heute-neu
Goto Top

Einrichtung VPN Windows Server 2003

Hallo liebe Fachleute.

Ich hätte mal eine, für euch sicher einfache Frage.

Bin gerade dabei, ein VPN einzurichten - von zu Hause auf Server/Netzwerk in der Firma zu greifen.

In der Firma liegen folgende Grundkonfigurationen vor:
Windows Server 2003
Netzwerk ohne Domäne
als Router: DLINK DI-804HV
Alle PC mit fester IP
Server 2003 fungiert als DHCP- und DNS-Server

Nun meine Frage: Da nur eine Netzwerkkarte des Servers angeschlossen ist:
Kann ich VPN und "normalen" Netzverkehr als auch den DHCP alles über eine Netzwerkkarte laufen lassen?
Oder stören sich die Dienste gegeseitig?

Danke für eure zahlreichen hilfreichen Antworten.

Content-ID: 217833

Url: https://administrator.de/forum/einrichtung-vpn-windows-server-2003-217833.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

transocean
transocean 25.09.2013 aktualisiert um 14:42:57 Uhr
Goto Top
Moin,

das sollte auch mit einer NIC funktionieren. Tut es zumindestens bei meinem SBS.

Hier eine Anleitung von MS: http://support.microsoft.com/kb/323441/de

Ich selbst neige aber dazu, VPN auf dem Router oder der FW zu terminieren und von PPTP VPN generell die Finger zu lassen, da dessen
Verwendung sicherheitstechnisch mittlerweile doch sehr bedenklich ist.

Gruß

Uwe


Edit: Und wenn Du nicht weiter kommst, dann frag ihn: https://administrator.de/userid/25471

Der Mann ist so was ähnliches wie der Brockhaus in Sachen Netzwerktechnik.
108012
108012 25.09.2013 um 15:40:40 Uhr
Goto Top
Hallo,

Dein Router (DLINK DI-804HV) unterstützt bis zu 40 IPSec Tunnel! Also ich würde an Deiner Stelle
mal schnell einen VPN Tunnel mittels IPSec einrichten und dann muss vorne am Router auch kein
Port geöffnet sein, was um Ellen sicherer ist heutzutage! DLINK DI-804HV VPN Anleitung

In der Regel sieht es so aus, dass nach dem erfolgreichen Aufbau des VPN Tunnels, das gesamte
hinter dem Router liegende Netzwerk erreichbar ist! Es dauert länger und auch gestandene Admins
haben damit so Ihre Probleme, das ist auch nichts ehrenrühriges, aber man wird danach auch mit einer
als sicher geltenden Verbindung belohnt und muss vorne am Router keine Ports öffnen die dann regelmäßig
von den "Bots" abgeklappert werden!

Gruß
Dobby
aqui
aqui 25.09.2013 aktualisiert um 16:13:41 Uhr
Goto Top
Die Kardinalsfrage hast du in deiner etwas oberflächlcihen Beschreibung nicht beantwortet !!
WAS für ein VPN willst du denn realisieren ???
PPTP, L2TP, IPsec, SSTP, SSL oder oder oder ??
Auf deine Frage oben kann man nur mit der berühmten Kristallkugel antworten oder...du präzisierst das etwas.
Ansonsten gibt es hier diveres Grundlagen Tutorials die deine Fragen umfassend benatworten:
Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPNs einrichten mit PPTP
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was darfs denn sein....?!
Reece384
Reece384 26.09.2013 um 10:55:07 Uhr
Goto Top
Ja, ok er hat nicht gleich alles angegeben. Klar sind das entscheidende Informationen. Aber ist es ein Grund, gleich mit so vielen Fragezeichen zu hantieren? Man kann auch normal nachfragen.
108012
108012 26.09.2013 um 15:53:21 Uhr
Goto Top
Man kann auch normal nachfragen.
Klar so meinten wir das auch gar nicht, wir wollten Dich eingentlich nur davon überzeugen dass Dein
Router dafür besser geeignet ist und das ganze dann auch Wasserdicht für Dich läuft, wie gesagt VPN
ist nichts einfaches und da beißen sich wirklich viele Leute die Zähne dran aus, aber dann auch noch
zusätzlich vorne am Router die Ports zu öffnen und noch mehr Unsicherheit zu stiften bzw. das ganze
noch unsicherer zu machen ist doch garantiert auch nicht Dein Wunsch gewesen, Du wolltest es eben
wie alle anderen auch, hübsch einfach mit KlickiBunti und in 20 Minuten erledigen. Klar man das will
irgend wie jeder, oder? Aber dann dürfen wir Dir doch auch unsere Meinung dazu mitteilen das Du nicht
so endest wie viele andere hier und Dein nächster Beitrag lautet dann in etwas :

"Hallo liebe Forengemeinde seit ca. 3 Tagen sind sehr viele Viren in unserem Netzwerk und auf dem
Server wird immer mehr illegaler Softwareschrott und Kinderpornos abgeladen, kann mir jemand helfen?"

