Software-VPN - Welche ist zu empfehlen?

[Joyrider]

Hallo,

in der Arbeit plane ich ein VPN einzurichten.

Gegeben wird sein:
- 1 PC/Server mit Windows XP oder Windows Server 2003
- Der PC/Server wird in der Domäne sein
- 1 DSL-Zugang speziell für den PC/Server und das VPN
- Virenscanner + Firewall + Portfilterung auf dem PC/Server
- Benutzerkonten für die Einwahl durch VPN werden eingerichtet
- Einwahl von extern über eine bestehende Internet-Verbindung (DSL)

Fragen:
- Welche VPN-Software bietet sich an?
- Lohnt sich die Windows-eigene Lösung?
- Lassen sich die Benutzerberechtigungen bei Windows vernünftig absichern für VPN?
- Welche Verschlüsselung bietet sich an, bei wenigen/einzelnen Clients?

[de_smutje]

ich würd vnc nehmen wobei du schaun musst welche vers dir am besten gefällt. ich benutze für mein mini serverchen real vnc das is schön schlank^^

[Joyrider]

Was soll ich mit nem VNC wenn ich ein VPN brauche?

[schmidtsmikey]

Cisco VPN Client

[de_smutje]

hö verwechsel ich da gerade was?

[Joyrider]

Ja, tust du

VPN = Virtual Private Network - Du kannst dich von ausserhalb über eine gesicherte/verschlüsselte Verbindung z.B. ins Firmennetzwerk einwählen und siehst dann praktisch das Netzwerk von da auch bei dir zu Hause am PC und kannst es genauso nutzen

VNC = Du kannst nur den Desktop eines entfernten PCs sehen und dort alles machen

[Joyrider]

Ich hab mich für die Windows-Lösung entschieden, jedoch noch 1 Problem:

Die Benutzer brauchen nun 2 Kennungen und 2 Passwörter zum Anmelden:
-VPN-Kennung + PW
-Domänen-Kennung + PW

Kann ich auch eine direkte Domänenanmeldung erlauben, so dass man sich mit seinem Domänennamen + PW beim VPN anmeldet?

[ich1987]

Ich hab mich für die Windows-Lösung entschieden, jedoch noch 1 Problem:

Die Benutzer brauchen nun 2 Kennungen und 2 Passwörter zum Anmelden:
-VPN-Kennung + PW
-Domänen-Kennung + PW

Kann ich auch eine direkte Domänenanmeldung erlauben, so dass man sich mit seinem Domänennamen + PW beim VPN anmeldet?

moin,

also ein bisschen mehr Informationen zur der Umgebung sind hilfreich.
Welcher DomainController W2k3 ?
Wird der VPN-Server auch ein W2k3 Server ?
Gibt es ein ISA-Server (2004/2006) in Netzwerkumgebung / Gibt es eine möglichkeit einen aufzusetzen ?
Soll der VPN Server als Router/NAT fungieren ?
Was hast du bis jetzt gemacht ?

Soll das ganze über Zertifikate laufen also "l2tp + IPSec" oder PPTP ?

Du musst nicht 2 User anlegen, die Domänenuser können sich auch einloggen, wenn die Richtlinie gesetzt ist.

Hier einige Seiten die dir Helfen sollten

http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm
http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Zertifikaten.49.0.html


MfG ich

[Joyrider]

Welcher DomainController W2k3 ?

Wir haben 2 W2K3 DCs

Wird der VPN-Server auch ein W2k3 Server ?

Nein

Gibt es ein ISA-Server (2004/2006) in Netzwerkumgebung / Gibt es eine möglichkeit einen aufzusetzen ?

Nein / (Nein)

Soll der VPN Server als Router/NAT fungieren ?

Ja

Was hast du bis jetzt gemacht ?

Mit 2 XP Maschinen im lokalen Netz und getrennten IP-Bereichen getestet. Einwahl klappt, Routing + DNS läuft auch. Ich habe einen lokalen Benutzer eingerichtet, dem die VPN-Einwahl erlaubt ist. Zertifikate wollte ich grad testen, aber da werde ich wohl um einen W2K3-Server nicht drum herum kommen. Den Server wollte ich erst installieren wenn alle Tests fertig sind und an den vorhandenen will ich nicht rumspielen.

Bei einem der vorhanden Server habe ich mal bei:
Systemsteuerung => Software => Windows Komponenten => Zertifikatsdienste
geschaut, aber da sagt mir der Server dann das der Dienst nicht installiert ist.

Soll das ganze über Zertifikate laufen also "l2tp + IPSec" oder PPTP ?

