6
VPN mit IPSec einrichten und verstehen
Hallo zusammen,
ich interessiere mich sehr für Sicherheitsthemen in der IT-Welt und jetzt
will ich mich in den Bereich VPN einarbeiten. Hoffe ich bin hier im richtigen
Bereich gelandet.
Ich habe als Testumgebung zu Hause die Möglichkeit mit einem Netgear FSM7328s,
einem Cisco Catalyst Express 500,
einer Fritzbox 7240,
2 Rechnern (Win7 Enterprise, Win7 Ultimate mit je 8GB RAM)
und VMware8.0 zu arbeiten.
Zusätzlich habe ich noch einen alten Netgear VPN FVS318,
den ich aber erst mal aussenvor lassen möchte, um mich in die Materie ohne Hardware
VPNs einzuarbeiten. Wenn irgendwann die Erfahrung größer ist besorge ich mir dann
einen gescheiten VPN Router (z.B Vigor2820?) zum testen.
Nun habe ich mir in der Theorie ausgemalt, dass ich von extern auch mal vom Laptop
oder Android Smartphone (Galaxy S Plus) per VPN Verbindung auf meinen Rechner daheim
möglichst sicher zugreifen kann.
Ich hatte an IPSec gedacht, nur habe ich folgenden Satz gelesen und der verwirrt mich
Laien etwas:
"Um einen IPSec-Tunnel zu einem Client aufzubauen, der sich hinter einem Router befindet,
muss dieser NAT-T unterstützen."
Mein Gedanke wie ich an das Ganze heran gehe war:
1. IPSec auf einem Win7 PC einrichten
2. FritzBox einrichten (FW mögliche fehlerquelle?)
3. Clients einrichten (evtl VMs?)
Möchte das ganze erst einmal verstehen (Theorie UND Praxis) und in der schlichtesten Form üben.
Also wenn möglich auch in meinem eigenen Heimnetz.Wenn ich von Außen auf meinen Server per VPN
zugreifen möchte, dann ist eine DynDNS zwingend notwendig, richtig?
Später möchte ich dann auch Zertifizierung per X.509, Radius fürs WLAN usw kennen lernen, aber
Schritt für Schritt.
Ist jemand von euch so nett und kann mich kritisieren, etwas anleiten oder aufklären?
Ich bin euch sehr dankbar.
Beste Grüße
Azad
ich interessiere mich sehr für Sicherheitsthemen in der IT-Welt und jetzt
will ich mich in den Bereich VPN einarbeiten. Hoffe ich bin hier im richtigen
Bereich gelandet.
Ich habe als Testumgebung zu Hause die Möglichkeit mit einem Netgear FSM7328s,
einem Cisco Catalyst Express 500,
einer Fritzbox 7240,
2 Rechnern (Win7 Enterprise, Win7 Ultimate mit je 8GB RAM)
und VMware8.0 zu arbeiten.
Zusätzlich habe ich noch einen alten Netgear VPN FVS318,
den ich aber erst mal aussenvor lassen möchte, um mich in die Materie ohne Hardware
VPNs einzuarbeiten. Wenn irgendwann die Erfahrung größer ist besorge ich mir dann
einen gescheiten VPN Router (z.B Vigor2820?) zum testen.
Nun habe ich mir in der Theorie ausgemalt, dass ich von extern auch mal vom Laptop
oder Android Smartphone (Galaxy S Plus) per VPN Verbindung auf meinen Rechner daheim
möglichst sicher zugreifen kann.
Ich hatte an IPSec gedacht, nur habe ich folgenden Satz gelesen und der verwirrt mich
Laien etwas:
"Um einen IPSec-Tunnel zu einem Client aufzubauen, der sich hinter einem Router befindet,
muss dieser NAT-T unterstützen."
Mein Gedanke wie ich an das Ganze heran gehe war:
1. IPSec auf einem Win7 PC einrichten
2. FritzBox einrichten (FW mögliche fehlerquelle?)
3. Clients einrichten (evtl VMs?)
Möchte das ganze erst einmal verstehen (Theorie UND Praxis) und in der schlichtesten Form üben.
Also wenn möglich auch in meinem eigenen Heimnetz.Wenn ich von Außen auf meinen Server per VPN
zugreifen möchte, dann ist eine DynDNS zwingend notwendig, richtig?
Später möchte ich dann auch Zertifizierung per X.509, Radius fürs WLAN usw kennen lernen, aber
Schritt für Schritt.
Ist jemand von euch so nett und kann mich kritisieren, etwas anleiten oder aufklären?
Ich bin euch sehr dankbar.
Beste Grüße
Azad
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187625
Url: https://administrator.de/forum/vpn-mit-ipsec-einrichten-und-verstehen-187625.html
Ausgedruckt am: 23.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
warum nicht die FritzeBox für VPN nehmen?
