Jump to content

VPN Verbindung von AH aus ESP umstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich weiss es ist eher eine Anfänger Frage, aber ich komme leider nicht weiter und habe auch unter suchen im forum keine für mich sinnvolle antwort bekommen.

 

Im Grunde gehts es darum eine funktionierende VPN Verbindung Client XP/ Server 2000 vom AH-Tunnelmodus auf den ESP-Tunnelmodus umzustellen. Dies wurde nötig da eine neuer Router auf der Clientseite zwar VPN IPSec-Passthrough unterstützt aber eben nicht die AH sondern nur die ESP Tunnelvariante zulässt (trifft auf AVM Fritz BOX 7050 und die Netgear Rangemax Router zu).

 

Jetzt meine Frage wie kann ich von AH auf ESP umstellen und was ist dabei zu beachten. Wenn da jemand infos hätte wäre ich sehr dankbar. Vielen Dank schon mal im Voraus.

 

Oliver Pressmar

Link zu diesem Kommentar

Eigentlich ist es kein Problem, da die beiden IPSec-Partner anhand von Proposals entscheiden, ob eine Sicherheitszuordnung erfolgt oder nicht. Passe ich auf beiden Seiten die Proposals so an, dass eine Übereinkunft stattfinden kann, werden beide Seiten einer Verbindung zustimmen. Wenn Du jetzt die Proposals der Phase 2 so anpasst, dass Datenintegrität (AH) nicht mehr vorgeschlagen wird (auf beiden Seiten) sondern nur noch Vertraulichkeit (ESP mit Verschlüsselung), steht einer Verbindung ohne AH nichts mehr entgegen.

Deine Frage war sehr allgemein gehalten, ich weiss natürlich nicht, was Du dort einsetzt und wie, mich wundert nur ein wenig, dass AH überhaupt eingesetzt wird, da AH über NAT nicht funktioniert und NAT in den allermeisten Fällen eingesetzt wird. Habt Ihr es eingesetzt, damit Eure Daten nicht verändert werden können oder in Verbindung mit ESP ?

Kannst ja mal ein bisschen näher erklären, wie Ihr die Verbindung zwischen den beiden Geräten herstellt ... :)

Link zu diesem Kommentar

Wir haben zwei Internetserver die jeweils eine Internetseite und einen VPN Zugang ermöglichen sollen. Alle Geräte in den Netzwerken haben W2k und die Server sind auch die 2000er Version.

 

Nun soll von aussen über das Internet auf die jeweiligen lokalen Netzwerke zugegriffen werden. Dazu wird an den Clients entweder W2K oder WXP die betriebssystemeigene VPN Verbindung aufgebaut. Auf der Serverseite wird auch die betriebssystemeigene VPN Lösung des 2K Servers benutzt.

 

Wenn ich jetzt von aussen ohne Router eine Verbindung aufbau, erhalte ich folgende Details unter XP

 

Gerätename: WAN-Miniport (PPTP)

Gerätetyp: vpn

Servertyp: PPP

Übertragung: TCP/IP

Authentifizierung: MS CHAP V2

Verschlüsselung: MPPE 128

Komprimierung: MPPC

PPP-Multilinkframing: Inaktiv

 

Jetzt ist es so, dass ich aber auch über andere Clients die über verschiedene Router (z.B. Netgear Rangemax) auf die lokalen Netzwerke zugreifen muss. Leider erlauben viele neue Router diese Art der VPN Verbindung nicht. Mir wurde gesagt, dass es daran liegt das die neuen Router keinen AH sondern nur ESP Tunnel erlauben.

 

Jetzt meine Frage was muss ich Server wie clientseitig umstellen, dass ich eine VPN Verbindung auch durch diese Router hindurch etablieren kann. Entscheidend dabei ist ja noch zusätzlich (wenn ich das richtig verstehe), das ich das Protokoll von PPTP auf L2TP/IPSec umstellen muss, da die Router ja nur "IPsec Unterstützung: VPN Pass-Through" unterstützen. Ich weiß, dass das alles ein recht umfägliches problem ist, aber für Hilfe bin ich sehr dankbar.

Link zu diesem Kommentar

Im Moment baust Du einen PPTP-Tunnel auf, der mit IPSec, also auch mit AH und ESP überhaupt nichts zu tun hat. Deine Router werden sicher den TCP-Port 1723 (PPTP) nach innen leiten können. Was eventuell Probleme bereiten könnte ist GRE (IP-Protokoll 47), welches für die Kapselung der PPP-Rahmen benutzt wird. Überprüfe doch mal, zur Not mit Hilfe des Herstellers der Geräte, ob Deine Geräte sowas zulassen, bevor Du alles ummodelst.

IPSec allerdings ist ohne Frage die bessere Lösung, die zwar komplizierter zu handhaben ist, aber,wenn es dann läuft, als sehr sehr sicher gilt.

Link zu diesem Kommentar
Leider erlauben viele neue Router diese Art der VPN Verbindung nicht. Mir wurde gesagt, dass es daran liegt das die neuen Router keinen AH sondern nur ESP Tunnel erlauben.

 

Bitte wendet euch bei solch sicherheitsrelevanten Fragen an Profis!! So eine Aussage zu treffen (bei deiner Ausgangslage) ist fast schon ne Frechheit :shock:

 

m Moment baust Du einen PPTP-Tunnel auf, der mit IPSec, also auch mit AH und ESP überhaupt nichts zu tun hat. Deine Router werden sicher den TCP-Port 1723 (PPTP) nach innen leiten können. Was eventuell Probleme bereiten könnte ist GRE (IP-Protokoll 47), welches für die Kapselung der PPP-Rahmen benutzt wird. Überprüfe doch mal, zur Not mit Hilfe des Herstellers der Geräte, ob Deine Geräte sowas zulassen, bevor Du alles ummodelst.

IPSec allerdings ist ohne Frage die bessere Lösung, die zwar komplizierter zu handhaben ist, aber,wenn es dann läuft, als sehr sehr sicher gilt.

 

/signed

 

Nochmal kurze Begriffsklärung IPSec:

- AH bestätigt dir lediglich, dass deine Daten nicht modifiziert wurden! (daher nicht mit NAT verwendbar)

- ESP sorgt für die Verschlüsselung deiner Daten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...