Derzeit läuft es über PPTP, aber ich möchte aus Sicherheitsgründen L2TP + IPSec einsetzen, jedoch weiss ich nicht ob ich das auf dem XP testen kann. Die (vorgezogene) Installation des Servers wäre aber im Notfall möglich. Ich habe mit OpenSSL ein Zertifikat angelegt, kann es aber nicht benutzen.

Du musst nicht 2 User anlegen, die Domänenuser können sich auch einloggen, wenn die Richtlinie gesetzt ist.

Welche Richtlinie genau meinst du?

http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm
http://www.serverhowto.de/Einrichten-ei ... .49.0.html

Seite 1 kenn ich, damit arbeite ich

Seite 2 sieht nett aus - Frage dazu: Muss für die Installation der Zertifikate der entsprechende Server zwangsweise ein DC sein oder reicht es wenn er in der Domäne ist?

Danke schonmal im Voraus für die Infos und die Fragen.

[ich1987]

moin,

Also der Zertifikatsserver muss kein DC sein, die einrichtung des Zertifikatsserver ist relativ einfach.

Ich würde an deiner Stelle den W2k3 Server installieren, denn so kannst du das richtig und Betriebsgetreu testen.

Wenn du denn W2K3 Server installiert hast und die VPN/Routing/RAS Dienste installiert und konfiguriert hast (bei den Routing und Ras Diensten kannst du auch Festlegen welche User eine Verbindung aufbauen können --> Domänenuser etc.., jedoch musst du im Active Directory dennen auch den Zugriff erlauben, also den einzelnen Usern) solltest du erstmal gucken ob PPTP Verbindungen klappen.

Du kannst auch auf dem VPN-Server die Windows Zertifikatsdienste Installieren das klappt auch ohne Probleme.
Damit auf dem VPN-Server L2TP(IPSec) Verbindung aufgebaut werden, müssen auf dem VPN-Server das Stammstellenzertifikat und das IPSec Zertifikat installiert sein, auf dem Client muss nur das IPSec Zertifikat installiert werden.

MfG ich

[Joyrider]

Hab ich (fast) alles auch schon gemacht

Der Zertifizierungsserver läuft, ich hab mit dem Client auch eins beantragt, das am Server ausgestellt und am Client installiert. NUR: Ich kann es nicht auswählen und weiss nicht wieso.


Ich hänge hier direkt vor Punkt 8 fest:
http://www.gruppenrichtlinien.de/index. ... inwahl.htm


Wenn ich die VPN-Verbindung herstellen will (habe alles schon so gemacht wie in Punkt bekomme ich die folgende Meldung: "Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

[ich1987]

moin,

Also das IPSec Zertifikat hast du auf dem Client und dem Server im Lokalem Zertifikatsspeicher!, und nicht in dem Benutzerkonto installiert ?

Wenn ja musst du bei dem Client (Verbinden mit....unter Netzwerkverbindungen) als VPN-TYP L2TP-IPSEC-VPN eingeben und bei dem Reiter Sicherheit kannst du alles auf Standard belassen, ein IPSec Schlüssel muss/darf nicht eingetragen werden. Auf dem Server hast du auch das "Zertifizierungsstellenzertifikat" installiert?

Das Zertifikat hast du dir über die Zertifikatswebsite ausgestellt ? (http(s)://Servername/CertSrv)

Hast du überprüft ob PPTP funktioniert, ist zwischen dem CLient und dem Server eine Firewall bzw. Router der die Ports blockt oder nicht weiterleitet ?

//edit
Das EAP-Zeug brauchst du nicht. Im Reiter "Sicherheit" der VPN-Verbindung auf dem CLient kannst alles auf Standard lassen also Sicherheitsoption -> Typisch (Sicheres Kennwort ist erforderlich und Datenverschlüsselung ist Erforderlich)

MfG ich

[Joyrider]

moin,

Also das IPSec Zertifikat hast du auf dem Client und dem Server im Lokalem Zertifikatsspeicher!, und nicht in dem Benutzerkonto installiert ?

Hatte beides probiert, aber beide Male die gleiche Meldung.

Wenn ja musst du bei dem Client (Verbinden mit....unter Netzwerkverbindungen) als VPN-TYP L2TP-IPSEC-VPN eingeben und bei dem Reiter Sicherheit kannst du alles auf Standard belassen, ein IPSec Schlüssel muss/darf nicht eingetragen werden. Auf dem Server hast du auch das "Zertifizierungsstellenzertifikat" installiert?

Ja, ist installiert.