Dann lieber jetzt etwas rüde rüber kommen und dafür hinterher keinen Supergau!

Gruß
Dobby

P.S.

Wenn es das dann war bitte noch ein Beitrag ist erledigt hinten dran, Danke!
heute-neu
heute-neu 26.09.2013 um 18:15:28 Uhr
Goto Top
Hallo Ihr lieben.
Stimmt. Mein Fehler.
Habe mich nicht 100%ig ausgedruckt.
Jedoch war die verschlüsselung erst einmal zweitrangig für mich.
Interessant war erst einmal die Antwort, ob ich das ganze mit nur einer Netzwerkkarte im Server hin bekommen.

Daher auch Danke für den Hinweis mit dem Router.
Werde es daher auf diesem Wege versuchen.
Auch danke für den Hinweis auf IPSec.... scheint die sicherste Verbindung zu sein.

Werde über Erfolg oder Mißerfolg berichten.

Für weitere Tips oder Hinweise bin ich auch weiterhin dankbar.
aqui
aqui 26.09.2013 um 18:26:14 Uhr
Goto Top
Mit Verschlüsselung hat das nix zu tun ! Das sind unterschiedliche Verfahren !
Dann sind wir mal auf das Feedback hier gespannt !!
(Mist...zuviele "!" face-wink )
heute-neu
heute-neu 03.10.2013 um 12:21:53 Uhr
Goto Top
Hallo,

habe mich nun für folgende Variante entschieden und dazu noch ein paar Fragen an die Fachleute hier.

VPN direkt über den D-Link DI-804HV. IPSec.
Alle Einstellungen laut D-Link Anleitung vorgenommen.
Nun Fehler 789 bei Verbindung.

Habe gelesen dass es mit der Firewall und Ports zu tun hat.
Da der DLink die VPN direkt zur Verfügung stellt, gehe ich von der Firewall meines Client-PC aus, welcher sich hinter
einem Speedport W921V befindet.
Die Windows-Firewall (Win7 HP) habe ich testweise deaktiviert. So dass ich das Problem damit auf den Speedport
eingrenzen kann.
Leider lässt sich die Firewall im 921V nicht deaktivieren.

Nun bin ich für Hinweise zur dynamischen Portweiterleitung dankbar.
Welche Ports (TCP/UDP) müssen offen sein?

Wie richte ich dies korrekt auf dem Speedport ein?

Kann ich die VPN-Verbindung evtl. über die cmd testen? wenn ja, wie? oder ist mir der Speedport dabei auch wieder im weg?

Danke schon mal für die nächsten Antworten face-smile

LG
108012
108012 03.10.2013 um 12:52:46 Uhr
Goto Top
Hallo,

also ich würde immer den Weg der am wenigsten verursachenden Sicherheitslöcher gehen wollen, gut
das ist aber auch jedermann seine Sache und Angelegenheit.

- Installiere doch einfach auf Deinem PC den kostenlosen VPN Klienten von ShrewSoft.
- Baue dann einfach bei Bedarf die VPN Verbindung mittels IPSec zu Eurem D-Link Router auf
Fertig.

Also ich denke damit fährst Du langfristig am besten und am sichersten!
Dein Netzwerk hat dann keine geöffneten Ports
Euer Firmennetzwerk hat keine geöffneten Ports
Und die VPN Verbindung kann schnell und kostenlos aufgebaut werden wenn Du sie brauchst!

Gruß
Dobby
heute-neu
heute-neu 07.10.2013 aktualisiert um 14:56:17 Uhr
Goto Top
Mahlzeit....

muss noch mal kurz Rückfragen:

Habe alles soweit eingerichtet im DI-HV804 IKEProspal und IPsec.....
Habe dann versucht mit ShrewSoft eine Verbinung herzustellen...

Dies klappte jedoch nicht - Verbindung duch Schlüsselserver abgelehnt....

Habe jedoch den PSK korrekt eingegeben....

Müssen am Speeport (Clientseite) doch noch Ports geöffnet werden?
Auf der Serverseite (VPN Firma - DLink DI-804HV) sollte dies ja nicht nötig sein, da dort die VPN direkt vom Dlink verwaltet wird.

