baeribeeri
Goto Top

VPN mit Win10 pro und AD (Windows Server 2019 Standard)

Aktuelle Situation: Windows Domäne mit 12 Usern. Diese sollen per VPN auf Freigaben gemappt zugreifen können. Unter Windows Server 2008R2 klappte das sehr gut. Dann wurde viele Hardware gewechselt. U.a. wurde eine Fritz!box 7590 mit 100Mb/s im Down- und 40 Mb/s im Upstream eingesetzt per VDSL. Die Clients laufen alle unter Windows 10 pro Version 1909 oder höher. Alle Internetverbindungen laufen perfekt und mit 50 Mb/s oder schneller.

Die VPN-Ports sind als Firewall-Regeln in der Fritzbox (IP4: 192.168.188.254) auf den Server (192.168.188.2) gerichtet. Die betreffen User haben Einwahlrechte. Die Fritzbox wird per DynDNS (selfhost.de) angesprochen. Starte ich die VPN-Verbindung in meinem lokalen Netzwerk (192.168.15.00/24), dann wird als erstes nach Benutzernamen und Kennwort gefragt, dann kommt die Meldung "Der Computer wird im Netzwerk registriert ...", nach einigen Sekunden erscheint die Fehlermeldung 720 (Keine Verbindung). Ich soll die RAS-Einstellungen überprüfen.

Auf dem Server sind die Rollen Routing und RAS installiert und die Dienste laufen. Auf dem DHCP-Server habe in einen freien Pool eingerichtet vom 192.168.0.200 bis 250. Trotzdem gibt es keine Verbindung. Unter 2008R2 klappte das aber. Woran hapert es?

Danke schon einmal für Hilfe. Und bleibt gesund!

Hartmut

Content-ID: 623442

Url: https://administrator.de/contentid/623442

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

kaizes
kaizes 18.11.2020, aktualisiert am 26.11.2020 um 10:26:11 Uhr
Goto Top
Großartig, ich weiß nicht, ob die Leute, die immer noch Windows 7 wie ich verwenden, gleich sind.Kontaktieren Sie mich über yowhatsapp
tomolpi
tomolpi 18.11.2020 um 16:34:51 Uhr
Goto Top
--keine Begrüßung--

welches VPN-Protokoll wird überhaupt verwendet? Warum benutzt ihr nicht einfach den "Fritz!Fernzugang"?

Grüße

tomolpi
aqui
aqui 18.11.2020 aktualisiert um 17:18:38 Uhr
Goto Top
Das VPN Design ist bekanntlich kein Gutes, was hier gefühlt 5mal pro Woche auch immer wieder erklärt wird. Das Grundproblem ist das hier ungeschützter Internet Traffic per simplen Port Forwarding ins interne Netzwerk über die FB ins lokale Netz gelangt und dann auch noch auf so ein Sicherheits kritisches Device wie den zentralen Server der zudem unter Windows rennt.
Ein übles Beispiel wie man es genau nicht machen sollte und warum VPNs immer in der Pripherie terminiert werden sollten was verantwortungsbewusste Netzwerker auch machen.
Der TO nutzt zudem noch mit der FritzBox einen aktiven VPN Router der den direkten Zugang per VPN supportet.
https://avm.de/service/vpn/uebersicht/
Insofern ist es doppelt unverständlich darauf zu verzichten und ein so laienhaftes da unsicheres Design zu verwenden.

Noch sinnvoller wäre einen Router oder Firewall zu verwenden wo man die VPN Verbindungen mit schlichten Bordmitteln der Betriebssysteme bedient was erheblich weniger management und Troubleshooting Aufwand bedeutet.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
usw. usw.
bauinformatiker
bauinformatiker 18.11.2020 um 17:37:05 Uhr
Goto Top
Zitat von @aqui:

Das VPN Design ist bekanntlich kein Gutes [...]

Was genau meinst du damit? Geht es speziell um die Fritzbox oder um den VPN-Client von Microsoft?

Bei uns dient VPN dazu, dem User zu Hause die gleiche Umgebung zu geben als im Büro. Also alle Dienste wie Drucken, Fileserver, interne FTP-Server etc. müssen erreichbar sein. Um den Zugang sicher zu machen nutzen wir 2-Faktor-Authentifizierung um Bruteforce etc. an der Firewall zu unterbinden. Ist da grundsätzlich was dagegen einzuwenden?
aqui
aqui 18.11.2020, aktualisiert am 19.11.2020 um 08:10:44 Uhr
Goto Top
Was genau meinst du damit?
Steht doch alles oben !! Lesen hilft. face-wink Weil du es bist aber nochmal....
Es geht auch nicht um das VPN an sich und die Umgebung sondern WIE man das VPN terminiert. Das hat in einem guten Design immer in der Peripherie zu passieren aber niemals im internen, lokalen Netz !
Das ist hier der Knackpunkt, also das Design an sich. Nicht die grundsätzliche Funktion des VPNs. Das hast du ggf. missverstanden.

