Einrichtung VPN Windows Server 2003
Hallo liebe Fachleute.
Ich hätte mal eine, für euch sicher einfache Frage.
Bin gerade dabei, ein VPN einzurichten - von zu Hause auf Server/Netzwerk in der Firma zu greifen.
In der Firma liegen folgende Grundkonfigurationen vor:
Windows Server 2003
Netzwerk ohne Domäne
als Router: DLINK DI-804HV
Alle PC mit fester IP
Server 2003 fungiert als DHCP- und DNS-Server
Nun meine Frage: Da nur eine Netzwerkkarte des Servers angeschlossen ist:
Kann ich VPN und "normalen" Netzverkehr als auch den DHCP alles über eine Netzwerkkarte laufen lassen?
Oder stören sich die Dienste gegeseitig?
Danke für eure zahlreichen hilfreichen Antworten.
Ich hätte mal eine, für euch sicher einfache Frage.
Bin gerade dabei, ein VPN einzurichten - von zu Hause auf Server/Netzwerk in der Firma zu greifen.
In der Firma liegen folgende Grundkonfigurationen vor:
Windows Server 2003
Netzwerk ohne Domäne
als Router: DLINK DI-804HV
Alle PC mit fester IP
Server 2003 fungiert als DHCP- und DNS-Server
Nun meine Frage: Da nur eine Netzwerkkarte des Servers angeschlossen ist:
Kann ich VPN und "normalen" Netzverkehr als auch den DHCP alles über eine Netzwerkkarte laufen lassen?
Oder stören sich die Dienste gegeseitig?
Danke für eure zahlreichen hilfreichen Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 217833
Url: https://administrator.de/forum/einrichtung-vpn-windows-server-2003-217833.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
21 Kommentare
Neuester Kommentar
Moin,
das sollte auch mit einer NIC funktionieren. Tut es zumindestens bei meinem SBS.
Hier eine Anleitung von MS: http://support.microsoft.com/kb/323441/de
Ich selbst neige aber dazu, VPN auf dem Router oder der FW zu terminieren und von PPTP VPN generell die Finger zu lassen, da dessen
Verwendung sicherheitstechnisch mittlerweile doch sehr bedenklich ist.
Gruß
Uwe
Edit: Und wenn Du nicht weiter kommst, dann frag ihn: https://administrator.de/userid/25471
Der Mann ist so was ähnliches wie der Brockhaus in Sachen Netzwerktechnik.
das sollte auch mit einer NIC funktionieren. Tut es zumindestens bei meinem SBS.
Hier eine Anleitung von MS: http://support.microsoft.com/kb/323441/de
Ich selbst neige aber dazu, VPN auf dem Router oder der FW zu terminieren und von PPTP VPN generell die Finger zu lassen, da dessen
Verwendung sicherheitstechnisch mittlerweile doch sehr bedenklich ist.
Gruß
Uwe
Edit: Und wenn Du nicht weiter kommst, dann frag ihn: https://administrator.de/userid/25471
Der Mann ist so was ähnliches wie der Brockhaus in Sachen Netzwerktechnik.
Hallo,
Dein Router (DLINK DI-804HV) unterstützt bis zu 40 IPSec Tunnel! Also ich würde an Deiner Stelle
mal schnell einen VPN Tunnel mittels IPSec einrichten und dann muss vorne am Router auch kein
Port geöffnet sein, was um Ellen sicherer ist heutzutage! DLINK DI-804HV VPN Anleitung
In der Regel sieht es so aus, dass nach dem erfolgreichen Aufbau des VPN Tunnels, das gesamte
hinter dem Router liegende Netzwerk erreichbar ist! Es dauert länger und auch gestandene Admins
haben damit so Ihre Probleme, das ist auch nichts ehrenrühriges, aber man wird danach auch mit einer
als sicher geltenden Verbindung belohnt und muss vorne am Router keine Ports öffnen die dann regelmäßig
von den "Bots" abgeklappert werden!
