VPN mit Window Server: PPTP, SSTP, L2TP, .?
Hallo allerseits,
ich plane eine Windows Server 2016 Installation als Terminalserver, um Zugriff von außen auf Anwendungen im Büro-Intranet anzubieten.
Über VPN kommt man ins Netzwerk.
Jetzt frage ich mich: wie binde ich die Clients an? PPTP ist meines Wissens "unsicher" (ein schwammiges Wort, genauso wie "sicher", aber egal). Was ist zu empfehlen? L2TP oder SSTP?
... habe über die Forum Suche alles mögliche zu diesem Thema gefunden, aber keine Antwort auf meine Frage.
Gruß Abid
ich plane eine Windows Server 2016 Installation als Terminalserver, um Zugriff von außen auf Anwendungen im Büro-Intranet anzubieten.
Über VPN kommt man ins Netzwerk.
Jetzt frage ich mich: wie binde ich die Clients an? PPTP ist meines Wissens "unsicher" (ein schwammiges Wort, genauso wie "sicher", aber egal). Was ist zu empfehlen? L2TP oder SSTP?
... habe über die Forum Suche alles mögliche zu diesem Thema gefunden, aber keine Antwort auf meine Frage.
Gruß Abid
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357673
Url: https://administrator.de/contentid/357673
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Generell ist es schlechtes Design ein internes Device als VPN Tunnel Endpunkt zu benutzen wie du es planst. Zeugt eher von mangelndem Security Bewusstsein aus welchem Grund auch immer.
Du wärst ja dann gezwungen in deine Router Firewall Löcher zu bohren um so Internet Traffic ins interne Netz zu lassen und auf dem Server zu terminieren, was diesen angreifbar macht. (Ausnahme natürlich du hast den Server direkt im Internet exponiert, was wir bei einem Winblows OS hier hoffentlich mal nicht annehmen ?!)
Aus Sicherheitsgründen sollte man also immer, wenn irgend möglich, die VPN Terminierung auf der Peripherie sprich also dem Router oder dier Firewall direkt machen.
Das ist saubere und übliche Praxis um Daten zu schützen.
Zu den VPN Protokollen.
PPTP ist verlockend weil einfach und auch auf allen onboard Clients vorhanden, sollte aber dennoch von vorn herein ausscheiden:
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Ob du dann IPsec, L2TP oder ein SSL basierendes VPN benutzt wie z.B. OpenVPN ist dann eher eine kosmetische Frage. Alle gelten als hinreichend sicher.
L2TP und besonders IPsec hat den Vorteil das es sehr sicher ist und so gut wie auf allen Clients und OS schon onboard vorhanden ist, du also keine extra Client Software installieren musst wie z.B. bei OpenVPN.
OpenVPN hat aber wieder den entscheidenden Vorteil als SSL basiertes VPN das es sehr einfach über IP Adress Translation Gateways (NAT), CGN usw. zu übertragen ist. Zudem ist es sehr häufig auf DSL Routern und Firewalls als VPN Option vorhanden. Durch die sehr weite Verbreitung gibt es für alle Endgeräte entsprechende Clients und die Konfig ist OS übergreifend immer identisch.
Das ist bei IPsec und L2TP ein klein wenig anspruchsvoller, da diese VPN Protokolle aus mehreren Komponenten bestehen die es zu berücksichtigen gilt arbeitet man in so einem NAT Umfeld.
Hier findest du einen Überblick wie es z.B. mit IPsec sehr einfach zu realisieren ist.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das gilt natürlich generell auch für andere IPsec Server HW.
OpenVPN z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
PPTP außer Konkurrenz:
VPNs einrichten mit PPTP
Solltest du trotz der obigen Sicherheits Problematik mit PPTP arbeiten wollen, solltest du beachten das die Passwort Länge mindestens 12 besser 16 Stellen betragen sollte um wenigstens das Knacken so zu erschweren das es aufwändiger ist.
Such dir das Schönste für dich aus
Du wärst ja dann gezwungen in deine Router Firewall Löcher zu bohren um so Internet Traffic ins interne Netz zu lassen und auf dem Server zu terminieren, was diesen angreifbar macht. (Ausnahme natürlich du hast den Server direkt im Internet exponiert, was wir bei einem Winblows OS hier hoffentlich mal nicht annehmen ?!)
Aus Sicherheitsgründen sollte man also immer, wenn irgend möglich, die VPN Terminierung auf der Peripherie sprich also dem Router oder dier Firewall direkt machen.
Das ist saubere und übliche Praxis um Daten zu schützen.
Zu den VPN Protokollen.
PPTP ist verlockend weil einfach und auch auf allen onboard Clients vorhanden, sollte aber dennoch von vorn herein ausscheiden:
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Ob du dann IPsec, L2TP oder ein SSL basierendes VPN benutzt wie z.B. OpenVPN ist dann eher eine kosmetische Frage. Alle gelten als hinreichend sicher.
L2TP und besonders IPsec hat den Vorteil das es sehr sicher ist und so gut wie auf allen Clients und OS schon onboard vorhanden ist, du also keine extra Client Software installieren musst wie z.B. bei OpenVPN.
OpenVPN hat aber wieder den entscheidenden Vorteil als SSL basiertes VPN das es sehr einfach über IP Adress Translation Gateways (NAT), CGN usw. zu übertragen ist. Zudem ist es sehr häufig auf DSL Routern und Firewalls als VPN Option vorhanden. Durch die sehr weite Verbreitung gibt es für alle Endgeräte entsprechende Clients und die Konfig ist OS übergreifend immer identisch.
Das ist bei IPsec und L2TP ein klein wenig anspruchsvoller, da diese VPN Protokolle aus mehreren Komponenten bestehen die es zu berücksichtigen gilt arbeitet man in so einem NAT Umfeld.
Hier findest du einen Überblick wie es z.B. mit IPsec sehr einfach zu realisieren ist.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das gilt natürlich generell auch für andere IPsec Server HW.
OpenVPN z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
PPTP außer Konkurrenz:
VPNs einrichten mit PPTP
Solltest du trotz der obigen Sicherheits Problematik mit PPTP arbeiten wollen, solltest du beachten das die Passwort Länge mindestens 12 besser 16 Stellen betragen sollte um wenigstens das Knacken so zu erschweren das es aufwändiger ist.
Such dir das Schönste für dich aus