Das Zertifikat hast du dir über die Zertifikatswebsite ausgestellt ? (http(s)://Servername/CertSrv)

Ja.

Hast du überprüft ob PPTP funktioniert, ist zwischen dem CLient und dem Server eine Firewall bzw. Router der die Ports blockt oder nicht weiterleitet ?

PPTP geht ohne Zertifikat, ja.

//edit
Das EAP-Zeug brauchst du nicht. Im Reiter "Sicherheit" der VPN-Verbindung auf dem CLient kannst alles auf Standard lassen also Sicherheitsoption -> Typisch (Sicheres Kennwort ist erforderlich und Datenverschlüsselung ist Erforderlich)

Werd ich morgen mal testen.

Danke nochmal.

[ich1987]

moin,

Hast du auch überprüft ob die IPSec Zertifikate wirklich im "lokalem Zertifikatsspeicher"(Computerkonto) sind ?

Du kannst das über MMC.exe und dann Snap-Inn hinzufügen, dann Zertifikate auswählen ausprobieren.

Diese Fehlermeldung habe ich immer bekommen, wenn irgendwas mit den Zertifikaten nicht gestimmt hat.

MfG ich

[Joyrider]

So, 2 neue Probleme nachdem die alten gelöst sind:
Beim Verbinden zum Server:
"Fehler 786: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da auf dem Computer kein gültiges Zertifikat für die Sicherheitsauthentifizierung vorhanden ist."

Ich habe ein neues Zertifikat ausgestellt und darauf geachtet das es im lokalem Zertifikatsspeicher ist.

Das Zertifizierungsstellenzertifikat auf dem Server habe ich auch nochmal neu installiert.

Beim Client habe ich jedoch die folgende Meldung im MMC bei den Zertifikaten: "Zertifikatsinformationen: Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden."

Ich habe das Zertifikat auch zu den Vertrauenwürdigen hinzugefügt, aber es bringt leider nichts. Und so langsam weiss ich nicht weiter.

Edit: Die Zertifikate die ich ausstelle sind IPsec-Zertifikate.

Edit2: Ich habe nochmal ganz genau die Anleitung gelesen. Da steht auch etwas von Zertifikatsvorlagen. Vorlagen habe ich nicht benutzt, da ich diese nicht erstellen kann. (Wird nirgends angezeigt). Ich habe hingegen einzelne Zertifikate erstellt.

[ich1987]

moin,

ALso die Zertifikatsvorlagen brauchst du nicht, die werden nur gebraucht wenn der Zertifikatsserver als Unternehmenszertifikatsserver anderen zertifikatsstellen die Zertfikatsvorlagen und Blocklists zur Verfügung stellt.
Aber in deinem Fall gibt es ja nur einen Zertifikatsserver.

Also der Fehler 768 hängt mit den Zertifikaten zusammen, die werden nicht richtig aktualisiert/verifiziert. Verusch nochmal auf dem Client das Stammstellenzertifkat zu installiert, auch im Lokalem Zertifikatsspeicher!.

Vielleicht hast du den Falschen Zertifikatsserver installiert, da gibt es ja 4 zur Auswahl.

Ich werde heute Nachmittag mal gucken, was alles konfiguriert werden muss und wie, dann sage ich diir bescheid.

MfG ich

[Joyrider]

Bin nen Schritt weiter, aber schon wieder einen Fehler:
Fehler 919: Der Remotecomputer konnte unter der Verwendung des Authentifizierungsprotokolls nicht authentifiziert werden. Die Verbindung wurde abgebrochen.


Wollte dich nur informieren, recherchieren tue ich jetzt was das wieder für eijn Problem ist

[Joyrider]

Morgen,

ich habe eben erneut getestet, eine Verbindung ist überhaupt nicht möglich: Weder mit PPTP noch mit L2TP-IPSec

Scheint am Server zu liegen, aber ich weiss nicht was ich da noch einstellen kann.

Laut den Dokus/Tutotrials die ich gefunden habe gehts viel einfacher



Edit: Hab nochmal beim Server die Zertifikatsdienste komplett gelöscht und erneut alle Zertifikate usw. erneuert

Seitdem gehts

[ich1987]

Edit: Hab nochmal beim Server die Zertifikatsdienste komplett gelöscht und erneut alle Zertifikate usw. erneuert

Seitdem gehts

moin,

funktioniert L2TP(IPSec) jetzt auch ?

MfG ich

[Joyrider]

Ja, funzt 1a

Hab mir auch ne eigene Doku gemacht, mit allem Drum und Dran