Er bohrt ein Loch in die Internet Firewall des Routers und lässt über simples ungeschütztes Port Forwarding der 4 L2TP Protokollports an der FritzBox damit ungeschützten Internet Traffic ins lokale LAN. Das allein ist in sicheren VPN Umgebungen schon ein NoGo !
Dann forwardet er diesen Traffic auch noch auf einen zentralen Server (um dort das VPN zu terminieren) der ggf. sicherheitsrelevante Daten hält und ein zentrales Steuerelement im Netz ist und eigentlich besonderen Schutz erfahren sollte (gerade bei Windows als OS !), was hier nicht der Fall ist...im Gegenteil.
Groschen gefallen...?
Genau deshalb ist das ein recht laienhaftes VPN Design. Es sei denn Sicherheit ist dem TO völlig Wumpe und das ist ein Spiel- und Bastelserver. Dann gelten natürlich ganz andere Voraussetzungen.
Baeribeeri
Baeribeeri 18.11.2020 um 18:04:22 Uhr
Goto Top
L2TP, IKEv2 bzw IPsec und SSTP
Baeribeeri
Baeribeeri 18.11.2020 um 18:06:28 Uhr
Goto Top
Die VPN-User sollen alle gleichzeitig von daheim aus arbeiten könne. Und das sind bis zu sieben Verbindungen gleichzeitig.
Baeribeeri
Baeribeeri 18.11.2020 um 18:12:58 Uhr
Goto Top
TO ist was? Mit Winblows meinst Du wahrscheinlich MS Windows. Bitte bleib sachlich.
goscho
goscho 19.11.2020 aktualisiert um 12:07:44 Uhr
Goto Top
@aqui hat fast ausnamslos Recht, mit dem was er geschrieben hat.
Ich bin nicht seiner Meinung, dass man VPNs möglichst mit Boardmitteln herstellen sollte.
IMHO gibt es Anbieter für VPN-Clients, die - gerade auf Windows-Maschinen - das wesentlich besser und komfortabler machen, als der Hersteller. Selbiges gilt auch für Androide.
Bei I-Devices geht das kaum anders.

Zitat von @Baeribeeri:
Die VPN-User sollen alle gleichzeitig von daheim aus arbeiten könne. Und das sind bis zu sieben Verbindungen gleichzeitig.
Kann man zwar mit einer Fritzbox machen, würde aber für ein solches Vorhaben vernünftige Business Hardware nutzen.
Mein Favorit ist hier Lancom, aber es gibt auch viele andere, die das ebenso gut machen.
Natürlich bekommt man diese nicht zum Preis einer Fritte, aber dafür hat man dann was passendes.
TO ist was?
Thread Owner bzw. Opener
Mit Winblows meinst Du wahrscheinlich MS Windows. Bitte bleib sachlich.
So isser halt. Er hat Äpfel am liebsten. face-wink
Baeribeeri
Baeribeeri 19.11.2020 um 16:11:14 Uhr
Goto Top
Nun, die Äppelaner sehen die IT-Welt natrürlich anders. Die Rede aber war von einem Windows Server 2019 Standard, was mit der Fa. Apple nichts zu tun hat. Und es geht auch nicht um die Clients, sondern um den Server. In dem Beitrag war nichts konstruktives.

Daher die Frage nochmals an die Windows-Menschen: Was schlagt ihr vor? Gegeben sind die Fritzbox, ein gut funktionierendes LAN, schnelles VDSL unsd Clients unter Windows 10. Nebenbei noch eine Windows-Domäne und ein funktionierendes AD, mit dem den VPN-Verbindungen Einwahlrechte erteilt werden sollen. Ging alles perfekt unter dem ausgemusterten Server 2008R2.
goscho
goscho 19.11.2020 um 16:18:50 Uhr
Goto Top
Zitat von @Baeribeeri:

Nun, die Äppelaner sehen die IT-Welt natrürlich anders. Die Rede aber war von einem Windows Server 2019 Standard, was mit der Fa. Apple nichts zu tun hat. Und es geht auch nicht um die Clients, sondern um den Server. In dem Beitrag war nichts konstruktives.
@aqui hat dir aber auch erklärt, warum es eine sicherheitstechnischer Supergau ist, einen Windows-Server zum VPN-Einwahlpunkt zu machen, zumal dieser auch noch für alles andere zuständig ist und du Portweiterleitungen von deinem Router hast.

