stefan190976
Goto Top

VPN-Verbindung mit Trigger

Hallo Zusammen,

habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.

Bin für jeden Hinweis dankbar.

Viele Grüße
Stefan

Content-ID: 548498

Url: https://administrator.de/forum/vpn-verbindung-mit-trigger-548498.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

142970
142970 16.02.2020 aktualisiert um 18:51:11 Uhr
Goto Top
Hi,
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller.
Aber um nochmal darauf zurück zu kommen ein VPN auf einem Domänencontroller zu terminieren ist sicherheitstechnisch der GAU! Also lass das besser gleich.

Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.

Gruß s.
Ad39min
Ad39min 16.02.2020 um 19:05:15 Uhr
Goto Top
Kann mich da der Antwort von soccer zu 100% anschließen.

Oftmals unterstützt bereits der vorhandene Router oder die Firewall gute VPN-Standards. Was hast Du denn in dem Bereich bereits am Laufen?

Gruß
Alex
Stefan190976
Stefan190976 16.02.2020 um 20:54:32 Uhr
Goto Top
Vielen Dank für die Hinweise, welche ich sehr gern aufnehme. Router ist, da eben ein Heimnetz, eine Fritzbox 7590. Nur leider bekomme ich zu dieser kein VPN mit Windows-Bordmitteln hin. Auf die Fritzbox möchte ich nicht verzichten, da hierüber auch die Telefonie läuft und diese eine dauerhafte VPN-Verbindung zu einer anderen hat.
Kann man denn hinter die Fritzbox noch einen anderen Router setzen, der nur als VPN-Server fungiert und dann auch mit WindowsBordmitteln erreichbar ist?
Grüße, Stefan
Ad39min
Ad39min 16.02.2020 um 21:00:34 Uhr
Goto Top
Du kannst z.B. ein Mikrotik Router für unter 100€ hernehmen und die für VPN benötigte Ports von der Fritte dahin weiterleiten. Diese unterstützen VPN-Standards mit IPsec (mit Windows-Bordmitteln möglich) oder alternativ OpenVPN (zusatztool für Windows benötigt)

Gruß
Alex
Stefan190976
Stefan190976 16.02.2020 um 21:04:19 Uhr
Goto Top
Danke. Nur fliegt mir damit evtl. die Verbindung zu der anderen Fritzbox weg, oder? Oder können beide Router als VPN-Server agieren?

Grüße, Stefan
Ad39min
Ad39min 16.02.2020 um 21:23:17 Uhr
Goto Top
Die Dienste dürfen halt nicht dieselben Ports verwenden. Ggf. müssen diese umgestellt werden.

Gruß
Alex
Stefan190976
Stefan190976 16.02.2020 um 21:28:01 Uhr
Goto Top
Ist dies mit dem Mikrotik möglich? Also so, dass ich an der Fritzbox alles so lasse und am Mikrotik mit anderen Ports arbeite, welche ich dann an der Fritzbox nur weiterleite? Kommt denn der VPN-Client damit klar? Kann man für IPSec dies in Windows 10 umstellen?

Viele GRüße
Stefan
143127
143127 20.02.2020 aktualisiert um 17:06:19 Uhr
Goto Top
IPSec kann man nicht auf andere Ports umstellen Ports 500,4500UDP und ESP(Protokoll Nr. 50) sind fest vorgegeben, in dem Fall musst du zu einem anderen Protokoll greifen, als da z.B. wären SSTP, OpenVPN, Wireguard,..., die kann man auch auf anderen Portbereichen fahren.
Stefan190976
Stefan190976 21.02.2020 um 15:50:38 Uhr
Goto Top
Vielen Dank für den Hinweis. Habe nun einen Draytek-Router bestellt, der SSL-VPN kann. Möchte diesen nun hinter der Fritbox ins eigene Netz bringen.
Aktuell Fritzbox --> Switch --> komplettes LAN

Wo kann ich nun den Draytek-Router hinhängen, damit dieser die VPN-Verbindung aufnehmen kann? Schließe ich denen über einen WAN-Port ans LAN an oder über einen LAN-Port? Wie erreiche ich es, dass die VPN-Verbindungen dann auf Ressourcen im LAN zugreifen können.

Danke für Eure Hilfe

Viele Grüße
143127
143127 21.02.2020 aktualisiert um 16:33:28 Uhr
Goto Top
Habe nun einen Draytek-Router bestellt, der SSL-VPN kann
Da hätte es auch ein Mikrotik getan der kann auch SSTP.

Wenn es ein Draytek mit DSL Modem ist dann würde ich den direkt ans DSL Pappen und die Fritte dahinter (Telefonie geht damit auch weiterhin und die anderen VPNs kann der Draytek gleich mit übernehmen).
IPSec Responder sollten optimalerweise immer am Perimeter terminiert sein statt mit Portforwarding zu arbeiten.
Ansonsten eben den Draytek entweder mit Routerkaskade über den WAN Port mit der Fritte koppeln oder als simpler Router mit einem LAN ins FrittenLAN hängen, wenn transparenter Zugriff gewünscht ist, ist dann Jacke wie Hose und kommt drauf an wie der Netzaufbau sein soll.
Stefan190976
Stefan190976 21.02.2020 um 18:30:12 Uhr
Goto Top
Du meinst es würde klappen, den Draytek über den LAN-Port ins Fritzbox-Netzwerk zu hängen und er würde damit auch als VPN-Server arbeiten?
Stefan190976
Stefan190976 27.02.2020 um 20:03:32 Uhr
Goto Top
Hallo nochmal, den Draytek-Router habe ich über den WAN-Port an einen LAN-Port der Fritzbox angeschlossen, welche mit DSL verbunden ist. Der Draytek hat die IP 192.168.1.1, im Netz der Fritzbox hat er die IP 192.168.0.164.
Aus dem LAN des Draytek komme ich natürlich super ins Internet. Nun möchte ich von außerhalb den Draytek als VPN-Server nutzen. Dazu habe ich in der Fritzbox den Port 443 an die IP 192.168.0.164 weiter geleitet. Trotzdem klappt es nicht. Muss ich ggf. noch eine IP-Route hinzufügen?
Bin für jeden Hinweis dankbar