Jenny77 Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 Hallo alle zusammen, ich bräuchte mal dringend Hilfe. Mein Problem ... ein Projekt VPN und WLAN Kurze Info vorweg: bin zur Zeit Umschülerin und mache im Rahmen meiner Abschlußprüfung das o.a. Projekt. Jetzt habe ich einige Schwierigkeiten, die ich nicht lösen kann. Und leider kann/will mir auch keiner in der Firma helfen Es soll eine VPN Verbindung via WLAN aufgebaut werden. Sinn und Zweck der Sache ist das: ich rase mit meinem Notebook durch die Firma und kann mich von jedem Ort über einen AP ins LAN einwählen. Also, das Internet bleibt außen vor. Es ist rein LAN - LAN. Die Verbindung soll natürlich sicher sein. Begonnen habe ich so: WLAN Verbindung steht und funktioniert einwandfrei, VPN habe ich auch erstmal grob eingerichtet. Das heißt, habe Benutzer/Gruppe "VPN" angelegt und diese der entsprechenden RAS Richtlinie hinzugefügt, so daß die Einwahl funktioniert. Das klappt auch. Nun habe ich bis jetzt aber nur das Protokoll PPTP und möchte auf L2TP umstellen... Wie mache ich das Und wie richte ich IPSec ein Ich weiß nicht mehr weiter, habe das noch nie gemacht... Vielleicht könnt Ihr mir ja helfen Vielen Dank schonmal. Liebe Grüße Jenny AP: D Link DWL 2000AP Zitieren
Freaka Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 Mal so eine Frage warum willst du auf L2TP umstellen, nutzt du irgendwelche Layer2 Protokolle zur Datenübertragung ? Oder hat es einer besondere Bewandniss warum du L2TP nutzen möchtest ? Zitieren
Jenny77 Geschrieben 30. Oktober 2003 Autor Geschrieben 30. Oktober 2003 Hm...? ich dachte, es ist sicherer, weil es im Gegensatz zu pptp eine Tunnelauthentifizierung bietet. Wie gesagt, ich stehe hier ziemlich allein mit meinem Problem und da dachte ich, das es sicherer ist, wenn man l2tp einsetzt. Obwohl IPSec bietet auch Tunnelauthentifizierung!?! Ich weiß es leider nicht??? Ich hatte oder habe halt dieses Projekt, wo ich praktisch eine sichere Verbindung aufbauen soll. Nur wie? Das was ich bis jetzt habe, habe ich mir aus den Fingern gesogen, bzw. alles was ich so beim Rumklicken gefunden habe, habe ich dann mal getestet. Meine Erfahrung ist da gleich null, l e i d e r Liebe Grüße... Zitieren
Freaka Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 Also L2TP= Layer2 Tunneling Protokoll, damit kannst Quasi zwischen deinen beiden VPN endpunkten eine Versclüsselte Bridging Funktion aufbauen. Bei PPTP musst du bei der Konfiguration zwischen den beiden VPN immer die IP Adresse des Jeweiligen NAchabrns eingeben. Bei PPTP wir jeweils die IP des VPN Gateways als Default Gateway auf den Clients verwendet. Die Sicherheit ist die gleiche, da die Verschlüsselung für PPTP und L2TP gleich ist. Zitieren
Freaka Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 http://www.netzmafia.de/skripten/sicherheit/sicher5.html#s.6 Hier hast du mal so einige Grundlagen vielleicht hilft dir das weiter. Zitieren
Jenny77 Geschrieben 30. Oktober 2003 Autor Geschrieben 30. Oktober 2003 Also müsste ich wirklich l2tp verwenden, weil ich mich ja ad hoc mit meinem Laptop ins LAN einwählen will, und die IP Vergabe durch den DHCP Srv. geschieht. Folglich habe ich ja eine dynamische IP (sollte laut Projekt auch so sein). Wenn ich das richtig verstanden habe benötigt pptp auf jeden Fall die IP`s der kommunizierenden Seiten. Aber wo muß ich das denn einstellen, daß er l2tp verwendet und nicht pptp (wie standardmäßig eingestellt)? Mir wurde gesagt, daß man am AP nichts einstellen kann und dieser alle Protokolle durchläßt. Mehr weiß ich leider nicht. Danke für den Link...führe in mir sofort mal zu Gemüte Liebe Grüße Zitieren