Entschuldigt meine "Laienhafte" Fragestellung - jedoch ist VPN für mich absolutes Neuland.

Rückfragen werde ich gern schnellstmöglich beantworten....

Dank euch im voraus.

P.S. Bevor ich wieder Ärger bekomme face-smile
Einstellung in DLink Dynamische VPN-Einstellungen
IKEProspal Gruppe 1 - 3DES - SHA1 - 3600 sek
IPSec Gruppe 1 - ESP - 3DES - SHA1 - 3600 sek
Es soll eine VPN mit IPSek erstellt werden - Einstellung im Dlink 804HV (Serverseite Firma) siehe oben -
Zum Testen von zu Haus aus: Win 7 Client - ShrewSoft - Router Speedport W921V
aqui
aqui 13.10.2013 um 17:14:53 Uhr
Goto Top
Ja, natürlich ! Wenn der Client hinter einer NAT Firewall liegt (DSL Router wie z.B. der Speedport) musst du zwingend folgende Ports ins Port Forwarding auf die interne lokale IP nehmen:
  • UDP 500
  • UDP 4500
  • ESP Protokoll mit der IP Protokoll Nummer 50 (Achtung !: Kein UDP oder TCP 50 ! ESP ist ein eigenständiges IP Protokoll !)
Diese Protokolle müssen zwingend am Client ankommen sonst kommt keine IPsec Verbindung zustande.
Sinnvoll wäre immer ein Auszug (Syslog) des D-Link VPN Servers.
heute-neu
heute-neu 08.12.2014 um 09:03:42 Uhr
Goto Top
Hallo und guten Morgen,

hier noch mal kurz aus der Versenkung geholt, da es immer noch nicht läuft.

Frage hierzu jetzt:
Im Netzwerk hängt besagter Windows 2003 Server.
Dieser teile die IP-Adressen im Netzwerk zu (DHCP-Server).

Muss ich den DHCP im D-Link aktivieren damit die VPN funktioniert?
Bekomm immer noch keine Verbindung. Zum DynDNS schon, aber nicht ins Netzwerk.

Sollten Angaben fehlen, bitte ich um entschuldigung.....

LG
aqui
aqui 08.12.2014 um 18:14:22 Uhr
Goto Top
Muss ich den DHCP im D-Link aktivieren damit die VPN funktioniert?
Nein, natürlich nicht. DHCP verteilt nur IP Adressen im LAN, das hat mit VPN soviel zu tun wie ein Fisch mit einem Fahrrad. Vollkommen getrennte Baustelle !
Im Netzwerk hängt besagter Windows 2003 Server.
Nochmal die Fragen von oben die du wieder nicht beantwortet hast face-sad
  • Liegt dieser Server hinter einem NAT Router ? Tut er das kann das VPN NICHT die NAT Firewall passieren ohne ein entspr. Port Forwarding auf dem Router !!
  • Wenn ja hast du dann auf dem NAT Router die Ports UDP 500, UDP 4500 und das ESP Protokoll auf die lokale IP LAN Adresse des Server per statischem Port Forwarding geforwardet ?? Wenn du L2TP als VPN Protokoll machen solltest kommt da zusätzlich noch UDP 1701 dazu !
Diese Angaben fehlen !
goscho
goscho 09.12.2014 um 09:33:54 Uhr
Goto Top
Moin,

@aqui

so wie ich das verstehe, liegt sein W2K3 hinter dem VPN-Router (DLINK), der auch die Interneteinwahl in der FIrma macht.
Und er will von seinem Heim-PC hinter einem Speedport mittels Shrew Client ein IPSEC-VPN zum DLINK aufbauen.
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Der Shrew-Client unterstützt NAT-T, wie sein DLINK-Router einzurichten ist, weiß ich nicht, er hat aber von Dobby eine Anleitung verlinkt bekommen.

@heute-neu
Steht denn der Tunnel zu deinem DLINK-Router?
Kannst du diesen von deinem W7-PC mittels interner IP-Adresse anpingen und erhältst auch eine Antwort?
Das sollte zuerst getestet werden.
aqui
aqui 09.12.2014 um 10:15:30 Uhr
Goto Top
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Das stimmt wenn der D-Link Router dann selber VPN Server ist ! Allerdings würd ich dem Speedport niemals über den Weg trauen das der VPN Passthrough kann. Diese üblen Kisten haben so viele Macken. OK mit NAT Traversal wärs kein Ding aber ob das die üble D-Link Gurke dann auch supportet. Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge Probleme bereiten können.
Das da auf allen Kandidaten mindestens die aktuellste FW drauf sein sollte ist hoffentlich klar.
Auf dem Client würd ich das dann immer mit einem Wireshark kontrollieren ob die IPsec Pakete auch wirklich das Ziel erreichen.
Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon sofort sehen wo es kneift wenn es kneift.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben face-sad
goscho
Lösung goscho 09.12.2014, aktualisiert am 11.12.2014 um 21:11:32 Uhr
Goto Top
Zitat von @aqui:
Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge
Probleme bereiten können.
Stimme ich dir zu.

Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon
sofort sehen wo es kneift wenn es kneift.
Hoffentlich hat der ein vernünftiges Log.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben face-sad
Wohl weil er sehr konzentriert versucht, das VPN zum Laufen zu bekommen. face-wink
heute-neu
heute-neu 12.12.2014 um 11:25:38 Uhr
Goto Top
So Ihr lieben, Danke für die regen Meldungen.

Habe mir nun das D-Link-Zeug gespart und eine Fritz!Box zugelegt.
VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.

Nur habe ich nun das Problem, das ich nicht auf den Freigabeordner im Server zugreifen kann.
Muss ich nun die Portfreigaben einrichten, wie aqui das weiter oben erklärt hat?
Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
transocean
transocean 12.12.2014 um 12:02:08 Uhr
Goto Top
Moin.

\\IP.des.Servers\Freigabe sollte dein Problem lösen.

Oder hilfsweise die Hostdatei auf dem Client entsprechend editieren.

Gruß,

Uwe
goscho
goscho 12.12.2014 um 12:15:09 Uhr
Goto Top
Zitat von @heute-neu:

So Ihr lieben, Danke für die regen Meldungen.
Bitte, gerne doch. face-smile
Habe mir nun das D-Link-Zeug gespart und eine Fritz!Box zugelegt.
VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.
Das ist doch schon mal die halbe Miete. Den Rest packst du auch noch.
Nur habe ich nun das Problem, das ich nicht auf den Freigabeordner im Server zugreifen kann.
Schau, ob die Firewall im Server aktiv ist und Zugriffe von anderen IP-Adressbereichen blockt.
Außerdem klappt der Zugriff auf Freigaben bestimmt nur über die IP-Adresse und nicht den Namen, so wie von @transocean schon beschrieben.
Muss ich nun die Portfreigaben einrichten, wie aqui das weiter oben erklärt hat?
Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
Nein, das gilt nicht dafür, sondern wenn du vor deinem VPN-Server (hier Fritzbox) noch einen anderen Router wäre, über welchen der Internetzugang realisiert wird.
heute-neu
heute-neu 13.12.2014 um 12:53:21 Uhr
Goto Top
So. Abschlussbericht:

DLink durch Fritz!Box ersetzt.
VPN durch MyFritz und Fritz!Fernzugang realisiert.
Zugriff im Netzwerk unter dem PC-Namen mit eintrag in die Client-Hosts-Datei erfolgt.

Alles läuft - leider nur extrem langsam... aber bei ner 16.000 Leitung ist der Upload nicht das non plus ultra.

Ich danke hiermit allen, die sich rege an der Lösung meines Problemchens Beteiligt haben... Vielen Dank.

LG
aqui
aqui 13.12.2014 aktualisiert um 14:48:42 Uhr
Goto Top
Na ja "Lösung" kann man das ja aus deiner Sicht nicht nennen wenn du die Holzhammer Methode benutzt und die komplette HW tauschst ?!
Realistisch hast du ja bei DSL 16.000 dann 1 Mbit Upload was ja schon ganz ordentlich ist. Die Aussage "extrem langsam" ist wie immer relativ und damit komplett sinnfrei. Langsam im Vergleich zu 10 Gigabit/s ist das zweifelsohne...
Bedenke das die mickrige SoC CPU eines solch billigen Consumer Routers wie deiner FB dann die vollständige Encapsulierung in den VPN Tunnel machen muss inklusive der Verschlüsselung jeden Paketes.
Ganz nebenbei macht sie dann auch noch die PPPoE Encapsulierung und das Adress Translation (NAT) zum Provider auch für jedes Paket.
Realistisch darfst du also keine Höhenflüge erwarten das so ein Plaste Elaste Router mit der mickrigen CPU das gleiche leistet wie eine 3mal so teure Firewall die dedizierte VPN Hardware für sowas hat !
You get what you pay for !