Gruß
Dobby
Dein Router (DLINK DI-804HV) unterstützt bis zu 40 IPSec Tunnel! Also ich würde an Deiner Stelle
mal schnell einen VPN Tunnel mittels IPSec einrichten und dann muss vorne am Router auch kein
Port geöffnet sein, was um Ellen sicherer ist heutzutage! DLINK DI-804HV VPN Anleitung
In der Regel sieht es so aus, dass nach dem erfolgreichen Aufbau des VPN Tunnels, das gesamte
hinter dem Router liegende Netzwerk erreichbar ist! Es dauert länger und auch gestandene Admins
haben damit so Ihre Probleme, das ist auch nichts ehrenrühriges, aber man wird danach auch mit einer
als sicher geltenden Verbindung belohnt und muss vorne am Router keine Ports öffnen die dann regelmäßig
von den "Bots" abgeklappert werden!
Gruß
Dobby
Die Kardinalsfrage hast du in deiner etwas oberflächlcihen Beschreibung nicht beantwortet !!
WAS für ein VPN willst du denn realisieren ???
PPTP, L2TP, IPsec, SSTP, SSL oder oder oder ??
Auf deine Frage oben kann man nur mit der berühmten Kristallkugel antworten oder...du präzisierst das etwas.
Ansonsten gibt es hier diveres Grundlagen Tutorials die deine Fragen umfassend benatworten:
Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs einrichten mit PPTP
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was darfs denn sein....?!
WAS für ein VPN willst du denn realisieren ???
PPTP, L2TP, IPsec, SSTP, SSL oder oder oder ??
Auf deine Frage oben kann man nur mit der berühmten Kristallkugel antworten oder...du präzisierst das etwas.
Ansonsten gibt es hier diveres Grundlagen Tutorials die deine Fragen umfassend benatworten:
Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs einrichten mit PPTP
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was darfs denn sein....?!
Man kann auch normal nachfragen.
Klar so meinten wir das auch gar nicht, wir wollten Dich eingentlich nur davon überzeugen dass DeinRouter dafür besser geeignet ist und das ganze dann auch Wasserdicht für Dich läuft, wie gesagt VPN
ist nichts einfaches und da beißen sich wirklich viele Leute die Zähne dran aus, aber dann auch noch
zusätzlich vorne am Router die Ports zu öffnen und noch mehr Unsicherheit zu stiften bzw. das ganze
noch unsicherer zu machen ist doch garantiert auch nicht Dein Wunsch gewesen, Du wolltest es eben
wie alle anderen auch, hübsch einfach mit KlickiBunti und in 20 Minuten erledigen. Klar man das will
irgend wie jeder, oder? Aber dann dürfen wir Dir doch auch unsere Meinung dazu mitteilen das Du nicht
so endest wie viele andere hier und Dein nächster Beitrag lautet dann in etwas :
"Hallo liebe Forengemeinde seit ca. 3 Tagen sind sehr viele Viren in unserem Netzwerk und auf dem
Server wird immer mehr illegaler Softwareschrott und Kinderpornos abgeladen, kann mir jemand helfen?"
Dann lieber jetzt etwas rüde rüber kommen und dafür hinterher keinen Supergau!
Gruß
Dobby
P.S.
Wenn es das dann war bitte noch ein Beitrag ist erledigt hinten dran, Danke!
Hallo,
also ich würde immer den Weg der am wenigsten verursachenden Sicherheitslöcher gehen wollen, gut
das ist aber auch jedermann seine Sache und Angelegenheit.
- Installiere doch einfach auf Deinem PC den kostenlosen VPN Klienten von ShrewSoft.
- Baue dann einfach bei Bedarf die VPN Verbindung mittels IPSec zu Eurem D-Link Router auf
Fertig.
Also ich denke damit fährst Du langfristig am besten und am sichersten!
Dein Netzwerk hat dann keine geöffneten Ports
Euer Firmennetzwerk hat keine geöffneten Ports
Und die VPN Verbindung kann schnell und kostenlos aufgebaut werden wenn Du sie brauchst!
