IPSEC VPN Verbindung erstellen

[Evoco 10]

Hallo zusammen ich habe folgendes Problem!!!

 

Ich soll eine VPN verbindung aufbauen so dass mein Chef z.B. von zu hause auf das Netzwerk zugreifen kann.

 

Wir haben in unserer Domäne ein SBS 2003 Server mit 20 Clients.

 

Ich habe schon auf dem Server Routing und Ras eingerichte und bei unserem DSL Router dies auch gemacht.

 

Bis dahin noch kein Problem.Denn die VPN verbindung an sich funktioniert schon, also man kann schon per Benutzername und Kennwort sich per vpn anmelden.

 

Weil ich aber gelesen habe, das nur per Benutzername und Kennwort sehr unsicher ist,möchte ich VPN Verbindung mit IPSEC einrichten also mit Zertifikaten.

 

Das Problem ist ich kenn mich mit IPSEC nit so richtig aus.

 

Könnte mir jemand schritt für schritt behilflich sein wie ich so was einrichte auf Server als auch Client????

 

Und oder mir mal gute Schritt für Schritt Dokumentationen für Einrichtung VPN per IPSEC zukommen lassen (Bitte auf Deutsch)

 

Ich wäre für eure Hilfe sehr dankbar!!! ;)

[posterme 10]

hi,

 

kuck mal hier bei Gruppenrichtlinien.de unter "HOW-TO" bei "REMOTE VPN ZUGANG" nach,

 

ich denke das dürfte dir weiterhelfen !!

 

ciao

[=BT=Viper 11]

Sofern der Server ein 2003er ist und der Client ein XP SP2 ist, könnte4st du auch IPSEC über L2TP und NAT-Traversal machen.

 

Vorteil: Sicherer als PPTP und kein Ärger mit Zertifikaten.

Nachteil: Nicht so sicher wie echtes L2TP.

 

 

Aber prinzipiell ist L2TP mit Zertifikaten zu empfehlen.

[IThome 10]

Sofern der Server ein 2003er ist und der Client ein XP SP2 ist, könnte4st du auch IPSEC über L2TP und NAT-Traversal machen.

 

Vorteil: Sicherer als PPTP und kein Ärger mit Zertifikaten.

Nachteil: Nicht so sicher wie echtes L2TP.

 

 

Aber prinzipiell ist L2TP mit Zertifikaten zu empfehlen.

 

L2TP/IPSec kannst Du Preshared Key-Authentifizierung benutzen oder mit Zertifikatauthentifizierung (für IPSec). Dabei kann man je nach Konfiguration Benutzername/Kennwort oder Benutzerzertifikate für den L2TP-Verbindungsaufbau benutzen. PPTP Benutzerauthentifizierung kann auch mit einem Zertifikat oder durch Eingabe von Benutzername/Kennwort erfolgen.

[=BT=Viper 11]

Ok, IThome hat wiedermal recht :)

 

Aber dafür ist er ja auch ExpertMember!

[Evoco 10]

Dankeschön die Seite über Gruppenrichtlinien ist sehr gut.

 

Ich habe das so eingerichtet wie es da steht.

 

Ich kann mich jetzt per IPSEC (Zertifikaten) anmelden.

 

Ich habe noch eine Frage.

 

Ich möchte auf unseren Laptop clients das so einrichten das sich die user uber ihr Servergespeichertesprofile anmelden.

 

Wenn ich aber eine VPN-Verbindung einrichte und mich nachdem start des laptops Anmelden möchte und den hacken setze bei

 

"ÜBER DFÜ-Netzwerk anmelden"

 

und dann die VPN verbindung wähle die ich eingerichtet habe kommt folgende Fehlermeldung:

------------------------------------------------

Der DIALOG kann nicht geladen werden.

Fehler 785: Sie können während der Anmeldung nicht über diese Verbindung wählen da diese nicht für Smartcard Konfig. ist.

Sie müssen die Verbindungseigenschaften entsprechend ändern, falls sie die Verbindung während der Anmeldung verwenden möchten.

---------------------------------------------------------------------------

 

Ich habe bei den Verbindung eingestellt eigene Zertufikate benutzen, was ja auch funktioniert wenn ich mich nicht an der Domäne anmelde und dann die VPN Verbindung starte.

 

Ich möchte aber mich mit meinem Profil und den Zertifikaten anmelden.

 

Wie kann ich das umsetzen???

 

Ist es überhaupt möglich und wenn wie????

 

Ich dank euch im voraus!!!!

[grizzly999 11]

Nimm auf dem Client in den VPN-Eigenschaften beui der EAP-Authentifizierung das Häkchen bei "Eigene Smartcard verwenden" raus.

 

grizzly999

[Evoco 10]

Das kann nicht sein denn dort gibt es nur ein Auswahlfeld das ich anklicken kann.

 

Entweder Eigene Smartcard verwenden oder Zertifikat auf diesem Computer verwenden.

 

 

Ich habe Zertifikat auf diesem Computer verwenden genommen und es geht trotzdem nicht.

 

Geht das nur bei Clients die XP haben ich habe win2k drauf.

[IThome 10]

@Grizzly

Kann ich eine VPN-Verbindung (PPTP oder L2TP), die mit Hilfe eines Benutzerzertifikats hergestellt wird, schon bei der Anmeldung überhaupt benutzen ? Habe ich zu diesem Zeitpunkt schon Zugriff auf das sich in dem entsprechenden Benutzerprofil befindliche Zertifikat ?

[Evoco 10]

Das ist eine Gute Frage!!!!

 

Scheinbar nicht!!!

 

Was kann ich den stattdessen machen wenn ich Zertifikate (EAP) benutzen möchte und mich mit meinem Profil über VPN anmelden möchte.

 

Gibt es da eine sichere Lösung??

 

Und wenn welche???

[IThome 10]

Smartcard ?

[Evoco 10]

Ich dachte mehr an eine Lösung die nicht gleich viel Geld kostet.

 

Also momentan habe ich das so eingerichte das sich user mit ihrem Profil über L2TP anmelden können mit der MSCHAP v2 authentifizierung.

 

Aber man kann sich auch ohne sein Servergespeichertes Profile Anmelden mit L2TP und EAP über VPN verbinden.

 

Aber es muß doch auch eine möglichkeit geben wo der User sich mit seinem Benutzername Kennwort Authetifiziert (MSCHAP v2) und außerdem ein Zertifikat nach der Anmeldung abgefragt wird um mehr Sicherheit zu haben.

 

Hat denn da keiner ein Vorschlag????

[IThome 10]

Du hast doch erzählt, dass Du für die IPSec-Authentifizierung Computerzertifikate benutzt ?!

[Evoco 10]

Oh Entschuldigung!!!!

 

Ich hatte es über IPSEC probiert aber damit habe ich es nit hinbekommen.

 

Deshalb habe ich das dann nur über EAP bzw. MS CHAP v2 gemacht.

 

Ich sag ja ich habe davon leider nicht so viel Ahnung deshalb ist mir der Fehler unterlaufen.

[IThome 10]

Was benutzt Du denn jetzt, PPTP oder L2TP/IPSec ? Du kannst bei bestehender Verbindung im Status der VPN-Verbindung sehen, wie die Verbindung zustande gekommen ist