Weezel Geschrieben 10. September 2003 Geschrieben 10. September 2003 Hallo, ich will auf einem Win2003 Server einen VPN Server aufsetzen, dieser Rechner sitzt hinter einem WinProxy 4.0 Firewall Rechner (Win NT). Weiss einer von Euch welche Ports ich für IPSEC bei der Firewall offen halten muss? Oder gibt es sonst irgendwas zu beachten? Danke Weezel Zitieren
Ausbilder Geschrieben 10. September 2003 Geschrieben 10. September 2003 Hallo. Mit dem Proxy wirst du Probleme bekommen. Es ist nicht möglich, IPSEC durch einen Proxy zu betreiben. Schon bei Routern ist es mit NAT problematisch. Dennoch hier die Ports: TCP Port 50 für Kommunikation UDP Port 500 für ISAKMP, IKE Am besten direkt hinter einen router ohne NAT. Dann gehts sicherlich. Der Ausbilder Zitieren
Weezel Geschrieben 10. September 2003 Autor Geschrieben 10. September 2003 Hallo, danke erstmal für deine Antwort. Das Problem ist das der Rechner mit WinProxy 4.0 drauf Windows NT als Betriebssystem hat, und meines Wissens nach kann ich unter Win NT keinen VPN Server installieren der IPSEC unterstützt, sondern nur PPTP. Daher wollte ich den VPN Server auf einem Win2003 Server in der Domäne einrichten, und muss deshalb die Ports für VPN auf der Firewall öffnen. Oder hast du vielleicht einen Vorschlag wie ich es sonst machen könnte? Danke Weezel Zitieren
hades Geschrieben 10. September 2003 Geschrieben 10. September 2003 PPTP nutzt zur Kapselung das GRE-Protokoll. D.h. das GRE-Protokoll muss durchgelassen werden. Falls GRE in der Liste der unterstuetzten Protokolle nicht auftaucht, versuche es mit dem IP-Protokoll Nr. 47. Zusaetzlich muss der TCP-Port 1723 fuer VPN-Verbindungen offen sein. Zitieren
npeecee Geschrieben 10. September 2003 Geschrieben 10. September 2003 das VPN-Gateway ins LAN zu stellen halte ich für keine so gute Idee. Am besten ist es wohl in einer DMZ aufgehoben. Datenverkehr jedweder Art sollte nie direkt in ein LAN getunnelt werden. Das komt Selbstmord gleich. Genauso ist es empfehlenswert, Proxy und VPNGateway nicht auf der selben Maschine laufen zu lassen. VPNClient ---> externe FW/Router ---> VPNGateway ---> Proxy ---> interne FW/ Router ---> LAN Der Ansatz mit W2K und L2TP+IPSec ist tatsächlich sicherer als PPTP und sollte auch eingesetzt werden. Neben dem oben erwähnten Port 500 (externe FW, in+outbound), 50 (für ESP = Encapsulating Security Payload; Kapselung mit IPSec) sollte noch Port 51 für AH nach innen offen sein. Je nach dem wer oder was die VPN-Clients sind, wär noch die Verwendung von digitalen Zertifikaten für die Authentifizierung ratsam. Wie man den Komplikationen mit NAT am elegantesten ausweicht, würde mich selber auch brennend interessieren. mfg, Thomas Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.