VPN - pptp/l2tp ...

[Jenny77]

Hallo alle zusammen,

ich bräuchte mal dringend Hilfe.

Mein Problem ... ein Projekt VPN und WLAN

Kurze Info vorweg: bin zur Zeit Umschülerin und mache im Rahmen meiner Abschlußprüfung das o.a. Projekt. Jetzt habe ich einige Schwierigkeiten, die ich nicht lösen kann. Und leider kann/will mir auch keiner in der Firma helfen

Es soll eine VPN Verbindung via WLAN aufgebaut werden. Sinn und Zweck der Sache ist das: ich rase mit meinem Notebook durch die Firma und kann mich von jedem Ort über einen AP ins LAN einwählen. Also, das Internet bleibt außen vor.

Es ist rein LAN - LAN. Die Verbindung soll natürlich sicher sein.

Begonnen habe ich so: WLAN Verbindung steht und funktioniert einwandfrei, VPN habe ich auch erstmal grob eingerichtet.

Das heißt, habe Benutzer/Gruppe "VPN" angelegt und diese der entsprechenden RAS Richtlinie hinzugefügt, so daß die Einwahl funktioniert. Das klappt auch.

Nun habe ich bis jetzt aber nur das Protokoll PPTP und möchte auf L2TP umstellen... Wie mache ich das Und wie richte ich IPSec ein

Ich weiß nicht mehr weiter, habe das noch nie gemacht... Vielleicht könnt Ihr mir ja helfen

Vielen Dank schonmal.

Liebe Grüße

Jenny

AP: D Link DWL 2000AP

[Freaka]

Mal so eine Frage warum willst du auf L2TP umstellen, nutzt du irgendwelche Layer2 Protokolle zur Datenübertragung ? Oder hat es einer besondere Bewandniss warum du L2TP nutzen möchtest ?

[Jenny77]

Hm...? ich dachte, es ist sicherer, weil es im Gegensatz zu pptp eine Tunnelauthentifizierung bietet.

Wie gesagt, ich stehe hier ziemlich allein mit meinem Problem und da dachte ich, das es sicherer ist, wenn man l2tp einsetzt.

Obwohl IPSec bietet auch Tunnelauthentifizierung!?!

Ich weiß es leider nicht???

Ich hatte oder habe halt dieses Projekt, wo ich praktisch eine sichere Verbindung aufbauen soll. Nur wie? Das was ich bis jetzt habe, habe ich mir aus den Fingern gesogen, bzw. alles was ich so beim Rumklicken gefunden habe, habe ich dann mal getestet.

Meine Erfahrung ist da gleich null, l e i d e r

Liebe Grüße...

[Freaka]

Also L2TP= Layer2 Tunneling Protokoll, damit kannst Quasi zwischen deinen beiden VPN endpunkten eine Versclüsselte Bridging Funktion aufbauen.

Bei PPTP musst du bei der Konfiguration zwischen den beiden VPN immer die IP Adresse des Jeweiligen NAchabrns eingeben. Bei PPTP wir jeweils die IP des VPN Gateways als Default Gateway auf den Clients verwendet.

Die Sicherheit ist die gleiche, da die Verschlüsselung für PPTP und L2TP gleich ist.

[Freaka]

http://www.netzmafia.de/skripten/sicherheit/sicher5.html#s.6

Hier hast du mal so einige Grundlagen vielleicht hilft dir das weiter.

[Jenny77]

Also müsste ich wirklich l2tp verwenden, weil ich mich ja ad hoc mit meinem Laptop ins LAN einwählen will, und die IP Vergabe durch den DHCP Srv. geschieht.

Folglich habe ich ja eine dynamische IP (sollte laut Projekt auch so sein).

Wenn ich das richtig verstanden habe benötigt pptp auf jeden Fall die IP`s der kommunizierenden Seiten.

Aber wo muß ich das denn einstellen, daß er l2tp verwendet und nicht pptp (wie standardmäßig eingestellt)?

Mir wurde gesagt, daß man am AP nichts einstellen kann und dieser alle Protokolle durchläßt. Mehr weiß ich leider nicht.

Danke für den Link...führe in mir sofort mal zu Gemüte

Liebe Grüße

[rote_gefahr]

moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht.

Meines wissens kannst du eine VPN Verbindung nür von einem Client über das Internet ins LAN aufbauen.

Über IP Adressen muss es mal gar nicht sein, es geht z.B. über DNS Namen, brauchst halt nen dynamischen DNS Namen von dyndns.org z.B.

Zum Thema IPSec:

Meines wissens muss man auf jedem Client einen IPSec Schlüssel einrichten.

Dieses Gerät ist ein WLAN AP der schon IPSec beinhaltet. Vielleicht ist es damit einfacher für dein Projekt.

MfG

rote_gefahr

[Jenny77]

@rote_gefahr

die VPN Verbindung steht ja so, wie ich das will. Mir macht nur die Konfiguration Schwierigkeiten.