rote_gefahr Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht. Meines wissens kannst du eine VPN Verbindung nür von einem Client über das Internet ins LAN aufbauen. Über IP Adressen muss es mal gar nicht sein, es geht z.B. über DNS Namen, brauchst halt nen dynamischen DNS Namen von dyndns.org z.B. Zum Thema IPSec: Meines wissens muss man auf jedem Client einen IPSec Schlüssel einrichten. Dieses Gerät ist ein WLAN AP der schon IPSec beinhaltet. Vielleicht ist es damit einfacher für dein Projekt. MfG rote_gefahr Zitieren
Jenny77 Geschrieben 30. Oktober 2003 Autor Geschrieben 30. Oktober 2003 @rote_gefahr die VPN Verbindung steht ja so, wie ich das will. Mir macht nur die Konfiguration Schwierigkeiten. Du mußt nicht unbedingt über das Inet eine VPN aufbauen, funktioniert auch so. und.. nen AP habe ich schon (dlink DWL 2000AP) Und nirgendwo findet man mal ne gute Anleitung über die Konfiguration von IPSec, L2TP etc. Zitieren
God_of_Hellfire Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 hi moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht das ist nich richtig ! vpn lässt sich auch im lan verwenden ! zum problem: das der client seine ip adresse dynamisch bezieht ist überhaupt kein problem. wichtig ist das die ip adresse des server statisch ist (gehe ich einfach mal von aus) beim einwählen wird von windows noch ein virtueller vpn adapter gestartet der wieder ne ip zugewiesen bekommt. sorry, hab jetzt keine zeit mehr wenn du noch fragen hast bitte per pm gruß phil Zitieren
Jenny77 Geschrieben 30. Oktober 2003 Autor Geschrieben 30. Oktober 2003 Der Server hat eine statische IP, habe auch einen Adresspool für hergestellte Verbindungen eingetragen. Wie ich schon sagte, die VPN Verbindung mit pptp ist überhaupt kein Problem. Nun möchte ich aber, daß wenn ich eine VPN Verbindung aufbaue, das L2TP verwendet wird. Und genau das ist meine Frage: wo gebe ich ein, daß nicht pptp, sondern l2tp verwendet wird. Und was ist mit den IPSec Einstellungen? Wo fordere ich Zertifikate an? Wenn ich IPSec eingerichtet habe, schalten meine VPN Verbindungen dann automatisch auf l2tp um? Fragen über Fragen ... Zitieren
nic_power Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 Hallo, Original geschrieben von rote_gefahr moment mal...du willst eine VPN Verbindung im internen LAN einrichten....so richtig kenn ich mich da ja nicht aus aber ich glaube das geht nicht. Ich will Dir ja nicht zu nahe treten, aber vielleicht solltest Du mal überlegen ob es unter diesen Voraussetzungen sinnvoll ist eine (potentiell falsche) Antwort zu geben. Meines wissens kannst du eine VPN Verbindung nür von einem Client über das Internet ins LAN aufbauen. Das ist falsch. Es spielt bei einem VPN keinerlei Rolle, ob Du nun übers Internet gehst oder nicht. Auch innerhalb von Firmen-LANs lassen sich VPNs problemlos verwenden. Über IP Adressen muss es mal gar nicht sein, es geht z.B. über DNS Namen, brauchst halt nen dynamischen DNS Namen von dyndns.org z.B. Doch, IP-Adressen sind notwendig, da auch "DNS-Namen" auf diese abgebildet werden. Problematisch kann es insbesondere mit dynamischen Server-Adressen werden. Generell lassen sich VPNs über unterschiedliche Mechanismen realisieren, beispielsweise über ein Tunnelling-Protokolle, über IPSec oder über MPLS (um nur einige Möglichkeiten zu nennen). Nic Zitieren
