Site-to-Site-VPN mit Windows Server 2016

[mwiederkehr 373]

Hallo zusammen

 

Kennt jemand eine gute Anleitung für den Aufbau eines Site-to-Site-VPN mit IPSec zwischen einem Windows Server und einer Firewall?

 

Habe diese hier durchgearbeitet, leider ohne Erfolg: https://www.icttipsandtricks.nl/2017/01/16/sonicwall-site-to-site-vpn-tunnel-in-main-mode-server-2012r2/

 

Irgendwie scheint IKE nicht aktiviert zu sein. Versuche ich von der Firewall (ZyWALL) her eine Verbindung aufzubauen, heisst es "IKE no response". Baue ich die Verbindung vom Server her auf (durch Pingen eines Hosts im Remote Subnet), kommt nichts auf der Firewall an.

 

Habe es dann auch mit RRAS versucht (Demand-Dial Interface). Da kam dann auch tatsächlich etwas an und nach Umstellen der Proposals bin ich sogar bis Phase 2 gekommen, dann war aber Schluss.

 

Ziel wäre, dass die Firewall eine Verbindung zum (gehosteten) Server aufbaut und so das lokale Netzwerk mit dem Server verbindet. Die Thematik ist mir nicht fremd, bis jetzt hatte ich einfach immer Firewalls auf beiden Seiten im Einsatz oder dann waren es PPTP-Verbindungen von Clients. Wäre sehr dankbar für einen Link zu einer guten Anleitung. Finde erstaunlich wenig im Netz.

[4zap 17]

Firewall bei IPSec/IKEv2 Ports aufmachen bzw. weiterleiten. 4500, 500, 50, 51 (glaub ich für ipsec) dazu nehmen.... wenn du einen RRAS betreibst müssen die ports zu diesre IP geforwarded werden. Am Server müssen die ports auch offen sein.... sonst kommten die Verhandlungen über den Tunnel nicht zum Ende.

[mwiederkehr 373]

Vor dem Server steht keine Firewall (es ist ein Testserver bei Azure ohne "Netzwerksicherheitsgruppe"). Testweise habe ich auf der Windows Firewall alles aufgemacht von der IP des zweiten Standorts her. Da sollte also alles durch gehen.

[Dukel 454]

Ich würde dies nicht unbedingt mit einem Windows Server machen sondern mit einer Firewall davor.

[testperson 1.677]

Hi,

 

du kannst doch in Azure entsprechende VPN Dienste / Gateways / Appliances nutzen.

Für Zyxel: https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=015536&lang=EN

 

Gruß

Jan

[mwiederkehr 373]

Danke für den Link testperson!

 

Das Gateway ist mir bekannt. Es geht mir aber grundsätzlich nicht um Azure, habe dort nur den Testserver gemacht, weil das dank dem Guthaben vom Action Pack die schnellste und günstigste Möglichkeit war, für ein paar Tage einen externen Server zu mieten.

 

Die produktiven Server werden nicht alle bei Azure stehen, sondern bei einheimischen Dienstleistern. Diese bieten teilweise keine VPN-Dienste an oder nur zu einem hohen Preis. Deshalb dachte ich, ich probiere es mal ohne, da der Server 2016 ja IKEv2 unterstützt.

 

Wenn ich aber sehe, dass man keine Tutorials dazu findet, muss ich aber fast davon ausgehen, dass die Funktion nicht so häufig genutzt wird. Oder aber von Leuten, die keine Tutorials brauchen. :)

[testperson 1.677]

Was soll denn so ein Server später einmal machen? Evtl. passt der Dienstleister oder das Budget ja gar nicht zur Anforderung ;)

bearbeitet 25. September 2017 von testperson

[mwiederkehr 373]

Der Kunde vertreibt eine Branchenlösung für Autowerkstätten. Bei grösseren Werkstätten installiert man die auf dem Server vor Ort, bei mittelgrossen Firmen (so ab 5-7 Benutzern) hat man bis jetzt einen gehosteten virtuellen Server genommen mit VPN vom Provider. Da ging das auch mit den Kosten.

 

Das Problem sind die vielen kleinen Werkstätten, so in der Grösse 1-3 PC-Benutzer. Die habe ich bis jetzt jeweils knapp zu einem HPE ProLiant ML30 überreden können, damit "einen PC laufen lassen" wegfällt. Nur ist das auch keine so tolle Lösung. Backup vor Ort, weil Online Backup zu teuer (und "da bricht eh niemand ein"). Etc. etc...

 

Deshalb dachte ich, man könnte diese Werkstätten auf gehostete virtuelle Server migrieren. Von den Kosten her ginge das mittlerweile und SPLA können auch immer mehr Anbieter. Nur eben VPN wird benötigt, gemappte Drucker gehen nicht wegen Schachtsteuerung, Scan2Folder etc.

 

Es wäre schön, wenn man für so einfache Szenarien kein VPN-Gateway benötigen würde. Deswegen habe ich mich mal an einen Versuch mit der Terminierung des VPN auf dem Server gewagt und gehofft, dass jemand hier schon so etwas im Einsatz hat.

[testperson 1.677]

Ggfs. wäre die Terra Cloud von Wortmann etwas? Da kannst du einzelne VMs inkl. Firewall für VPN mieten. Zumindest hostet eine andere Abteilung bei uns da für Kunden in deinem Bereich.

Ich habe bei uns für entsprechende Kunden in "unserem RZ" eine eigene ("recht spezielle") shared Umgebung in Betrieb genommen.

[mwiederkehr 373]

Danke für den Tipp! Meine Kunden wollen die Daten aber in der Schweiz haben. :) Wobei es auch hier entsprechende Angebote gibt (einige Provider bieten sogar schon Azure Stack an), aber halt nur für den entsprechenden Preis. Für eine mittelgrosse Umgebung sind 50 Fr./Monat für einen VPN-Tunnel nicht zu viel, zumal man sich dann um nichts gross kümmern muss. Aber wenn es um ein oder zwei Benutzer geht wird es schwieriger.

 

Habe noch etwas getestet und es hinbekommen mit dem Server 2016. Falls es in Zukunft jemanden interessieren sollte:

 

Mit RRAS ("Demand-dial Interface") habe ich es nicht zum Laufen gebracht. Mit der Windows Firewall und einer "Connection Security Rule" ("Verbindungssicherheitsregel") läuft es. Mein Fehler war, dass ich auf der Firewall IKEv2 gewählt habe, weil RRAS nur das unterstützt. Die Windows Firewall nimmt aber immer IKEv1... Der Tunnel steht und Verkehr geht in beide Richtungen durch. Nicht hinbekommen habe ich Routing. Kann auch keine Route erstellen, da es für den Tunnel kein Interface gibt. Aber das ist nicht wichtig in so kleinen Umgebungen. Wenn man mehrere Server hat, kann man sich ein VPN beim Provider mieten oder eine Firewall-Appliance in einer VM laufen lassen.

 

Ist praktisch, eine solche Lösung mit Bordmitteln zu haben, aber ein Ersatz für eine richtige Firewall ist es natürlich nicht.