Du mußt nicht unbedingt über das Inet eine VPN aufbauen, funktioniert auch so.

und.. nen AP habe ich schon (dlink DWL 2000AP)

Und nirgendwo findet man mal ne gute Anleitung über die Konfiguration von IPSec, L2TP etc.

[God_of_Hellfire]

hi

moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht

das ist nich richtig !

vpn lässt sich auch im lan verwenden !

zum problem:

das der client seine ip adresse dynamisch bezieht ist überhaupt kein problem.

wichtig ist das die ip adresse des server statisch ist (gehe ich einfach mal von aus)

beim einwählen wird von windows noch ein virtueller vpn adapter gestartet der wieder ne ip zugewiesen bekommt.

sorry, hab jetzt keine zeit mehr

wenn du noch fragen hast bitte per pm

gruß

phil

[Jenny77]

Der Server hat eine statische IP, habe auch einen Adresspool für hergestellte Verbindungen eingetragen.

Wie ich schon sagte, die VPN Verbindung mit pptp ist überhaupt kein Problem.

Nun möchte ich aber, daß wenn ich eine VPN Verbindung aufbaue, das L2TP verwendet wird.

Und genau das ist meine Frage: wo gebe ich ein, daß nicht pptp, sondern l2tp verwendet wird.

Und was ist mit den IPSec Einstellungen? Wo fordere ich Zertifikate an?

Wenn ich IPSec eingerichtet habe, schalten meine VPN Verbindungen dann automatisch auf l2tp um?

Fragen über Fragen ...

[nic_power]

Hallo,

Original geschrieben von rote_gefahr

moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht.

Ich will Dir ja nicht zu nahe treten, aber vielleicht solltest Du mal überlegen ob es unter diesen Voraussetzungen sinnvoll ist eine (potentiell falsche) Antwort zu geben.

Meines wissens kannst du eine VPN Verbindung nür von einem Client über das Internet ins LAN aufbauen.

Das ist falsch. Es spielt bei einem VPN keinerlei Rolle, ob Du nun übers Internet gehst oder nicht. Auch innerhalb von Firmen-LANs lassen sich VPNs problemlos verwenden.

Über IP Adressen muss es mal gar nicht sein, es geht z.B. über DNS Namen, brauchst halt nen dynamischen DNS Namen von dyndns.org z.B.

Doch, IP-Adressen sind notwendig, da auch "DNS-Namen" auf diese abgebildet werden. Problematisch kann es insbesondere mit dynamischen Server-Adressen werden.

Generell lassen sich VPNs über unterschiedliche Mechanismen realisieren, beispielsweise über ein Tunnelling-Protokolle, über IPSec oder über MPLS (um nur einige Möglichkeiten zu nennen).

Nic

[dgr243]

Also die Auswahl PPtp/L2TP geht so:

Beim Server kannst du in den Routing und Ras EInstellungen die PPtp Ports deaktivieren/löschen

Beim Client (jetzt mal XP Prof, hab grad nix anderes zur Hand..):

Eigenschaften der VPN Verbindung -> Netzwerk -> VPN Typ

Der Typ steht standardmässig auf automatisch. Hier kannst du dann einfach L2TP auswählen.

That should be all.

[Jenny77]

@dgr243 Vielen herzlichen Dank!!! Ich habe mich schon halb verrückt gesucht

Na, dann kann ich ja jetzt konfigurieren und konfigurieren und konfigurieren ...

Bzw. muß mich jetzt um Zertifikate kümmern.

Aller Anfang ist schwer

Liebe Grüße,

Jenny

[rote_gefahr]

Ich will Dir ja nicht zu nahe treten, aber vielleicht solltest Du mal überlegen ob es unter diesen Voraussetzungen sinnvoll ist eine (potentiell falsche) Antwort zu geben.

deswegen hab ich ja auch geschrieben das ich mich nicht 100 % damit auskenne, ich wurde eines besseren beleert und habe dazu gelernt.....

Aber das gehört hier nicht hin !

Weiterhin viel glück zur Lösung des Problems.

[Klotzkopp]

Original geschrieben von rote_gefahr

Aber das gehört hier nicht hin !

Und du schreibst es trotzdem...

Bitte beim Thema bleiben.

[Alfomio]

Original geschrieben von Jenny77

...Bzw. muß mich jetzt um Zertifikate kümmern.

Aller Anfang ist schwer

Liebe Grüße,

Jenny

Hi Jenny, das ist ja ein wunderschönes Projekt das auch richtig Spass macht...Kopf hohc es ist noch kein Genie vom Himmel gefallen

das mit dem Protokoll umstellen an den Clients wurde ja schon erklärt, nur noch zur Ergänzung: was bei XP Prof einzustellen war ist bei 2000 Prof genauso.

Nun zu den Zertifikaten... du benötigst in deinem LAN einen Zertifikatserver, wenn dieser installiert ist musst du mit dem VPN-Server ein Zertifikat für diesen anforden und installieren, das gleiche machst du mit den Notebooks.

Sobald du die Zertifikate installiert hast, ist der Zertifikatserver nicht mehr interessant, da dieser nur für die Zertifikaterstellung benötigt wird.