Daher die Frage nochmals an die Windows-Menschen: Was schlagt ihr vor? Gegeben sind die Fritzbox, ein gut funktionierendes LAN, schnelles VDSL unsd Clients unter Windows 10. Nebenbei noch eine Windows-Domäne und ein funktionierendes AD, mit dem den VPN-Verbindungen Einwahlrechte erteilt werden sollen. Ging alles perfekt unter dem ausgemusterten Server 2008R2.
Schon mit dem W2K8R2 war es aus Sicherheitsgründen ein Abenteuer. face-sad

Du wirst das jetzt bestimmt auch wieder für nicht angebracht halten, aber ich sehe das so wie aqui und empfehle dir, den zentralen Einwahlpunkt (Router/Firewall) für das VPN zu nutzen.
Das sollte aber nicht die Fritzbox sein, sondern ein passendes Business-Gerät.
bauinformatiker
bauinformatiker 20.11.2020 um 23:34:55 Uhr
Goto Top
Hm, der Ton hier ist schon bisschen seltsam, v.a. wenn hier technisch schon versierte Menschen mit ihrem Deutsch ein sehr unpräzise umgehen.

ich halte VPN nur mit Username und Passwort, nicht für eine gute Idee. 2FA oder zumindest eine Prüfung einer Zertifikatsdatei (wie z.B. bei ssh Logins üblich) sollte Pflicht sein. Beides sehe ich zumindest in den gegoogelten Anleitungen unter "Fritzbox VPN" nicht:
https://www.pcwelt.de/a/sicheres-vpn-mit-der-fritzbox-in-fuenf-schritten ...

Ob eine Fritzbox 7 User gleichzeitig schaft ist auch so ne Frage, die man testen müsste. VPN braucht schon ein wenig CPU-Leistung.

Was haltet ihr davon, hinter die Fitzbox einen pfSense-Router zu hängen und dahinter das ganze Netzwerk. Auf dem pfSense Router lässte sich dann vernünftiges VPN machen.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
aqui
aqui 21.11.2020 um 09:41:50 Uhr
Goto Top
2FA oder zumindest eine Prüfung einer Zertifikatsdatei (wie z.B. bei ssh Logins üblich) sollte Pflicht sein
Bei einem Firmen VPN absolut richtig ?
Beides sehe ich zumindest in den gegoogelten Anleitungen unter "Fritzbox VPN" nicht:
Was erwartest du bei einem billigen Plaste Consumerrouter. Das ist kein Gerät für den Firmeneinsatz und hat dementsprechend dort auch nichts zu suchen.
AVM hat das als Dreingabe auf einem Massenprodukt damit Oma Grete einmal Enkelphotos per VPN ansehen kann. Ein nette Dreingabe für Privatuser aber nicht mehr und nicht weniger....
Ob eine Fritzbox 7 User gleichzeitig schaft ist auch so ne Frage
Die grottenschlechte VPN Performance von FritzBoxen sind hinreichend bekannt. Das ist aber kein Nachteil der sonst zweifelsohne guten FritzBox, denn VPN Firmenuser sind nicht die Zielclientel dieser Hardware. Durch den für Kryptografie sehr schwachbrüstigen SoC auf dem System ist das im System so vorgegeben. Es ist wie bereits gesagt ja auch keine Schlüsselfunktion eines billigen Consumer Routers.
Was haltet ihr davon, hinter die Fitzbox einen pfSense-Router zu hängen
Wenig, denn technisch ist das dann durch doppeltes NAT und doppeltes Firewalling eine schlechte Lösung. Kaskaden sollte man im Netzwerk, sofern man kann, immer vermeiden.
Wenn man aber die FritzBox mit einem reinen Supervectoring Modem (kein Roouter !) wie z.B. einem Draytek Vigor 165 oder einem Zyxel Zyxel VMG3006 ersetzt in deinem Vorschlag, dann hat man alles richtig gemacht !!
Das VPN terminiert man dann mit einem Protokoll was ALLE Betriebssysteme, Smartphones, Tablets usw. mit ihren bordeigenen VPN Clients bedienen um sich sinnlose Zusatzsoftware dafür zu ersparen:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
So wird ein Schuh draus.
Überflüssig zu sagen das das auch mit allen anderen Firewalls und Router der Welt die aktiv VPN sprechen, auch klappt....
harry1502
harry1502 31.12.2020 um 11:45:26 Uhr
Goto Top
Überflüssig zu sagen das das auch einem Massenprodukt damit Oma Grete einmal Enkelphotos per VPN ansehen kann. Ein nette Dreingabe für Privatuser aber nicht mehr und nicht weniger https://computerdeskcorner.com/letmewatchthis-alternatives/