hund555 Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Hallo ich hab paar Fragen zu VPN. (ich will es bestimmt als abschlussprojekt machen, muss aber wissen , ob ich keine schwierigkeiten bekomme) soll mein VPN Server eine bestimmte Software/Handware haben, oder soll ich da was genaues beachten? ich hab probiert wie hier http://www.tu-harburg.de/~pbbgk/technik/network.htm es schnell einzurichten, ging aber nicht. (Hab auch gedacht, dass es nicht so einfach gehen wird) Wenn ich von zu hause auf den Rechner in der Firma zugreifen will, muss ich den Benutzer freischalten (bei Server) und bei dem Client Firmen-IP Adresse mit Benutzernamen und Passwort eingeben (wie bei dem Link oben ) würde es reichen, oder soll ich da was beachten? Wie ist es mit der IP-Adresse? die Firma hat doch nach Aussen nur eine IP Adresse, und von außen kann man doch nicht wissen auf welchen Rechner man zugreifen will/soll ? gibts es irgendwo gute doku wo ich nach der einleitung alles einrichten könnte? danke Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Grüß Dich, Als VPN Server kann ich Dir nur einen Windows 2000 Server empfehlen. Damit kannst Du nichts verkehrt machen und die Funktionen bezüglich VPN Protokoll, Sicherheit etc. lassen sich wunderbar verwalten. Es ist vollkommen Richtig, dass der VPN Server im Netzwerk einen IPadresse hat. Jedoch kann man verschiedene "Virtuelle Ports" erstellen. Die sind vom jeweiligen Protokoll abhängig. Entwerder man nimmt PPTP oder L2TP als VPN Protokoll. Wenn Sich der Client einwählt bekommt dieser eine IP Adresse von deinem Internen DHCP Server, oder eine Adresse aus einem Bereich, den Du seperat freigegeben hast. Bei Fragen mail mir einfach Zitieren
hund555 Geschrieben 12. Januar 2003 Autor Geschrieben 12. Januar 2003 Hallo, danke erstmal für die Antwort. Originally posted by E-Games Grüß Dich, Als VPN Server kann ich Dir nur einen Windows 2000 Server empfehlen. Damit kannst Du nichts verkehrt machen und die Funktionen bezüglich VPN Protokoll, Sicherheit etc. lassen sich wunderbar verwalten. Win2000 Professial geht aber genau so gut, oder kann man bei Win2000 Server besser verwalten? Originally posted by E-Games Wenn Sich der Client einwählt bekommt dieser eine IP Adresse von deinem Internen DHCP Server, oder eine Adresse aus einem Bereich, den Du seperat freigegeben hast. Ich will von zu hause auf das firmennetzwerk zugreifen. und es ist eigentlich egal was der Client für eine IP Adresse hat, ich muss doch auf den Server zugreifen. Wie kann ich auf den Server zugreifen, wenn die Firma nach außen nur eine IP Adresse hat, und ich aber den VPN Server ansprechen will? danke Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 HI, Windows 2000 Professional besitzt keine Routing Funktionalität. Man kann lediglich eine Verbindung auf eine W2KPro Machine herstellen. Bei einem Server können So viele Verbindungen hergestellt werden wie du praktisch möchtest. Wo steht euer VPN Server denn ? Habt Ihr euren Router , bzw den VPN Server nicht in ner DMZ stehen ? Falls nicht ist das kein Problem. Dem Client gibst Du ganz normal die IP-Adresse vom dem Firmenrechner der im Internet steht. Dieser Rechner muß dann so konfiguriert werden das er PPTP Port Verbindungen 1723 automatisch an den VPN Server in deinem Netzwerk weiterleitet an dem Du dich dann letzendlich anmelden möchtest. Zitieren
