IPSec Richtlinie zur Sicherung der Terminaldienste - über Internet nicht möglich?

[edvlabor 10]

Auf einem Windows 2000 Server der sich über einen Lancom DSL/I-10 Router ins Internet einwählt sind die Terminaldienste aktiviert. In der Routerkonfiguration ist dazu Port 3389 auf die IP des Servers geforwardet. Der Zugriff auf den Server funktioniert so einwandfrei im Netzwerk und von aussen übers Internet. Doch nach der Sicherung der Terminaldienstekommunikation mit einer IPSec-Richtlinie (Schlüsselaustausch über Zeichenkette gewählt) auf dem Server (siehe Microsoft KB-Artikel: http://support.microsoft.com/default.aspx?scid=kb;de;315055) und das zusätzliche Forwarden des Ports 500 auf die IP des Servers ist der Terminalserver von aussen übers Internet nicht mehr erreichbar. Im Netzwerk selbst funktioniert der IPSec gesicherte Aufbau zum Terminalserver problemlos, d.h. eine Fehlkonfiguration ist eigentlich ausgeschlossen. Der Router blockiert also scheinbar irgendwelche IPSec Pakete, auch wenn die Firewall komplett abgeschaltet ist. Sind vielleicht weitere Ports in der zu forwarden ausser 3389 und 500? Der Router kann laut Datenblatt IPSec Pass-Through. Meine Frage: Hat jemand schon erfolgreich nach dieser Anleitung von Microsoft die Terminaldienstekommunikation per IPSec gesichert, sodass man noch übers Internet drauf zugreifen konnte? Oder hat jemand eine Idee wo ein Fehler sein könnte?

[grizzly999 11]

Der Router macht nach hinten hin NAT?! Du wirst du mit W2k-Server schlechte Karten haben, denn dann brauchst du NAT-T, und das gibt's erst bei W2k3

 

grizzly999

[edvlabor 10]

NAT-T ist mir schonmal in nem Microsoft Artikel über den Weg gelaufen. Aber ich dachte wenn mein Router IPSec Pass-Through kann und die IPSec Pakete 1:1 an den Server weiterleitet dann dürfte der keine Probs damit haben - scheinbar wohl doch wegen dem NAT. Kann ich dann überhaupt einen IPSec basierten VPN Tunnel von einem Client zum Win2k Server durch den Router durschschleifen? Oder muss ich mir gleich nen VPN Router kaufen? Ausserdem: Ein Router macht doch immer NAT - also wozu ist das Feature VPN Pass-Through dann gut - nur für die Clients?

[grizzly999 11]

Wenn du ein NAT-Gerät dazwischen hast, dann braucht man NAT-T., weil sonst der AH Header im Paket nicht mehr stimmt (PPTP dagegen hat diesen Header nicht und ist daher unkritisch bei NAT).

VPN Passthrough bedeutet nur, dass der Router die Pakete nicht verwirdft, weil ja kein TCP oder UDP Header mehr da, auf den Regeln angewendet werden könnten.

 

grizzly999

[edvlabor 10]

Vielen Dank für deine Antworten. Jetzt weiss ich endlich Bescheid. Noch eine kleine Frage zum Schluss: Ist es überhaupt sinnvoll, einen VPN Tunnel über PPTP vom Client zum Server herzustellen, um dann nur die Terminaldienstverbindung da drüber laufen zu lassen? Diesen Aufwand nur damit sich ein paar user Remote einwählen können? Hab mal gelesen der PPTP Tunnel lohnt sich nur bei Point-to-point Verbindungen, also Router-zu-Router. Die Terminalverbindung kann ich ja auch mit immerhin 128bit verschlüsseln.

[grizzly999 11]

Also ich mache RDP Sessions auch über PPTP, trotz Verschlüsselung des RDP selber. Doppelt hält besser ;)

Wenn man auf Sicherheit bedacht ist, sollte man bei PPTP aber lange und komplexe Kennwörter benutzen, denn das ist der Angriffspunkt auch für 128-Bit PPTP.

 

grizzly999

[edvlabor 10]

Wenn ich den VPN Tunnel über PPTP hergestellt habe - wie kann ich dann veranlassen, dass eine Terminalverbindung über diesen VPN Tunnel hergestellt wird?