Alles Wissenswerte findest Du hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Gruß
Uwe
warum nicht die FritzeBox für VPN nehmen?
Alles Wissenswerte findest Du hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Gruß
Uwe
Ich hab da mal ne Anleitung geschrieben da das schon ein etwas komplizierteres Protokoll ist und ich mich da vor Jahren auch durchkämpfen musste..
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Die NAT-T Thematik:
Zwischen 2 Standorten nimmt man in aller Regel Site-to-Site VPN.
Da wird IKE und ESP verwendet (IKE für Schlüsselaustausch, ESP für den Transport der eigentlichen Daten).
ESP ist ein Layer3 Protokoll und hat keine Ports.
Genau diese Eigenschaft macht ESP z. B. beim Zugriff von zu Hause aufs Firmennetz problematisch.
Wenn ich Remote Access VPN mache (kein Site-to-Site VPN) wird daher das ESP in UDP gekapselt, damit man
es über PAT Router (das ist so ziemlich jeder DSL Router den man daheim hat) "patten" kann.
Denn PAT (Port Address Translation) basiert darauf dass man PORTS benutzt.
Doch Ports gibts erst in OSI Layer4.
Sammlung der wichtigsten Punkte für Site-to-Site IPSEC VPNs
Wenn z. B. Standort1 in Dortmund mit Standort2 in Berlin VPN machen will, und Dortmund hat im LAN 10.20.30.0/24, und Berlin hat im LAN 192.168.10.0/24, muss auf beiden Seiten der VPN Verbindung die so genannte "Encryption Domain" konfiguriert werden. Die Netze müssen dabei exakt stimmen.
Ich kann auf dem Dortmunder VPN Server nicht als gegenüberliegendes Netz z. B. 192.168.0.0/16 konfigurieren, wenn in der Encryption Domain auf dem VPN Server in Berlin "192.168.10.0/24" konfiguriert ist. Die Netze die man über die VPN Verbindung erreichen möchte, müssen auf beiden Seiten gleich konfiguriert sein.
Ausserdem kann man nicht einen VPN Tunnel aufbauen zum selben Netz, z. B. wenn in Dortmund 10.10.10.0/24 und in Berlin ebenfalls 10.10.10.0/24 benutzt wird, geht das schon routingtechnisch nicht, da der Daten absendende Client ja davon ausgehen muss (nach TCP/IP-Protokoll) dass der Zielserver z. B. 10.10.10.20 im LOKALEN LAN existiert - das Ethernetframe wird also nichtmal zum lokalen VPN Server geroutet sondern bleibt in der Broadcastdomäne.
Da gibts jedoch auch Ausnahmen, z. B. bei DMVPN "wählt" sich der Remote Router beim zentralen VPN Server ein, und kann auch eine dynamische DSL IP haben.
Normalerweise haben jedoch idealerweise beide VPN Seiten eine feste öffentliche IP Adresse.
Wähle ich in Dortmund z. B. für IKE Phase 1 3DES/MD5/86400Sekunden/DH-Group5, und in Berlin AES256/MD5/5000Sekunden/DH-Group2, dann kann keine VPN Verbindung aufgebaut werden da sich beide VPN Server nicht auf passende Parameter einigen können
IKE (UDP500), ESP (IP-Protokoll 50), NAT-T (UDP4500 wenn man ESP in UDP kapselt) sind die wichtigsten Ports für IPSEC VPN.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Die NAT-T Thematik:
Zwischen 2 Standorten nimmt man in aller Regel Site-to-Site VPN.
Da wird IKE und ESP verwendet (IKE für Schlüsselaustausch, ESP für den Transport der eigentlichen Daten).
ESP ist ein Layer3 Protokoll und hat keine Ports.
Genau diese Eigenschaft macht ESP z. B. beim Zugriff von zu Hause aufs Firmennetz problematisch.
Wenn ich Remote Access VPN mache (kein Site-to-Site VPN) wird daher das ESP in UDP gekapselt, damit man
es über PAT Router (das ist so ziemlich jeder DSL Router den man daheim hat) "patten" kann.
Denn PAT (Port Address Translation) basiert darauf dass man PORTS benutzt.
Doch Ports gibts erst in OSI Layer4.
Sammlung der wichtigsten Punkte für Site-to-Site IPSEC VPNs
- Symmetrische Encryption Domains
Wenn z. B. Standort1 in Dortmund mit Standort2 in Berlin VPN machen will, und Dortmund hat im LAN 10.20.30.0/24, und Berlin hat im LAN 192.168.10.0/24, muss auf beiden Seiten der VPN Verbindung die so genannte "Encryption Domain" konfiguriert werden. Die Netze müssen dabei exakt stimmen.
