VPN-Verbindung mit Trigger

Mitglied: Stefan190976

Stefan190976 (Level 1) - Jetzt verbinden

16.02.2020 um 18:29 Uhr, 680 Aufrufe, 12 Kommentare

Hallo Zusammen,

habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.

Bin für jeden Hinweis dankbar.

Viele Grüße
Stefan
Mitglied: 142970
142970 (Level 1)
16.02.2020, aktualisiert um 18:51 Uhr
Hi,
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller.
Aber um nochmal darauf zurück zu kommen ein VPN auf einem Domänencontroller zu terminieren ist sicherheitstechnisch der GAU! Also lass das besser gleich.

Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.

Gruß s.
Bitte warten ..
Mitglied: Ad39min
16.02.2020 um 19:05 Uhr
Kann mich da der Antwort von soccer zu 100% anschließen.

Oftmals unterstützt bereits der vorhandene Router oder die Firewall gute VPN-Standards. Was hast Du denn in dem Bereich bereits am Laufen?

Gruß
Alex
Bitte warten ..
Mitglied: Stefan190976
16.02.2020 um 20:54 Uhr
Vielen Dank für die Hinweise, welche ich sehr gern aufnehme. Router ist, da eben ein Heimnetz, eine Fritzbox 7590. Nur leider bekomme ich zu dieser kein VPN mit Windows-Bordmitteln hin. Auf die Fritzbox möchte ich nicht verzichten, da hierüber auch die Telefonie läuft und diese eine dauerhafte VPN-Verbindung zu einer anderen hat.
Kann man denn hinter die Fritzbox noch einen anderen Router setzen, der nur als VPN-Server fungiert und dann auch mit WindowsBordmitteln erreichbar ist?
Grüße, Stefan
Bitte warten ..
Mitglied: Ad39min
16.02.2020 um 21:00 Uhr
Du kannst z.B. ein Mikrotik Router für unter 100€ hernehmen und die für VPN benötigte Ports von der Fritte dahin weiterleiten. Diese unterstützen VPN-Standards mit IPsec (mit Windows-Bordmitteln möglich) oder alternativ OpenVPN (zusatztool für Windows benötigt)

Gruß
Alex
Bitte warten ..
Mitglied: Stefan190976
16.02.2020 um 21:04 Uhr
Danke. Nur fliegt mir damit evtl. die Verbindung zu der anderen Fritzbox weg, oder? Oder können beide Router als VPN-Server agieren?

Grüße, Stefan
Bitte warten ..
Mitglied: Ad39min
16.02.2020 um 21:23 Uhr
Die Dienste dürfen halt nicht dieselben Ports verwenden. Ggf. müssen diese umgestellt werden.

Gruß
Alex
Bitte warten ..
Mitglied: Stefan190976
16.02.2020 um 21:28 Uhr
Ist dies mit dem Mikrotik möglich? Also so, dass ich an der Fritzbox alles so lasse und am Mikrotik mit anderen Ports arbeite, welche ich dann an der Fritzbox nur weiterleite? Kommt denn der VPN-Client damit klar? Kann man für IPSec dies in Windows 10 umstellen?

Viele GRüße
Stefan
Bitte warten ..
Mitglied: 143127
143127 (Level 2)
20.02.2020, aktualisiert um 17:06 Uhr
IPSec kann man nicht auf andere Ports umstellen Ports 500,4500UDP und ESP(Protokoll Nr. 50) sind fest vorgegeben, in dem Fall musst du zu einem anderen Protokoll greifen, als da z.B. wären SSTP, OpenVPN, Wireguard,..., die kann man auch auf anderen Portbereichen fahren.
Bitte warten ..
Mitglied: Stefan190976
21.02.2020 um 15:50 Uhr
Vielen Dank für den Hinweis. Habe nun einen Draytek-Router bestellt, der SSL-VPN kann. Möchte diesen nun hinter der Fritbox ins eigene Netz bringen.
Aktuell Fritzbox --> Switch --> komplettes LAN

Wo kann ich nun den Draytek-Router hinhängen, damit dieser die VPN-Verbindung aufnehmen kann? Schließe ich denen über einen WAN-Port ans LAN an oder über einen LAN-Port? Wie erreiche ich es, dass die VPN-Verbindungen dann auf Ressourcen im LAN zugreifen können.

Danke für Eure Hilfe

Viele Grüße
Bitte warten ..
Mitglied: 143127
143127 (Level 2)
21.02.2020, aktualisiert um 16:33 Uhr
Habe nun einen Draytek-Router bestellt, der SSL-VPN kann
Da hätte es auch ein Mikrotik getan der kann auch SSTP.

Wenn es ein Draytek mit DSL Modem ist dann würde ich den direkt ans DSL Pappen und die Fritte dahinter (Telefonie geht damit auch weiterhin und die anderen VPNs kann der Draytek gleich mit übernehmen).
IPSec Responder sollten optimalerweise immer am Perimeter terminiert sein statt mit Portforwarding zu arbeiten.
Ansonsten eben den Draytek entweder mit Routerkaskade über den WAN Port mit der Fritte koppeln oder als simpler Router mit einem LAN ins FrittenLAN hängen, wenn transparenter Zugriff gewünscht ist, ist dann Jacke wie Hose und kommt drauf an wie der Netzaufbau sein soll.
Bitte warten ..
Mitglied: Stefan190976
21.02.2020 um 18:30 Uhr
Du meinst es würde klappen, den Draytek über den LAN-Port ins Fritzbox-Netzwerk zu hängen und er würde damit auch als VPN-Server arbeiten?
Bitte warten ..
Mitglied: Stefan190976
27.02.2020 um 20:03 Uhr
Hallo nochmal, den Draytek-Router habe ich über den WAN-Port an einen LAN-Port der Fritzbox angeschlossen, welche mit DSL verbunden ist. Der Draytek hat die IP 192.168.1.1, im Netz der Fritzbox hat er die IP 192.168.0.164.
Aus dem LAN des Draytek komme ich natürlich super ins Internet. Nun möchte ich von außerhalb den Draytek als VPN-Server nutzen. Dazu habe ich in der Fritzbox den Port 443 an die IP 192.168.0.164 weiter geleitet. Trotzdem klappt es nicht. Muss ich ggf. noch eine IP-Route hinzufügen?
Bin für jeden Hinweis dankbar
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 8 StundenFrageWindows Server25 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 18 StundenFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Outlook & Mail
Outlook kann keine Verbindung mit dem Posteingangsserver (SMTP) herstellen
gerry56Vor 1 TagFrageOutlook & Mail11 Kommentare

Hallo! Seit der Mailserverumstellung habe ich Probleme mit dem versenden von E-Mails Die Situation ist folgende. Ich habe verschiedene E-Mailadressen, die ich für diverse ...