Gruß
Dobby
also ich würde immer den Weg der am wenigsten verursachenden Sicherheitslöcher gehen wollen, gut
das ist aber auch jedermann seine Sache und Angelegenheit.
- Installiere doch einfach auf Deinem PC den kostenlosen VPN Klienten von ShrewSoft.
- Baue dann einfach bei Bedarf die VPN Verbindung mittels IPSec zu Eurem D-Link Router auf
Fertig.
Also ich denke damit fährst Du langfristig am besten und am sichersten!
Dein Netzwerk hat dann keine geöffneten Ports
Euer Firmennetzwerk hat keine geöffneten Ports
Und die VPN Verbindung kann schnell und kostenlos aufgebaut werden wenn Du sie brauchst!
Gruß
Dobby
Ja, natürlich ! Wenn der Client hinter einer NAT Firewall liegt (DSL Router wie z.B. der Speedport) musst du zwingend folgende Ports ins Port Forwarding auf die interne lokale IP nehmen:
Sinnvoll wäre immer ein Auszug (Syslog) des D-Link VPN Servers.
- UDP 500
- UDP 4500
- ESP Protokoll mit der IP Protokoll Nummer 50 (Achtung !: Kein UDP oder TCP 50 ! ESP ist ein eigenständiges IP Protokoll !)
Sinnvoll wäre immer ein Auszug (Syslog) des D-Link VPN Servers.
Muss ich den DHCP im D-Link aktivieren damit die VPN funktioniert?
Nein, natürlich nicht. DHCP verteilt nur IP Adressen im LAN, das hat mit VPN soviel zu tun wie ein Fisch mit einem Fahrrad. Vollkommen getrennte Baustelle !Im Netzwerk hängt besagter Windows 2003 Server.
Nochmal die Fragen von oben die du wieder nicht beantwortet hast - Liegt dieser Server hinter einem NAT Router ? Tut er das kann das VPN NICHT die NAT Firewall passieren ohne ein entspr. Port Forwarding auf dem Router !!
- Wenn ja hast du dann auf dem NAT Router die Ports UDP 500, UDP 4500 und das ESP Protokoll auf die lokale IP LAN Adresse des Server per statischem Port Forwarding geforwardet ?? Wenn du L2TP als VPN Protokoll machen solltest kommt da zusätzlich noch UDP 1701 dazu !
Moin,
@aqui
so wie ich das verstehe, liegt sein W2K3 hinter dem VPN-Router (DLINK), der auch die Interneteinwahl in der FIrma macht.
Und er will von seinem Heim-PC hinter einem Speedport mittels Shrew Client ein IPSEC-VPN zum DLINK aufbauen.
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Der Shrew-Client unterstützt NAT-T, wie sein DLINK-Router einzurichten ist, weiß ich nicht, er hat aber von Dobby eine Anleitung verlinkt bekommen.
@heute-neu
Steht denn der Tunnel zu deinem DLINK-Router?
Kannst du diesen von deinem W7-PC mittels interner IP-Adresse anpingen und erhältst auch eine Antwort?
Das sollte zuerst getestet werden.
@aqui
so wie ich das verstehe, liegt sein W2K3 hinter dem VPN-Router (DLINK), der auch die Interneteinwahl in der FIrma macht.
Und er will von seinem Heim-PC hinter einem Speedport mittels Shrew Client ein IPSEC-VPN zum DLINK aufbauen.
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Der Shrew-Client unterstützt NAT-T, wie sein DLINK-Router einzurichten ist, weiß ich nicht, er hat aber von Dobby eine Anleitung verlinkt bekommen.
@heute-neu
Steht denn der Tunnel zu deinem DLINK-Router?
Kannst du diesen von deinem W7-PC mittels interner IP-Adresse anpingen und erhältst auch eine Antwort?
Das sollte zuerst getestet werden.