dgr243 Geschrieben 30. Oktober 2003 Geschrieben 30. Oktober 2003 Also die Auswahl PPtp/L2TP geht so: Beim Server kannst du in den Routing und Ras EInstellungen die PPtp Ports deaktivieren/löschen Beim Client (jetzt mal XP Prof, hab grad nix anderes zur Hand..): Eigenschaften der VPN Verbindung -> Netzwerk -> VPN Typ Der Typ steht standardmässig auf automatisch. Hier kannst du dann einfach L2TP auswählen. That should be all. Zitieren
Jenny77 Geschrieben 31. Oktober 2003 Autor Geschrieben 31. Oktober 2003 @dgr243 Vielen herzlichen Dank!!! Ich habe mich schon halb verrückt gesucht Na, dann kann ich ja jetzt konfigurieren und konfigurieren und konfigurieren ... Bzw. muß mich jetzt um Zertifikate kümmern. Aller Anfang ist schwer Liebe Grüße, Jenny Zitieren
rote_gefahr Geschrieben 31. Oktober 2003 Geschrieben 31. Oktober 2003 Ich will Dir ja nicht zu nahe treten, aber vielleicht solltest Du mal überlegen ob es unter diesen Voraussetzungen sinnvoll ist eine (potentiell falsche) Antwort zu geben. deswegen hab ich ja auch geschrieben das ich mich nicht 100 % damit auskenne, ich wurde eines besseren beleert und habe dazu gelernt..... Aber das gehört hier nicht hin ! Weiterhin viel glück zur Lösung des Problems. Zitieren
Klotzkopp Geschrieben 31. Oktober 2003 Geschrieben 31. Oktober 2003 Original geschrieben von rote_gefahr Aber das gehört hier nicht hin ! Und du schreibst es trotzdem... Bitte beim Thema bleiben. Zitieren
Alfomio Geschrieben 31. Oktober 2003 Geschrieben 31. Oktober 2003 Original geschrieben von Jenny77 ...Bzw. muß mich jetzt um Zertifikate kümmern. Aller Anfang ist schwer Liebe Grüße, Jenny Hi Jenny, das ist ja ein wunderschönes Projekt das auch richtig Spass macht...Kopf hohc es ist noch kein Genie vom Himmel gefallen das mit dem Protokoll umstellen an den Clients wurde ja schon erklärt, nur noch zur Ergänzung: was bei XP Prof einzustellen war ist bei 2000 Prof genauso. Nun zu den Zertifikaten... du benötigst in deinem LAN einen Zertifikatserver, wenn dieser installiert ist musst du mit dem VPN-Server ein Zertifikat für diesen anforden und installieren, das gleiche machst du mit den Notebooks. Sobald du die Zertifikate installiert hast, ist der Zertifikatserver nicht mehr interessant, da dieser nur für die Zertifikaterstellung benötigt wird. Zitieren
hades Geschrieben 31. Oktober 2003 Geschrieben 31. Oktober 2003 Original geschrieben von Alfomio Sobald du die Zertifikate installiert hast, ist der Zertifikatserver nicht mehr interessant, da dieser nur für die Zertifikaterstellung benötigt wird. Wie kommst Du zu dieser Aussage? Zitieren
Jenny77 Geschrieben 31. Oktober 2003 Autor Geschrieben 31. Oktober 2003 So... habe nun mit den Zertifikaten begonnen. Stammzertifikatsserver ist der VPN Server. Habe das dann mit Hilfe von http://localhost/certsrv auch realisieren können. Er hat jetzt die angeforderten Zertifikate unter "eigene Zertifikate" und unter "vertrauenswürdige Stammzertifikate (?)" Also, der Server weiß jetzt, daß er Zertifikate besitzt Jetzt habe ich versucht den Clients das Zertifikat zuzuweisen. Hatte es erstmal so versucht: vorhandenes Zertifikat (also das vom Server) auf den Client kopiert und dort installiert. Doch dort taucht es aber dann nicht auf Habe es dann versucht zu importieren ... aber, kein Zertifikat da hm... jetzt habe ich wieder so eine Sache, wo ich suchen kann, wie ich den Clients sage, welches Zertifikat verwendet werden soll, oder das sie überhaupt eins verwenden sollen. Ich bin ein schwieriger Fall Wie immer liebe Grüsse...Jenny Zitieren
