veit Geschrieben 26. März 2004 Geschrieben 26. März 2004 Ich brauch mal Hilfe (F1 hab ich schon probiert... ) Mein Abschlußprojekt als FiSi wird VPN sein.... Geplant war ein "Admin-Zugang" über einen T-DSL Anschluß. Allerdings war ich mir bei der Antragstellung nicht darüber im klaren, das dass mit VPN/IPSec wegen dem DSL-Router nicht geht. Google und Co macht den anschein als gäbe es Mittel und Wege, aber ne richtige Lösung habe ich da noch nicht gefunden. Gibt es eine Variante VPN über einen NAT Router relativ sicher zumLaufen zu bringen? Der Router selbst kann VPN und IPSec, ist mir etwas spät aufgefallen, von daher sollte ich das wohl in der Doku nicht erwähnen, und somit auch nicht nutzen. Der Router ist DrayTek Vigor 2600 annexB. Habe ich überhaupt eine Chance das ans laufen zu bringen? es gibt zwar noch eine andere Verbindung ins www, aber die geht über den Mutterkonzern und ich hab keine Ahnung, ob ich da via VPN irgendwie rauskomm (:confused: Danke schon im Voraus!!! Grüße Veit Zitieren
sparstrumpf Geschrieben 26. März 2004 Geschrieben 26. März 2004 www.freeswan.org www.freeswan.ca Is nicht untrivial..musste Kernel neu überstzen...zumindest mit Kernel 2.4.XX mit 2.6 ist ja IPsec schon mit drin...damit hab ich es noch nicht probiert... Zitieren
veit Geschrieben 26. März 2004 Autor Geschrieben 26. März 2004 Ok ich hab in der Eile vergessen zu "erwähnen", das es mit Windows 2000 Server/VPN-Server sein soll, und das der besagte Router auch am DSL Anschluß bleiben muß.:eek: Zitieren
Wolle Geschrieben 26. März 2004 Geschrieben 26. März 2004 PPPTP Verbindungsaufbau: TCP 1723 (PPTP) Paketübertragung: TCP 47 (=Generic Routing Encapsulation - GRE) L2TP Verbindungsaufbau: TCP 1701 (Layer 2 Tunneling Protocol), UDP 500 (Internet Key Exchange) Paketübertragung: TCP 50 (IPSec Encapsulation Security Payload), und TCP 51 (IPSec Authentication Header) Hier gefunden: http://board.protecus.de/showtopic.php?threadid=5743 Je nachdem welches von den beiden du benutzt, mußt du die entsprechenden Ports auf den Server forwarden Zitieren
Avidus Geschrieben 26. März 2004 Geschrieben 26. März 2004 Hallo Veit, zuerst habe ich gedacht, das ich die Lösung für dich habe. Nämlich NAT-T: http://www.pl-berichte.de/berichte/lt2003/nat-traversal.html Das NAT-T muß auf dem VPN-Server und Client eingestellt werden und somit sind VPN-Verbindungen auch über NAT-Geräte möglich. Aber ich habe gerade gelesen, das Windows 2000 kein NAT-T unterstützt. Das wird erst ab Windows 2003 unterstützt. Auch das oben geannte FreeS/WAN unterstützt wohl NAT-T. Imho ist VPN über NAT-Geräte nur mir NAT-T möglich. Zitieren
veit Geschrieben 26. März 2004 Autor Geschrieben 26. März 2004 Das gibt schon mal einen Funken Hoffnung! jetzt hab ich zumindest mal was zum Nachforschen :mod: Windows 2003 Server wäre das kleinere Problem, da könnte ja schon einer existieren, oder evtl. reicht das noch innerhalb der 35h. Nur als Client sollte auch W2K und nicht nur XP möglich sein. Werde nachher mal googeln "Nat Traversal"... Schönen Abend noch ! Veit Zitieren
nic_power Geschrieben 26. März 2004 Geschrieben 26. März 2004 Hallo, Original geschrieben von Wolle Hier gefunden: http://board.protecus.de/showtopic.php?threadid=5743 Je nachdem welches von den beiden du benutzt, mußt du die entsprechenden Ports auf den Server forwarden Hmm, da hat wohl jemand bei protectus die RFCs nicht ganz gelesen und die Protokollnummern mit Portnummern verwechselt. GRE (Protokollnummer 47) ist wie TCP (Protokollummer 6) bzw. UDP (17) ein eigenes Protokoll. Gleiches gilt für ESP und AH. Nic Zitieren
Avidus Geschrieben 26. März 2004 Geschrieben 26. März 2004 Ich habe nochmal ein bischen gegoogelt und folgendes gefunden: http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 Somit scheint NAT-T dann auch mit Windows 2000 möglich zu sein. Zitieren