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Das stimmt wenn der D-Link Router dann selber VPN Server ist ! Allerdings würd ich dem Speedport niemals über den Weg trauen das der VPN Passthrough kann. Diese üblen Kisten haben so viele Macken. OK mit NAT Traversal wärs kein Ding aber ob das die üble D-Link Gurke dann auch supportet. Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge Probleme bereiten können.Das da auf allen Kandidaten mindestens die aktuellste FW drauf sein sollte ist hoffentlich klar.
Auf dem Client würd ich das dann immer mit einem Wireshark kontrollieren ob die IPsec Pakete auch wirklich das Ziel erreichen.
Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon sofort sehen wo es kneift wenn es kneift.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben
Zitat von @aqui:
Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge
Probleme bereiten können.
Stimme ich dir zu.Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge
Probleme bereiten können.
Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon
sofort sehen wo es kneift wenn es kneift.
Hoffentlich hat der ein vernünftiges Log.sofort sehen wo es kneift wenn es kneift.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben
Wohl weil er sehr konzentriert versucht, das VPN zum Laufen zu bekommen.
Bitte, gerne doch.
Außerdem klappt der Zugriff auf Freigaben bestimmt nur über die IP-Adresse und nicht den Namen, so wie von @transocean schon beschrieben.
Habe mir nun das D-Link-Zeug gespart und eine Fritz!Box zugelegt.
VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.
Das ist doch schon mal die halbe Miete. Den Rest packst du auch noch.VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.
Nur habe ich nun das Problem, das ich nicht auf den Freigabeordner im Server zugreifen kann.
Schau, ob die Firewall im Server aktiv ist und Zugriffe von anderen IP-Adressbereichen blockt.Außerdem klappt der Zugriff auf Freigaben bestimmt nur über die IP-Adresse und nicht den Namen, so wie von @transocean schon beschrieben.
Muss ich nun die Portfreigaben einrichten, wie aqui das weiter oben erklärt hat?
Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
Nein, das gilt nicht dafür, sondern wenn du vor deinem VPN-Server (hier Fritzbox) noch einen anderen Router wäre, über welchen der Internetzugang realisiert wird.Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
Na ja "Lösung" kann man das ja aus deiner Sicht nicht nennen wenn du die Holzhammer Methode benutzt und die komplette HW tauschst ?!
Realistisch hast du ja bei DSL 16.000 dann 1 Mbit Upload was ja schon ganz ordentlich ist. Die Aussage "extrem langsam" ist wie immer relativ und damit komplett sinnfrei. Langsam im Vergleich zu 10 Gigabit/s ist das zweifelsohne...
Bedenke das die mickrige SoC CPU eines solch billigen Consumer Routers wie deiner FB dann die vollständige Encapsulierung in den VPN Tunnel machen muss inklusive der Verschlüsselung jeden Paketes.
Ganz nebenbei macht sie dann auch noch die PPPoE Encapsulierung und das Adress Translation (NAT) zum Provider auch für jedes Paket.
Realistisch darfst du also keine Höhenflüge erwarten das so ein Plaste Elaste Router mit der mickrigen CPU das gleiche leistet wie eine 3mal so teure Firewall die dedizierte VPN Hardware für sowas hat !
You get what you pay for !
Realistisch hast du ja bei DSL 16.000 dann 1 Mbit Upload was ja schon ganz ordentlich ist. Die Aussage "extrem langsam" ist wie immer relativ und damit komplett sinnfrei. Langsam im Vergleich zu 10 Gigabit/s ist das zweifelsohne...
Bedenke das die mickrige SoC CPU eines solch billigen Consumer Routers wie deiner FB dann die vollständige Encapsulierung in den VPN Tunnel machen muss inklusive der Verschlüsselung jeden Paketes.
Ganz nebenbei macht sie dann auch noch die PPPoE Encapsulierung und das Adress Translation (NAT) zum Provider auch für jedes Paket.
Realistisch darfst du also keine Höhenflüge erwarten das so ein Plaste Elaste Router mit der mickrigen CPU das gleiche leistet wie eine 3mal so teure Firewall die dedizierte VPN Hardware für sowas hat !
You get what you pay for !