hund555 Geschrieben 12. Januar 2003 Autor Geschrieben 12. Januar 2003 Originally posted by E-Games HI, Dem Client gibst Du ganz normal die IP-Adresse vom dem Firmenrechner der im Internet steht. Dieser Rechner muß dann so konfiguriert werden das er PPTP Port Verbindungen 1723 automatisch an den VPN Server in deinem Netzwerk weiterleitet an dem Du dich dann letzendlich anmelden möchtest. also hab ich es richtig verstanden: ein Rechner von der Firma muss extern stehen (mit externer ip adresse) und dann die verbindungen an den VPN server weiterleiten? dann kann ich gleich den VPN Server externe IP Adresse geben? (hab noch wenig ahnung davon) Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Also, der Rechner von dem Du die IP Adresse (Die vom Internet aus erreicht werden kann) kennst muß, sofern er nicht gleichzeitig VPN Server ist, die VPN Anfrage von deinem Client (Port 1723) an den VPN Server weiterleiten. Das macht man mit einfachen Inbound/Outbound Regeln. Dort wird einfach gesagt alles was vom TCP Port 1723 reinkommt direkt an Adresse z.B. 172,16,201,1 (Z.B dein VPN Server) weiterleiten Verstanden ? Zitieren
hund555 Geschrieben 12. Januar 2003 Autor Geschrieben 12. Januar 2003 teoretisch schon verstanden aber ob ich es praktisch schaffe weiß ich nciht es wäre gut, wenn es irgendwo doku gibt, wo schritt für schritt alles erklärt ist. falls ich fragen habe, maile ich dir. ok? Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Wenn Du fragen hast, schreib mir ruhig. Ist alles kein Problem. Das kriegen wir schon hin :-) Zitieren
gurkenpapst Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Ich kann dir nur empfehlen, da es sich da um Firmendaten handelt, das Du das ganze mit IPSec realisierst. Bei IPSec weden die Daten vor der Übertragung verschlüsselt. Kostengünstiger gegenüber einem WIN2000 Lizenz ist ein Linux VPN-Gateway. recht gute anleitungen gibt es http://www.natecarlson.com/linux/ipsec-x509.php <- da und auf http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/index.html ... nur so als Alternativlösung. gruss gurkenpapst Zitieren
hund555 Geschrieben 12. Januar 2003 Autor Geschrieben 12. Januar 2003 grukenpast, das weiß ich auch andere Sache ist es zu reasieren. mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen. Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Hi Nochmal, der Versuch mit Linux ist ganz Nett. Ist auch realisierbar. Voraussetzung dafür ist jedoch das Euer InternetRechner als Proxy fungiert. Wenn euer Router NAT macht, dann kannst Du das vergessen. Denn IpSec funktioniert leider nicht mit NAt unter 2000. Da sind bei mir einige schlaflose Nächte drauf gegangen. Ipsec verändert den Header und so kann Nat den nicht mehr eindeutig zuordnen. Da sag ich nur Grundlagenforschung und viel Kaffee :-) Happy Doing :-) Zitieren
hund555 Geschrieben 12. Januar 2003 Autor Geschrieben 12. Januar 2003 ich glaube wir haben NAT (auf jeden Fall geht nur eine IP Adresse nach draussen) soll ich dann L2TP einsetzten? Zitieren
E-Games Geschrieben 12. Januar 2003 Geschrieben 12. Januar 2003 Hi , Nein Du kannst Nicht IPSEC in Verbindung mit NAT nutzen. Es ist immer nur eine Adresse im Internet egal ob Du NAT machst oder ob Du einen Proxyserver hast. Ist Dir der Unterschied beider Funktionen bekannt ? Es gibt nur 3 Möglichkeiten einen Rechner mit dem Internet zu Verbinden. 1. Über einen Proxy, der surft für deine Clients und gibt die Anferderungen weiter ( das wird bei 70% aller Firmen eingesetzt) 2. Über NAT da surfen die Clients selber 3. FEstanbindung über einen Router mit festen Routingeinträgen beim Provider (Das haben meinst nur Riesen Firmen wie Siemens oder Microsoft etc.) Wenn Du NAT haben solltest, dann bleibt Dir bei VPN nur noch PPTP als Protokoll übrig. Das ist ein Standardprotokoll was mit Clients unter Windows 2000 kompatibel ist. Die Verschlüsselung ist bei dem Protokoll bei 56 Bit Allerdings nur der Datenverkehr verschlüsselt, während mit L2tp mit IPSEC die Verbindung zusätzlich verschlüsselt. WICHTIG um L2TP mit IPSEC nutzen zu können (Für die Zukunft), dann brauchst Du 2 Certifikate (Server und Client, um die Authentifizierung abzuhandeln) Happy evening. Zitieren
