. Nur wie soll Ma mit seinem PC (zuhause) ohne VPN an den Certsrv kommen - natoll ... Kann ich nicht ähnlich wie beim IIS einen request vom Rechner starten und ich erzeuge den Ma das Zertifikat ? Zitieren Link zu diesem Kommentar
markus.angerer 10 Geschrieben 22. Juni 2013 Melden Teilen Geschrieben 22. Juni 2013 (bearbeitet) Hallo, ich seh dass eure Diskussion nicht mehr ganz aktuell ist, aber nachdem ich das ganze vor ein paar Wochen zufällig zum Laufen bekommen habe und jetzt sogar noch versucht hab es zu dokumentieren soweit es ging (und ich ausserdem so stolz auf mich bin ;)) dachte ich ich schreib hier mal eine Antwort. Vielleicht hilft's ja jemandem weiter. Meine Doku gibt's hier: Windows 7 Non-Domain Member per L2TP VPN und Zertifikaten mit dem Server verbinden http://i-link.de/L2TP/L2TP_Certificate_VPN.html oder als PDF: http://i-link.de/L2TP/Windows_L2TP_VPN_mit_Zertifikaten.pdf Wär schön wenn jemand ein feedback dazu posten könnte ob's klappt. Oder vielleicht hab ich ja einen grundsätzlichen Denkfehler was die Sicherheit anbelangt? Auch dann wär Feedback sehr interessant. Viele Grüsse, Markus bearbeitet 22. Juni 2013 von markus.angerer Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.