Ich kann auf dem Dortmunder VPN Server nicht als gegenüberliegendes Netz z. B. 192.168.0.0/16 konfigurieren, wenn in der Encryption Domain auf dem VPN Server in Berlin "192.168.10.0/24" konfiguriert ist. Die Netze die man über die VPN Verbindung erreichen möchte, müssen auf beiden Seiten gleich konfiguriert sein.
Ausserdem kann man nicht einen VPN Tunnel aufbauen zum selben Netz, z. B. wenn in Dortmund 10.10.10.0/24 und in Berlin ebenfalls 10.10.10.0/24 benutzt wird, geht das schon routingtechnisch nicht, da der Daten absendende Client ja davon ausgehen muss (nach TCP/IP-Protokoll) dass der Zielserver z. B. 10.10.10.20 im LOKALEN LAN existiert - das Ethernetframe wird also nichtmal zum lokalen VPN Server geroutet sondern bleibt in der Broadcastdomäne.
- VPN-GW IP
Da gibts jedoch auch Ausnahmen, z. B. bei DMVPN "wählt" sich der Remote Router beim zentralen VPN Server ein, und kann auch eine dynamische DSL IP haben.
Normalerweise haben jedoch idealerweise beide VPN Seiten eine feste öffentliche IP Adresse.
- IKE/IPSEC Parameter
Wähle ich in Dortmund z. B. für IKE Phase 1 3DES/MD5/86400Sekunden/DH-Group5, und in Berlin AES256/MD5/5000Sekunden/DH-Group2, dann kann keine VPN Verbindung aufgebaut werden da sich beide VPN Server nicht auf passende Parameter einigen können
- Port / Protokollfreischaltungen
IKE (UDP500), ESP (IP-Protokoll 50), NAT-T (UDP4500 wenn man ESP in UDP kapselt) sind die wichtigsten Ports für IPSEC VPN.
Vielen herzlichen Dank für deine Mühen!!! Hast mir sehr geholfen!
Nun kann ich mir ein besseres Bild von der Thematik machen.
Auch danke für deinen Link!
Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Nun kann ich mir ein besseres Bild von der Thematik machen.
Auch danke für deinen Link!
Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Hallo Azrad,
offenbar bist du noch sehr unerfahren, was IT-Foren angeht. Du wirst hier keinen finden, der dir IPSec erklärt. Die meisten haben selber keine Ahnung und den wenigen, die es können, ist es zu mühselig.
Also versuche es im Selbststudium.
Um IPsec zu üben und zu verstehen brauchst du übrigens nur einen PC und Internet. Also kauf dir nicht vorschnell neue Technik. Wenn du mal durchblickst, wirst du dich sonst ärgern.
Viel Grüße
leo
offenbar bist du noch sehr unerfahren, was IT-Foren angeht. Du wirst hier keinen finden, der dir IPSec erklärt. Die meisten haben selber keine Ahnung und den wenigen, die es können, ist es zu mühselig.
Also versuche es im Selbststudium.
Um IPsec zu üben und zu verstehen brauchst du übrigens nur einen PC und Internet. Also kauf dir nicht vorschnell neue Technik. Wenn du mal durchblickst, wirst du dich sonst ärgern.
Viel Grüße
leo
Wieso ? Das oben zitierte Tutorial vom Kollegen spacyfreak erklärt es doch auch für Laien recht leicht und verständlich !
Ein weiteres Tutorial hier was das Thema mehr praxisbezogen beleuchtet findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außer IPsec gäbe es noch SSL basierte VPNs wie das sehr verbreitete OpenVPN. Auch dazu findest du ein praxisbezogenes Tutorial hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ebenso zu PPTP basierten VPNs.
Damit ist es eigentlich ein Leichtes das schnell und einfach umzusetzen !
Ein weiteres Tutorial hier was das Thema mehr praxisbezogen beleuchtet findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außer IPsec gäbe es noch SSL basierte VPNs wie das sehr verbreitete OpenVPN. Auch dazu findest du ein praxisbezogenes Tutorial hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ebenso zu PPTP basierten VPNs.
Damit ist es eigentlich ein Leichtes das schnell und einfach umzusetzen !
Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Mit DynDNS kann man einen Server, dessen IP-Adresse sich gelegentlich ändert, mit DNS-Namen erreichen.
Sobald der Server mal wieder dynamisch eine andere IP-Adresse erhält, meldet die DynDNS Software an den DynDNS Server die neue IP-Adresse und läuft. Ist aber eher eine private Lösung.
Soweit ich dein Vorhaben verstehe willst du Remote Access VPN machen, also Windows7 IPSEC-Client soll eine VPN Verbindung mit VPN Server zb von Netgear aufbauen.
Dazu einfach die Anleitungen lesen vom Hersteller, das dürfte nicht schwierig sein sich da durchzuklicken.
