topa82
Goto Top

IPSec Windows Server 2008 mit Zertifikaten

Hallo,

vorab möchte ich etwas zur Umgebung erläutern:

In einer Einheit die dezentral steht wird eine Internet-Verbindung über ein PSI-3G-GSM-Modem aufgebaut.
Die Einheit soll per VPN an den Server angeknüpft werden, damit diese entsprechende Daten liefert und ferngewartet werden kann.

Anforderung des GSM Modems ist ( keine weiteren Optionen möglich ):

- IPSec Verbindung
- Es benötigt ein Zertifikat ( *.cert )
- Und es benötigt ein Zertifikat (*.p12) pkcs12 verschlüsselt.

Wie richte ich eine VPN Verbindung mit IPSec ein ?
Wie werden die Zertifikate erstellt ?
Wo werden diese Zertifikate auf dem Server hinterlegt ?

Ich habe bereits viele Stunden gegoogelt jedoch nur Teilansätze gefunden.
Vielleicht kann mich jemand bei diesem Vorhaben begleiten, da dieses absolutes Neuland ist.

Content-ID: 207434

Url: https://administrator.de/forum/ipsec-windows-server-2008-mit-zertifikaten-207434.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

aqui
aqui 04.06.2013 um 15:38:26 Uhr
Goto Top
Etwas oberflächliche Schilderung...sorry.
Soll der Router selber die VPN Verbindung herstellen, dann hilft dir dieses Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Alternativ einen OpenVPN fähigen Router der dann zwar Zertifikate aber aber SSL als Protokoll verwendet:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn die "Einheit" (was auch immer das ist ?) ein Winblows OS hat, dann supportet das direkt kein natives IPsec ! Mit dem OS kannst du also kein reines IPsec VPN erstellen und scheiterst mit deinem o.a. Vorhaben !!
Einzig die L2TP Protokollversion auf Basis von IPsec supportet MS.
Wenn du also L2TP meinen solltest (geraten) dann generierst du mit deiner CA ein Zertifikat, importierst das ganz einfach mit dem MS Zertifikatmanger mit einem Mausklick...et voila...fertisch !
Sinnvoll ist das nicht sondern nur die Realisierung mit einem IPsec Router, wie den oben genannten, Draytek usw.
topa82
topa82 04.06.2013 um 15:45:59 Uhr
Goto Top
Hi,

vielen Dank für die Antwort.
Es ist nicht gerade leicht zu beschreiben. Wir haben System-Einheiten im Einsatz die eine Verbindung mit einem Server aufnehmen sollen ( über VPN ).

Hier ein Link zu dem verbauten Modem/Router:

https://www.phoenixcontact.com/online/portal/de?uri=pxc-oc-itemdetail:pi ...

Vielleicht bringt das etwas Licht ins Dunkle
aqui
aqui 04.06.2013 aktualisiert um 16:09:27 Uhr
Goto Top
Na ja sorry aber hast du wirklich selber mal einen Blick in das Handbuch zu diesem Router geworfen:
https://www.phoenixcontact.com/online/portal/de?uri=pxc-oc-itemdetail:pi ...
(Das 4 MB Handbuch zum Thema Firewall und VPN)
Das hätte den Thread hier eigentlich überflüssig gemacht...
Da (Seite 3-31 im Kapitel 3.7) ist es doch haarklein erklärt. Sogar noch mit Klicki Bunti Interface zum konfigurieren.
Damit bekommt auch ein Laie das hin.
Grundlagen erklärt dir das obige Tutorial bei dem du ja selber sehen kannst das die IPsec Konfig Schritte immer und immer wieder die gleichen sind, egal welche HW man verwendet.
So ist es auch mit deiner Industriegurke da !!
Allgemeine Protokollinfos zu IPsec gibt dir noch dieses Forumstutorial hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Damit hast du doch nun alles an der Hand um das in 10 Minuten mit ein paar Mausklicks zum Fliegen zu bringen ?!
Wo ist denn nun dein wirkliches Problem ?
topa82
topa82 05.06.2013 um 08:30:17 Uhr
Goto Top
Hm..... vielleicht noch nicht deutlich genug.
Es geht mir hier um die Einstellungen am Server 2008.
Wo kommen die erstellen Zertifikate hin ?

Der Router ist gar nicht das Problem, aber da ich einen VM-Ware Server in einem Rechenzentrum betreibe kann ich kein externes Gerät ( Router ) verwenden. Und in deinem oben genannten Tutorial geht es um einen Cisco Router.

Die Einstellungen am Server 2008 sind das entscheidende !
aqui
aqui 05.06.2013 um 11:08:00 Uhr
Goto Top
Doch, war schon deutlich genug nur du hast vermutlich nicht verstanden weil dir die Grundkenntnisse fehlen...vermutlich ?!
Ein Windows Server supportet kein natives IPsec !! Eine direkte Einwahl von den Industrie VPN Routern oben auf einem Winblows Server ist also technisch unmöglich !
Winblows supportet nur L2TP was für den Datentunnel ESP benutzt was dann zwar IPsec Protokolle benutzt aber NICHT kompatibel zu nativem IPsec ist. (PPTP ist indiskutabel auf Windows da geknackt)
Das kannst du also vergessen, denn technisch nicht kompatibel !

Abgesehen davon ist das auch eine denkbar schlechte Lösung und wird so nicht gemacht, denn der Server befindet sich ja meist hinter einer NAT Firewall was dann Gefrickel mit Port Forwarding usw. nach sich zieht.
Sinnvoll lässt man also die VPNs der Industrierouter von oben AUCH auf einem IPsec fähigen Router oder Firewall enden wie es heutzutage üblich ist.
Das obige Tutorial zeigt dir eine Auswahl dieser Router / Firewalls und deren wasserdichte Konfiguration zum abtippen.
Auch ein Draytek Router, FritzBox usw. supporten IPsec.
So wird ein Schuh draus !! Oder war das wieder falsch verstanden ?!