DownAnUp Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Originally posted by hund555 grukenpast, das weiß ich auch andere Sache ist es zu reasieren. Also ich würde es genauso machen wie gurkenpapst vorgeschlagen hat. Aufjedenfall würde ich dir zu IPSec raten. mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen. Hm, das ist ein Problem. Bist du dir wirklich sicher das du dieses Thema als Abschlussprojekt möchtest? Ich würde es mir gut überlegen einen Themenbereich zu bearbeiten in dem ich nicht 1000%ig fit bin. Informier dich am besten ersteinmal detailiert über die Ausgangssituation, also wie eure Firma ans Internet angebunden ist, wie wichtig die Sicherheit der Daten ist, wieviele Clients sich einwählen sollen, welches Einwahlverfahren genutzt werden soll, wie groß dein Buget wäre usw. Wenn du das alles hast solltest du wirklich darüber nachdenken ob du dieses Projekt überhaupt willst. 35 Stunden sind auch nicht sehr viel Zeit... Zitieren
gurkenpapst Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Originally posted by hund555 grukenpast, das weiß ich auch andere Sache ist es zu reasieren. mit Linux will ich nichts machen, kenne mich da nicht so aus, und mit diesen Anleitung auf Englisch würde ich auch nicht zurecht kommen. Da du es als Abschlussprojekt machen willst solltest du dich aber a) auch mit alternativlösungen beschäftigen und begründen warum diese nicht in Frage kommen. über die grundsätzliche Funktionsweise von VPN, deren Protokolle sowie deren Lücken und Tücken beschäftigen. Du solltest Dir im klaren sein das du durch missliche konfiguration ein erhebliches Sicherheitsrisiko erstellst. Gerade das Thema VPN ist kein "mal eben kurz aus dem Ärmel schütteln", so wie es bei Dir den anschein macht. Wie wäre es den wenn du z.B. zuerst einmal ausführlich über den Aufbau eures Firmennetzes, speziell der teil der mit dem Internet verbunden ist beschäftigst. Vielleicht habt Ihr noch öffentlich IP Adressen zur Verwendung. Vielleicht kannst du euren Router als IPSec gateway einsetzen. usw. usf. P.S. Desweitern frage ich mich wie man in unserem Beruf ohne Englische Dokumentation zurechtkommt... Zitieren
hund555 Geschrieben 16. Januar 2003 Autor Geschrieben 16. Januar 2003 Hallo E-Games, ich hab in einer VPN-Dokumentation das gelesen: Firewall Da der VPN Access Server logisch hinter der Firewall im Netzwerk installiert ist, musste folgende Konfiguration an der Firewall durchgeführt, werden: Port 1701 UDP any VPN Access Server L2TP (Layer 2 Tunneling Protocol) Port 1723 TCP any VPN Access Server PPTP (Point to Point Tunneling Protocol) Port 500 UDP any VPN Access Server ISAKMP (Internet Key Exchange / IPSec) Ich dachte davor, dass es bei dem Router (der Rechner der externe IP Adresse hat) umgeleitet werden muss? es geht doch so ähnlich um die VPN Anfrage weiter zuleiten : in der Dos Box route add 192.... mask ... metrik eintragen oder? Zitieren
E-Games Geschrieben 16. Januar 2003 Geschrieben 16. Januar 2003 Das was Du geschrieben hast ist völlig korrekt. Die Firewall wird mit Sicherheit euer Rechner sein, der mit dem Internet Verbunden ist. Dort must Du diese "Filter" setzen. Mit der DOS box kannst Du lediglich Routen setzen um auf andere Netzwerksegmente zu kommen. Kannst jedoch nicht sagen welche Ports durchgelassen werden sollen oder nicht. Bzw wohin die weitergeleitet werden. Das macht eure Firewall (Was für ein Rechner ist das oder Router der als Firewall läuft ???). Zitieren
