VPN-Verbindung mit Trigger
Hallo Zusammen,
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.
Bin für jeden Hinweis dankbar.
Viele Grüße
Stefan
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.
Bin für jeden Hinweis dankbar.
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 548498
Url: https://administrator.de/forum/vpn-verbindung-mit-trigger-548498.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.
Gruß s.
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller.
Aber um nochmal darauf zurück zu kommen ein VPN auf einem Domänencontroller zu terminieren ist sicherheitstechnisch der GAU! Also lass das besser gleich.Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.
Gruß s.
IPSec kann man nicht auf andere Ports umstellen Ports 500,4500UDP und ESP(Protokoll Nr. 50) sind fest vorgegeben, in dem Fall musst du zu einem anderen Protokoll greifen, als da z.B. wären SSTP, OpenVPN, Wireguard,..., die kann man auch auf anderen Portbereichen fahren.
Habe nun einen Draytek-Router bestellt, der SSL-VPN kann
Da hätte es auch ein Mikrotik getan der kann auch SSTP.Wenn es ein Draytek mit DSL Modem ist dann würde ich den direkt ans DSL Pappen und die Fritte dahinter (Telefonie geht damit auch weiterhin und die anderen VPNs kann der Draytek gleich mit übernehmen).
IPSec Responder sollten optimalerweise immer am Perimeter terminiert sein statt mit Portforwarding zu arbeiten.
Ansonsten eben den Draytek entweder mit Routerkaskade über den WAN Port mit der Fritte koppeln oder als simpler Router mit einem LAN ins FrittenLAN hängen, wenn transparenter Zugriff gewünscht ist, ist dann Jacke wie Hose und kommt drauf an wie der Netzaufbau sein soll.