Alfomio Geschrieben 3. November 2003 Geschrieben 3. November 2003 Original geschrieben von hades Wie kommst Du zu dieser Aussage? Weil dies bei uns so läuft ;-)... Der VPN Server und das Notebook authentifizieren sich gegenseitig mit ihrem Zertifikat. Am Zertifikat können sie erkennen, ob die Authentifizierung vom gleichen Lizenzserver kommt, oder nicht. Gesetz dem Fall die Zertifikate sind lokal auf dem jeweiligen Rechner installiert Zitieren
Jenny77 Geschrieben 3. November 2003 Autor Geschrieben 3. November 2003 :confused: Hm? Bei mir klappt das wieder irgendwie nicht. Da ich keine Ahnung hatte/hab, habe ich wahrscheinlich wieder den kompliziertesten Weg gewählt Und nun bekomme ich es nicht hin, daß der Client sich authentifiziert. Liebe Grüße... Zitieren
Alfomio Geschrieben 3. November 2003 Geschrieben 3. November 2003 Original geschrieben von Jenny77 ....Jetzt habe ich versucht den Clients das Zertifikat zuzuweisen. Hatte es erstmal so versucht: vorhandenes Zertifikat (also das vom Server) auf den Client kopiert und dort installiert. Doch dort taucht es aber dann nicht auf Habe es dann versucht zu importieren ... aber, kein Zertifikat da ....Wie immer liebe Grüsse...Jenny Wir machen das folgendermassen bei unseren Clients: http://%servername%/certsrv über Browser aufrufen und folgendermasen vorgehen: - Ein Zertifikat anfordern - Erweiterte Anforderungen - Senden Sie ein Zertifikatsanforderungsformular an diese Zertifizierungsstelle - Name, E-Mailadresse und Abteilung angeben - Beabsichtigter Zweck: IPSec-Zertifikat - Schlüsseloptionen / Schlüsselgröße 1024 eingeben - Haken bei lokaler Speicherplatz verwenden reinmachen - Auf Einsenden klicken - Auf Dieses Zertifikat installieren klicken Du solltest nicht einfach das Zertifikat vom Server kopieren und dann im Client installieren, sondern jeder Client benötigt sein eigenes Zertifikat. Es könnte/wird sonst zu Problemen kommen, wenn du mit einem Client ankommst der das Zertifikat vom Server hat und sich dann beim Server mit dessen Zertifikat authentisieren will. Zitieren
Jenny77 Geschrieben 3. November 2003 Autor Geschrieben 3. November 2003 Eigentlich habe ich das genauso gemacht, aber vielleicht habe ich irgendwas falsch gemacht. Ich probiere es gleich nochmal aus Dann habe ich noch eine Frage: bei den IPSec Einstellungen der VPN Verbindung steht: Vorinstallierten Schlüssel verwenden ... wenn man das anklickt, kann man etwas eingeben. Was ist mit diesem Schlüssel gemeint? Muss ich das anklicken, oder besser nicht? Zitieren
Jenny77 Geschrieben 3. November 2003 Autor Geschrieben 3. November 2003 Die Zertifikate wollen immer noch nicht Mir wachsen schon graue Haare Ich weiß nicht mehr ... Wenn also jemand noch eine Idee hat, dann wäre ich echt dankbar. Liebe Grüße ... Zitieren
Honxen Geschrieben 3. November 2003 Geschrieben 3. November 2003 ...war vor wochen auch mal vor dem Problem ...hab es aus zeitgruenden erstmal zur Seite gestellt. Bleibe da aber drann. Wenn Du möchtest koennen wir uns gern mal austauschen. :mod: Gruß Honxen Zitieren
Jenny77 Geschrieben 4. November 2003 Autor Geschrieben 4. November 2003 @Honxen: ja, können wir gerne machen. ich kann es leider nicht zurücklegen, weil es mein Prüfungsprojekt ist. Und die Dokumentation muss mit allem Drum und Dran am 21.11. eingeschickt worden sein. Deshalb muß ich das Projekt ja unbedingt machen. Nur komme ich momentan nicht weiter Mal sehen, vielleicht liest das ja noch jemand, der mir helfen kann Liebe Grüße..... Jenny Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.