onkelburgi Geschrieben 26. März 2004 Geschrieben 26. März 2004 also nach auskunft von microsoft soll nat-t ab version 2000 problemlos laufen. habe da erst vor ein paar tagen nen vortrag auf der cebit von microsoft gehört. und die haben das dort auch auf ner 2000er maschiene problemlos am laufen gehabt. Zitieren
hades Geschrieben 27. März 2004 Geschrieben 27. März 2004 Original geschrieben von onkelburgi also nach auskunft von microsoft soll nat-t ab version 2000 problemlos laufen. Einschraenkung: Nur mit SP3 und hoeher und dem o.g. Patch (818043, zu beziehen ueber windowsupdate.microsoft.com). Vorher kann Windows 2000 nur das aeltere NAT und damit verbunden VPN und NAT nur ueber PPTP. Zitieren
veit Geschrieben 27. März 2004 Autor Geschrieben 27. März 2004 Hab heute endlich Zeit gehabt weiter informationen zu suchen. Also NAT-T ist Serverseitig erst ab Windows 2003 Server möglich. Nach Rücksprache mit unserem Admin, stellt sich jetzt allerdings raus, das wir zwar die CDs rumliegen haben, aber keine Lizenz/key dazu. Also fällt Server2003 flach. Geht mit W2K Server dann nur PPTP oder auch noch ein bischen mehr Sicherheit? Grüße Veit Zitieren
hades Geschrieben 27. März 2004 Geschrieben 27. März 2004 Original geschrieben von veit Also NAT-T ist Serverseitig erst ab Windows 2003 Server möglich. Nein, nicht ganz. NAT-T wird auch unter Windows 2000 unterstuetzt. Allerdings erst ab SP3 (und hoeher) und mit dem o.g. L2TP-Patch. Windows 2003 unterstuetzt NAT-T bereits von sich aus. Zitieren
veit Geschrieben 27. März 2004 Autor Geschrieben 27. März 2004 Original geschrieben von hades Nein, nicht ganz. NAT-T wird auch unter Windows 2000 unterstuetzt. Allerdings erst ab SP3 (und hoeher) und mit dem o.g. L2TP-Patch. Windows 2003 unterstuetzt NAT-T bereits von sich aus. Den Patch gibt es nur für den Client! Auch auf den MS Seiten ist nur von 2003 als Server die Rede. Zitieren
hades Geschrieben 27. März 2004 Geschrieben 27. März 2004 Original geschrieben von veit Den Patch gibt es nur für den Client! Stimmt, das hatte ich ueberlesen. Zitieren
veit Geschrieben 31. März 2004 Autor Geschrieben 31. März 2004 Boah :confused: ich dreh bald durch:eek: bin am probieren mit windows Server 2003 und windows 2000 bzw XP server mit 2 netzwerkkarten eine privates Netz, eine simuliert Internet... Ich bin glaub zu blöd einen zertifiezierungsserver einzurichten, bzw. die Zertifikate einzurichten VPN-Verbindung ohne IPSec rennt ohne Probleme. Mit IPSev bekomme ich eine Zeitüberschreitung beim Verbindungsaufbau. Die verteilten schlüssel sind als gültig gekennzeichnet. Im Prinzip bin ich das ganze nach drei "alten VPN Dokus" durchgegangen - ohne Erfolg Muß ich jetzt Bäcker werden? Ich hab nicht mal ne richtige Frage mehr - finds aber schade das in der Schule, wo ich die Umschulung mache auch keiner einen Plan hat. War bisher zielmlich oft so - zu was bekommen die eigentlich Geld vom A-Amt, wenn sie einem nix beibringen. (selber lesen konnte ich auch schon vor der Umschulung) Grüße Veit Zitieren
hades Geschrieben 8. April 2004 Geschrieben 8. April 2004 Was hast Du bereits probiert? Welche VPN-Dokus waren Deine Quelle? Zitieren
veit Geschrieben 9. April 2004 Autor Geschrieben 9. April 2004 Ich hab´s inzwischen am laufen. war natürlich nur ein häkchen... bei der verbindung vom client aus, gibts den Haken "vorinstallierten schlüssel...." Ich dachte wohl die ganze Zeit "Klar ich habe ja per Zertifizierungsstelle den Schlüssel vorinstalliert".... Das war der Fehler. imho ist das ein von MS vorinstallierter schlüssel gemeint, den ich mit einer bestimmten zahlenkombination benutze. Allerdings hab ich das Gegenstück serverseitig nicht gefunden, sonst wärs mir bestimmt früher aufgefallen. Übrigens läuft das ganze unter Windows Server 2003 mit NAT-T, also über einen DSL Router. Grüße und nochmals Danke Veit Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.