hund555 Geschrieben 16. Januar 2003 Autor Geschrieben 16. Januar 2003 Originally posted by E-Games Das macht eure Firewall (Was für ein Rechner ist das oder Router der als Firewall läuft ???). weiß nicht, muss nachfragen ich als Azubi mache da nichts mit Firewall, Router usw. Zitieren
E-Games Geschrieben 16. Januar 2003 Geschrieben 16. Januar 2003 Hi, mich würde mal Interessieren was so dein Aufgabenbereich ist ? Zitieren
hund555 Geschrieben 16. Januar 2003 Autor Geschrieben 16. Januar 2003 rechner installation, aufbau, büroarbeiten, datenbankpfege, und was so kommt vieles was nicht mit FISI zu tun hat, aber da kann man nichts ändern. Zitieren
E-Games Geschrieben 16. Januar 2003 Geschrieben 16. Januar 2003 Bei welcher Firma bist Du ? bzw welcher Standort ? Zitieren
hund555 Geschrieben 16. Januar 2003 Autor Geschrieben 16. Januar 2003 das will ich hier jetzt nicht veröffentlichen, bringt auch nichts Zitieren
hund555 Geschrieben 22. Januar 2003 Autor Geschrieben 22. Januar 2003 Hallo, ich wollte mit einem Kumpel VPN einrichten. Server war Win2000 1) in der MMC Konsole ->Snanp in hinzufügen gabs nicht routing und ras. wie kann ich RRAS einrichten? (Zertifizierungsstelle gabs auch nicht) Also haben wir dann über Assisten eingerichtet. 2)als ich mich dann per VPN auf sein rechner eingewällt habe, und auf sein Rechner zugreifen wollte, musste ich ein Passwort eingeben. (admin passwort und das passwort von der VPN Leitung ging nciht) welches soll ich da eingeben? 3)Wo ich die VPN Verbindung hatte, konnte ich nicht surfen, wie kann ich das ändern? 4)Um L2TP Protokoll zu nutzen muss ich Zertifikat installieren, oder? Vielen dank Zitieren
E-Games Geschrieben 22. Januar 2003 Geschrieben 22. Januar 2003 Hi, Zu 1) Unter Windows 2000 Professional gibt es das MMC Snap in Nicht, da Windows 2000 Professional nicht für Routingeigentschaften ausgelegt ist. Das kannst Du auf Microsoftebene nur mit Win2K Server, Ad. Server oder DATACENTER Server realisieren Zu 2) Wenn Du Dich auf einer Win2k Professional Maschine einwählst ist immer nur eine Verbindung möglich. Du must dafür extra einen User anlagen(Lokale User) und diesem die Einwahlberechtigung erteilen. Zu 3) Das ist Richtig, du müstest dann über den Proxy oder Router der im Firmennetz steht surfen. Hierzu kannst Du beim IE unter Verbindungseigenschaften der DFÜ Wählverbindung (VPN) angaben machen. Zu 4) Um L2TP nutzen können brauchst Du die Zertifikatsdienste von Win2K Server. Damit must Du dir ein IPSEC Zertifikat fpr den Server und den Client ausstellen lassen und dieses dann installieren. Happy Doing Zitieren
hund555 Geschrieben 22. Januar 2003 Autor Geschrieben 22. Januar 2003 Hi, bist du sicher das Rounting und Ras unter Win2000 Prof. nicht gibt? auf dem link von microsoft: http://support.microsoft.com/default.aspx?scid=kb;de;D308208 steht u.a. Die Informationen in diesem Artikel beziehen sich auf: Microsoft Windows 2000 Professional Microsoft Windows 2000 Server, Advanced Server und weiter unter bei VPN installieren steht: Klicken Sie auf Start, zeigen Sie auf Verwaltung und klicken Sie dann auf Routing und RAS zu 2) hast du das richtige gemeint? ich hab einen User angelegt, mit dem ich mich dann eingewählt habe (ging auch), aber als ich auf den Entfernten Rechner zugreifen wollte ( Compter suchen, dann doppelklick auf den Rechner) musste ich ein Passwort eingeben. (nur Passwort, keinen Benutzernamen) Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.