Anfänger: WinSrv2003 und VPN

[alexstarke 10]

Hallo Gemeinde,

 

habe ein Anfängerproblem mit Win2k3srv und VPN-. würde den RAS gerne so konfigurieren, dass eine einwahl von außen via VPN (am besten IP Sec) möglich ist. der Server steht hinter einem Router. Port Forwarding ist kein Problem.

 

problem ist dass beim einrichten des VPN der win2k3 server sagt, er bräuchte eine zweite netzwerkschnittstelle??? ich müsste doch über eine portweiterleitung einen tunnel auf die nw-karte aufbauen können und über die selbe wieder rausgehen können, oder???

 

wo liegt das problem

 

Gruß, alex

[Tabo 10]

Hallo

 

Das wurde schon öffters mal besprochen, aber schau dir den Link unten mal an!

 

 

http://tabo4all.de/software

 

Gruß

 

Tabo

[grizzly999 11]

Du darfst beim 2003-RAS Assistent zum Einrichten des VPN-Servers nicht gleich im ersten Fenster die Checkbox "VPN" nehmen, sondern "Benutzerdefiniert" und dann im zweiten Fenster erst den Haken bei "VPN" setzen ;)

 

 

grizzly999

[Tabo 10]

@ Grizzly

 

 

Recht haste, aber muste immer das letzte wort haben???

 

 

Grins !!! Grins !!!

 

 

Gruß

 

Tabo

[alexstarke 10]

soo. also hab das nun so umgesetzt wie in der hilfe von tabo beschrieben.

IPSEC passwort auch vergeben. beim aufbau im client eingestellt. trotzdem sieht es aus wie eine PPTP verbindung. und wenn ich das passwort falsch eingebe im client kommt trotzdem eine verbindung zu stande. wieso das?

 

außerdem noch 2 fragen: kann ich die anmeldung/verschlüsselung irgendwie mit zertifikaten realisieren? Beziehungsweise mit eine pre-shared key für jeden user und nicht einem allgemeinen?

 

Wie sieht es mit der verschlüsselung von dem in Windows implementierten IP-Sec aus? Ist das ein "Full-IPSEC" oder wird nur der Paket-inhalt verschlüsselt anstatt ein komplettes paket?

 

danke im vorraus, alex

[grizzly999 11]

Was heißt "sieht aus wie eine PPTP-Verbindung"

Ist es eine oder nicht? Das kann man im RAS-Server, wie aber auch in den Details der Clientverbindung nachschauen.

 

Ja, man kann ein VPN auch mit Zertifikaten realisieren, ist aber ein größerer Aufwand. Wenn die HowTo Sektion fertig ist, wird da auch ein HowTo dazu geben :)

Bei 2003 ist der optionale Preshared Key zwar möglich, aber nur einer.

 

Bei IPSEC wird immer nur der Payload verschlüsselt, ob Microsoft oft irgend ein anderer Hersteller, nie das ganze Paket. Wie sollte das dann auch durchs Netzwerk gehen oder geroutet werden können, wenn es keiner lesen kann.

 

grizzly999

[alexstarke 10]

also: habe den IPSec pre-shared key eingegeben in client und server aber er stellt eine verbindung über PPTP schnittstelle am RRAS her.

Nur warum weiß ich nicht.

 

ist das Howto schon vorhanden? kann ich das vielleicht vorab schonmal per mail, o.ä. bekommen?? Wär echt super! Würde es nämlich weit lieber mit zertifikaten machen. einen einzigen preshared key für alle ist mir einfach zu unsicher, dass der irgendwann beine bekommt und überall im umlauf ist.

 

Zu der verschlüsselung: mir ist klar, das eigentlich nicht ALLES verschlüsselt werden kann. dennoch gibt es wohl unterschiedliche arten der IPSec verschlüsselung in der menge des paketes. Der Borderware Firewall server verschlüsselt z.b. angeblich umfangreicher als Windows?? Hab ich nur gehört! Weiß es nicht wirklich. Aber ist da was dran?

[JackY 10]

Moin.

 

 

Also ich bastel auch grad an einem VPN mit 2003 Server.

 

Also du kannst beim Client in den einstellungen der Verbindung unter dem reiter "Netzwerk" den VPN-Typ wählen (zwischen PPTP sowie L2TP mit ipsec)

 

Beim server geht das auch irgendwie... ich glaub unter den RAS-Richtlinien im Routing+RAS-Dienst.

 

 

Gruss Daniel

[alexstarke 10]

ok! mit hilfe von dem umstellen hab ich es jetzt auch geschafft. ansonstren hat er immer eine PPTP verbindung aufgebaut.

 

aber er beut die IPSEC verbindung nicht auf. Der pre-shared-key stimmt überein auf server und client. Fehlermeldung ist:

 

Fehler 792: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandlung das Zeitlimit überschritten hat.

[/Quote]

 

ports 50,51 und 500 sind auf den server weitergeleitet...

 

jemand ideen?

[JollyJumper 10]

Läuft IPsec nicht auf Port 1723?

[alexstarke 10]

1723 ist der port für PPTP???!?

 

aber der ist auch weitergeleitet! VPN connect mit PPTP geht ja....

[JackY 10]

Also mit dem Vpn mit IPSec würd mich auch mal interessieren.

 

Ich hab nen Dlink-Router, im manual steht das er PPTP sowie L2TP unterstützt.

 

Ich hab auch ports für PPTP,IPSec sowie L2TP auf den server weitergeleitet.

 

Im vpn server ist auch der IPSec schlüssel eingetragen und auch im client, aber die Verbindung baut es trotzdem nur über PPTP auf :(

Selbst wenn ich im client wähle er soll nur L2TP probieren

 

Wär cool wenn jemand weis warum es nicht funzt

 

 

Mfg JackY

[vicharee 10]

Hallo,

 

für L2TP musst du folgendes freigeben:

 

Port 500, udp (für IKE), Port 1701, udp (für L2TP-Verkehr), Protokoll 50 und 51 (nicht Port!!) müssen weitergeleitet werden.

 

Wenn du über einen NAT-Router gehst, poste noch mal.

 

vicharee

[grizzly999 11]

Für L2TP muss kein Port 1701 weitergeleitet werden, nur UDP 500 und Protokoll 50 (ESP) oder 51 (AH) ;)

 

grizzly999

[vicharee 10]

Hast ja Recht, grizzly, beim Tunneln über L2TP ist es normalerweise nicht möglich. Habe aber gelesen, dass es teilweise zum Erfolgt geführt hat, wenn die Sache nicht funzte.