[hades]

Original geschrieben von Alfomio

Sobald du die Zertifikate installiert hast, ist der Zertifikatserver nicht mehr interessant, da dieser nur für die Zertifikaterstellung benötigt wird.

Wie kommst Du zu dieser Aussage?

[Jenny77]

So... habe nun mit den Zertifikaten begonnen. Stammzertifikatsserver ist

der VPN Server.

Habe das dann mit Hilfe von http://localhost/certsrv auch realisieren können.

Er hat jetzt die angeforderten Zertifikate unter "eigene Zertifikate" und unter "vertrauenswürdige Stammzertifikate (?)"

Also, der Server weiß jetzt, daß er Zertifikate besitzt

Jetzt habe ich versucht den Clients das Zertifikat zuzuweisen. Hatte es erstmal so versucht: vorhandenes Zertifikat (also das vom Server) auf den Client kopiert und dort installiert.

Doch dort taucht es aber dann nicht auf

Habe es dann versucht zu importieren ... aber, kein Zertifikat da

hm... jetzt habe ich wieder so eine Sache, wo ich suchen kann, wie ich den Clients sage, welches Zertifikat verwendet werden soll, oder das sie überhaupt eins verwenden sollen.

Ich bin ein schwieriger Fall

Wie immer liebe Grüsse...Jenny

[Alfomio]

Original geschrieben von hades

Wie kommst Du zu dieser Aussage?

Weil dies bei uns so läuft ;-)...

Der VPN Server und das Notebook authentifizieren sich gegenseitig mit ihrem Zertifikat. Am Zertifikat können sie erkennen, ob die Authentifizierung vom gleichen Lizenzserver kommt, oder nicht.

Gesetz dem Fall die Zertifikate sind lokal auf dem jeweiligen Rechner installiert

[Jenny77]

:confused:

Hm? Bei mir klappt das wieder irgendwie nicht. Da ich keine Ahnung hatte/hab, habe ich wahrscheinlich wieder den kompliziertesten Weg gewählt

Und nun bekomme ich es nicht hin, daß der Client sich authentifiziert.

Liebe Grüße...

[Alfomio]

Original geschrieben von Jenny77

....Jetzt habe ich versucht den Clients das Zertifikat zuzuweisen. Hatte es erstmal so versucht: vorhandenes Zertifikat (also das vom Server) auf den Client kopiert und dort installiert.

Doch dort taucht es aber dann nicht auf

Habe es dann versucht zu importieren ... aber, kein Zertifikat da

....Wie immer liebe Grüsse...Jenny

Wir machen das folgendermassen bei unseren Clients:

http://%servername%/certsrv über Browser aufrufen und folgendermasen vorgehen:

- Ein Zertifikat anfordern

- Erweiterte Anforderungen

- Senden Sie ein Zertifikatsanforderungsformular an diese Zertifizierungsstelle

- Name, E-Mailadresse und Abteilung angeben

- Beabsichtigter Zweck: IPSec-Zertifikat

- Schlüsseloptionen / Schlüsselgröße 1024 eingeben

- Haken bei lokaler Speicherplatz verwenden reinmachen

- Auf Einsenden klicken

- Auf Dieses Zertifikat installieren klicken

Du solltest nicht einfach das Zertifikat vom Server kopieren und dann im Client installieren, sondern jeder Client benötigt sein eigenes Zertifikat. Es könnte/wird sonst zu Problemen kommen, wenn du mit einem Client ankommst der das Zertifikat vom Server hat und sich dann beim Server mit dessen Zertifikat authentisieren will.

[Jenny77]

Eigentlich habe ich das genauso gemacht, aber vielleicht habe ich irgendwas falsch gemacht.

Ich probiere es gleich nochmal aus

Dann habe ich noch eine Frage: bei den IPSec Einstellungen der VPN Verbindung steht: Vorinstallierten Schlüssel verwenden ... wenn man das anklickt, kann man etwas eingeben. Was ist mit diesem Schlüssel gemeint?

Muss ich das anklicken, oder besser nicht?

[Jenny77]

Die Zertifikate wollen immer noch nicht

Mir wachsen schon graue Haare

Ich weiß nicht mehr ...

Wenn also jemand noch eine Idee hat, dann wäre ich echt dankbar.

Liebe Grüße ...

[Honxen]

...war vor wochen auch mal vor dem Problem ...hab es aus zeitgruenden erstmal zur Seite gestellt. Bleibe da aber drann. Wenn Du möchtest koennen wir uns gern mal austauschen.

:mod:

Gruß Honxen

[Jenny77]

@Honxen: ja, können wir gerne machen.

ich kann es leider nicht zurücklegen, weil es mein Prüfungsprojekt ist.

Und die Dokumentation muss mit allem Drum und Dran am 21.11. eingeschickt worden sein.

Deshalb muß ich das Projekt ja unbedingt machen.

Nur komme ich momentan nicht weiter

Mal sehen, vielleicht liest das ja noch jemand, der mir helfen kann

Liebe Grüße.....

Jenny