Weezel Geschrieben 10. September 2003 Geschrieben 10. September 2003 Hallo, ich will auf einem Win2003 Server einen VPN Server aufsetzen, dieser Rechner sitzt hinter einem WinProxy 4.0 Firewall Rechner (Win NT). Weiss einer von Euch welche Ports ich für IPSEC bei der Firewall offen halten muss? Oder gibt es sonst irgendwas zu beachten? Danke Weezel
Ausbilder Geschrieben 10. September 2003 Geschrieben 10. September 2003 Hallo. Mit dem Proxy wirst du Probleme bekommen. Es ist nicht möglich, IPSEC durch einen Proxy zu betreiben. Schon bei Routern ist es mit NAT problematisch. Dennoch hier die Ports: TCP Port 50 für Kommunikation UDP Port 500 für ISAKMP, IKE Am besten direkt hinter einen router ohne NAT. Dann gehts sicherlich. Der Ausbilder
Weezel Geschrieben 10. September 2003 Autor Geschrieben 10. September 2003 Hallo, danke erstmal für deine Antwort. Das Problem ist das der Rechner mit WinProxy 4.0 drauf Windows NT als Betriebssystem hat, und meines Wissens nach kann ich unter Win NT keinen VPN Server installieren der IPSEC unterstützt, sondern nur PPTP. Daher wollte ich den VPN Server auf einem Win2003 Server in der Domäne einrichten, und muss deshalb die Ports für VPN auf der Firewall öffnen. Oder hast du vielleicht einen Vorschlag wie ich es sonst machen könnte? Danke Weezel
hades Geschrieben 10. September 2003 Geschrieben 10. September 2003 PPTP nutzt zur Kapselung das GRE-Protokoll. D.h. das GRE-Protokoll muss durchgelassen werden. Falls GRE in der Liste der unterstuetzten Protokolle nicht auftaucht, versuche es mit dem IP-Protokoll Nr. 47. Zusaetzlich muss der TCP-Port 1723 fuer VPN-Verbindungen offen sein.
npeecee Geschrieben 10. September 2003 Geschrieben 10. September 2003 das VPN-Gateway ins LAN zu stellen halte ich für keine so gute Idee. Am besten ist es wohl in einer DMZ aufgehoben. Datenverkehr jedweder Art sollte nie direkt in ein LAN getunnelt werden. Das komt Selbstmord gleich. Genauso ist es empfehlenswert, Proxy und VPNGateway nicht auf der selben Maschine laufen zu lassen. VPNClient ---> externe FW/Router ---> VPNGateway ---> Proxy ---> interne FW/ Router ---> LAN Der Ansatz mit W2K und L2TP+IPSec ist tatsächlich sicherer als PPTP und sollte auch eingesetzt werden. Neben dem oben erwähnten Port 500 (externe FW, in+outbound), 50 (für ESP = Encapsulating Security Payload; Kapselung mit IPSec) sollte noch Port 51 für AH nach innen offen sein. Je nach dem wer oder was die VPN-Clients sind, wär noch die Verwendung von digitalen Zertifikaten für die Authentifizierung ratsam. Wie man den Komplikationen mit NAT am elegantesten ausweicht, würde mich selber auch brennend interessieren. mfg, Thomas
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden