IPSec Konfiguration eines Windows Server 2008 R2 DataCenter Core (x64) Systems
Hallo an alle,
ich habe da ein Problem bei der IPSec Konfiguration per Kommando-Zeile.
Hintergrund ist folgender:
Ich habe eine virtuelle Maschine mit Windows Server 2008 R2 DataCenter Core (x64), welche einen proprietären Dienst im Internet verfügbar machen soll. Der Dienst selbst stellt seine Leistung über TCP/IP zur Verfügung.
Kommuniziert werden soll jedoch ausschließlich über eine gesicherte VPN-Verbindung. Als VPN-Protokoll soll IPSec mit NAT-T zum Einsatz kommen. Verwendet werden AH (SHA-1) und ESP (SHA-1, 3-DES).
Die Verwaltung wollte ich komplett über "netsh" vornehmen. Zu Testzwecken wollte ich die ICMP-Kommunikation zwischen der virtuellen Maschine und dem Host-System verschlüsseln.
Das Host-System hat die IPv4-Adresse 192.168.217.1
Der VPC hat die IPv4-Adrese 192.168.217.136
Hier meine bisherige Konfiguration:
Das Ganze funktioniert auch ... irgendwie zumindest. Die gleiche Konfiguration habe ich auch auf dem Host-System vorgenommen (Source - Destination Dreher natürlich bedacht).
Es werden lediglich Packete über ICMP zwischen den beiden Rechnern zugelassen. Alles andere läuft unverschlüsselt. Problem dabei jedoch: Es wird der Transport- und nicht der gewünschte Tunnel-Modus verwendet. Außerdem möchte ich, dass ausschließlich ein- und ausgehende Packete über die definierten VPN-Packete zugelassen werden sollen.
Dafür habe ich zunächst alles Blocken wollen:
netsh advfirewall>set allprofiles firewallpolicy blockinbound,blockoutbound
Jetzt wird jedoch wirklich alles geblockt. Also wollte ich eine Ausnahme für meine ICMP-Kommunikation vornehmen:
Hier erhalte ich jedoch die Fehlermeldung: "Es wurde ein ungültiges Protokoll angegeben."
"icmpv4" wird jedoch laut technet als Parameter für "protocol" akzeptiert.
Kann mir jemand weiterhelfen? Danke im Voraus!
ich habe da ein Problem bei der IPSec Konfiguration per Kommando-Zeile.
Hintergrund ist folgender:
Ich habe eine virtuelle Maschine mit Windows Server 2008 R2 DataCenter Core (x64), welche einen proprietären Dienst im Internet verfügbar machen soll. Der Dienst selbst stellt seine Leistung über TCP/IP zur Verfügung.
Kommuniziert werden soll jedoch ausschließlich über eine gesicherte VPN-Verbindung. Als VPN-Protokoll soll IPSec mit NAT-T zum Einsatz kommen. Verwendet werden AH (SHA-1) und ESP (SHA-1, 3-DES).
Die Verwaltung wollte ich komplett über "netsh" vornehmen. Zu Testzwecken wollte ich die ICMP-Kommunikation zwischen der virtuellen Maschine und dem Host-System verschlüsseln.
Das Host-System hat die IPv4-Adresse 192.168.217.1
Der VPC hat die IPv4-Adrese 192.168.217.136
Hier meine bisherige Konfiguration:
netsh advfirewall>set allprofiles firewallpolicy allowinbound,allowoutbound
netsh ipsec static>add filterlist name=diagnostics_list description="filters diagnostic packages"
netsh ipsec static>set filteraction name=negotiate_ah_sha1_esp_3des_sha1 qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="AH[SHA1]+ESP[3DES,SHA1]:20480k/3600s"
netsh ipsec static>add filter filterlist=diagnostics_list srcaddr=me dstaddr=192.168.217.1 description="me2host_bi_icmp" protocol=ICMP mirrored=yes srcmask=255.255.255.255 dstmask=255.255.255.255
netsh ipsec static>add policy name=diagnostics_policy description="settings for diagnostic packages" mmpfs=no qmpermm=0 mlifetime=480m activatedefaultrule=no pollinginterval=180m assign=yes mmsecmethods="3DES-SHA1-3"
netsh ipsec static>add rule name=diagnostics policy=diagnostics_policy filterlist=diagnostics_list filteraction=negotiate_ah_sha1_esp_3des_sha1 conntype=all activate=yes description="rule for diagnostic packages" kerberos=no psk="my diagnostic channel" Das Ganze funktioniert auch ... irgendwie zumindest. Die gleiche Konfiguration habe ich auch auf dem Host-System vorgenommen (Source - Destination Dreher natürlich bedacht).
Es werden lediglich Packete über ICMP zwischen den beiden Rechnern zugelassen. Alles andere läuft unverschlüsselt. Problem dabei jedoch: Es wird der Transport- und nicht der gewünschte Tunnel-Modus verwendet. Außerdem möchte ich, dass ausschließlich ein- und ausgehende Packete über die definierten VPN-Packete zugelassen werden sollen.
Dafür habe ich zunächst alles Blocken wollen:
netsh advfirewall>set allprofiles firewallpolicy blockinbound,blockoutbound
Jetzt wird jedoch wirklich alles geblockt. Also wollte ich eine Ausnahme für meine ICMP-Kommunikation vornehmen:
netsh advfirewall consec>add rule name=diagnostics endpoint1=192.168.217.136 endpoint2=192.168.217.1 action=requireinrequireout mode=tunnel enable=yes profile=any type=static localtunnelendpoint=192.168.217.126 remotetunnelendpoint=192.168.217.1 protocol=icmpv4 interfacetype=any auth1=computerpsk auth1psk="my diagnostic channel" qmpfs=mainmode qmsecmethods="ah:sha1+esp:sha1-3des+60min+20480kb" exemptipsecprotectedconnections=no applyauthz=yes Hier erhalte ich jedoch die Fehlermeldung: "Es wurde ein ungültiges Protokoll angegeben."
"icmpv4" wird jedoch laut technet als Parameter für "protocol" akzeptiert.
Kann mir jemand weiterhelfen? Danke im Voraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164281
Url: https://administrator.de/forum/ipsec-konfiguration-eines-windows-server-2008-r2-datacenter-core-x64-systems-164281.html
Ausgedruckt am: 27.04.2025 um 08:04 Uhr
1 Kommentar
Kann mir niemand weiterhelfen? Wenn die Frage unklar definiert sein sollte, dann führe ich es auch gerne weiter aus.
