freeze2046
Goto Top

IPSec Konfiguration eines Windows Server 2008 R2 DataCenter Core (x64) Systems

Hallo an alle,
ich habe da ein Problem bei der IPSec Konfiguration per Kommando-Zeile.

Hintergrund ist folgender:

Ich habe eine virtuelle Maschine mit Windows Server 2008 R2 DataCenter Core (x64), welche einen proprietären Dienst im Internet verfügbar machen soll. Der Dienst selbst stellt seine Leistung über TCP/IP zur Verfügung.

Kommuniziert werden soll jedoch ausschließlich über eine gesicherte VPN-Verbindung. Als VPN-Protokoll soll IPSec mit NAT-T zum Einsatz kommen. Verwendet werden AH (SHA-1) und ESP (SHA-1, 3-DES).

Die Verwaltung wollte ich komplett über "netsh" vornehmen. Zu Testzwecken wollte ich die ICMP-Kommunikation zwischen der virtuellen Maschine und dem Host-System verschlüsseln.

Das Host-System hat die IPv4-Adresse 192.168.217.1
Der VPC hat die IPv4-Adrese 192.168.217.136

Hier meine bisherige Konfiguration:

netsh advfirewall>set allprofiles firewallpolicy allowinbound,allowoutbound
netsh ipsec static>add filterlist name=diagnostics_list description="filters diagnostic packages"  
netsh ipsec static>set filteraction name=negotiate_ah_sha1_esp_3des_sha1 qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="AH[SHA1]+ESP[3DES,SHA1]:20480k/3600s"  
netsh ipsec static>add filter filterlist=diagnostics_list srcaddr=me dstaddr=192.168.217.1 description="me2host_bi_icmp" protocol=ICMP mirrored=yes srcmask=255.255.255.255 dstmask=255.255.255.255  
netsh ipsec static>add policy name=diagnostics_policy description="settings for diagnostic packages" mmpfs=no qmpermm=0 mlifetime=480m activatedefaultrule=no pollinginterval=180m assign=yes mmsecmethods="3DES-SHA1-3"  
netsh ipsec static>add rule name=diagnostics policy=diagnostics_policy filterlist=diagnostics_list filteraction=negotiate_ah_sha1_esp_3des_sha1 conntype=all activate=yes description="rule for diagnostic packages" kerberos=no psk="my diagnostic channel"  

Das Ganze funktioniert auch ... irgendwie zumindest. Die gleiche Konfiguration habe ich auch auf dem Host-System vorgenommen (Source - Destination Dreher natürlich bedacht).

Es werden lediglich Packete über ICMP zwischen den beiden Rechnern zugelassen. Alles andere läuft unverschlüsselt. Problem dabei jedoch: Es wird der Transport- und nicht der gewünschte Tunnel-Modus verwendet. Außerdem möchte ich, dass ausschließlich ein- und ausgehende Packete über die definierten VPN-Packete zugelassen werden sollen.

Dafür habe ich zunächst alles Blocken wollen:
netsh advfirewall>set allprofiles firewallpolicy blockinbound,blockoutbound

Jetzt wird jedoch wirklich alles geblockt. Also wollte ich eine Ausnahme für meine ICMP-Kommunikation vornehmen:

netsh advfirewall consec>add rule name=diagnostics endpoint1=192.168.217.136 endpoint2=192.168.217.1 action=requireinrequireout mode=tunnel enable=yes profile=any type=static localtunnelendpoint=192.168.217.126 remotetunnelendpoint=192.168.217.1 protocol=icmpv4 interfacetype=any auth1=computerpsk auth1psk="my diagnostic channel" qmpfs=mainmode qmsecmethods="ah:sha1+esp:sha1-3des+60min+20480kb" exemptipsecprotectedconnections=no applyauthz=yes  

Hier erhalte ich jedoch die Fehlermeldung: "Es wurde ein ungültiges Protokoll angegeben."

"icmpv4" wird jedoch laut technet als Parameter für "protocol" akzeptiert.

Kann mir jemand weiterhelfen? Danke im Voraus!

Content-Key: 164281

Url: https://administrator.de/contentid/164281

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: FrEEzE2046
FrEEzE2046 20.04.2011 um 05:56:30 Uhr
Goto Top
Kann mir niemand weiterhelfen? Wenn die Frage unklar definiert sein sollte, dann führe ich es auch gerne weiter aus.