gelöst VPN-Verbindung mit Trigger
Hallo Zusammen,
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.
Bin für jeden Hinweis dankbar.
Viele Grüße
Stefan
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.
Bin für jeden Hinweis dankbar.
Viele Grüße
Stefan
12 Antworten
- LÖSUNG 142970 schreibt am 16.02.2020 um 18:41:57 Uhr
- LÖSUNG Ad39min schreibt am 16.02.2020 um 19:05:15 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 20:54:32 Uhr
- LÖSUNG Ad39min schreibt am 16.02.2020 um 21:00:34 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 21:04:19 Uhr
- LÖSUNG Ad39min schreibt am 16.02.2020 um 21:23:17 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 21:28:01 Uhr
- LÖSUNG 143127 schreibt am 20.02.2020 um 17:05:08 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 21:28:01 Uhr
- LÖSUNG Ad39min schreibt am 16.02.2020 um 21:23:17 Uhr
- LÖSUNG Stefan190976 schreibt am 21.02.2020 um 15:50:38 Uhr
- LÖSUNG 143127 schreibt am 21.02.2020 um 16:28:56 Uhr
- LÖSUNG Stefan190976 schreibt am 21.02.2020 um 18:30:12 Uhr
- LÖSUNG Stefan190976 schreibt am 27.02.2020 um 20:03:32 Uhr
- LÖSUNG 143127 schreibt am 21.02.2020 um 16:28:56 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 21:04:19 Uhr
- LÖSUNG Ad39min schreibt am 16.02.2020 um 21:00:34 Uhr
- LÖSUNG Stefan190976 schreibt am 16.02.2020 um 20:54:32 Uhr
LÖSUNG 16.02.2020, aktualisiert um 18:51 Uhr
Hi,
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.
Gruß s.
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.
habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller.
Aber um nochmal darauf zurück zu kommen ein VPN auf einem Domänencontroller zu terminieren ist sicherheitstechnisch der GAU! Also lass das besser gleich. Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.
Gruß s.
LÖSUNG 16.02.2020 um 19:05 Uhr
Kann mich da der Antwort von soccer zu 100% anschließen.
Oftmals unterstützt bereits der vorhandene Router oder die Firewall gute VPN-Standards. Was hast Du denn in dem Bereich bereits am Laufen?
Gruß
Alex
Oftmals unterstützt bereits der vorhandene Router oder die Firewall gute VPN-Standards. Was hast Du denn in dem Bereich bereits am Laufen?
Gruß
Alex
LÖSUNG 16.02.2020 um 20:54 Uhr
Vielen Dank für die Hinweise, welche ich sehr gern aufnehme. Router ist, da eben ein Heimnetz, eine Fritzbox 7590. Nur leider bekomme ich zu dieser kein VPN mit Windows-Bordmitteln hin. Auf die Fritzbox möchte ich nicht verzichten, da hierüber auch die Telefonie läuft und diese eine dauerhafte VPN-Verbindung zu einer anderen hat.
Kann man denn hinter die Fritzbox noch einen anderen Router setzen, der nur als VPN-Server fungiert und dann auch mit WindowsBordmitteln erreichbar ist?
Grüße, Stefan
Kann man denn hinter die Fritzbox noch einen anderen Router setzen, der nur als VPN-Server fungiert und dann auch mit WindowsBordmitteln erreichbar ist?
Grüße, Stefan
LÖSUNG 16.02.2020 um 21:00 Uhr
Du kannst z.B. ein Mikrotik Router für unter 100€ hernehmen und die für VPN benötigte Ports von der Fritte dahin weiterleiten. Diese unterstützen VPN-Standards mit IPsec (mit Windows-Bordmitteln möglich) oder alternativ OpenVPN (zusatztool für Windows benötigt)
Gruß
Alex
Gruß
Alex
LÖSUNG 16.02.2020 um 21:04 Uhr
Danke. Nur fliegt mir damit evtl. die Verbindung zu der anderen Fritzbox weg, oder? Oder können beide Router als VPN-Server agieren?
Grüße, Stefan
Grüße, Stefan
LÖSUNG 16.02.2020 um 21:23 Uhr
Die Dienste dürfen halt nicht dieselben Ports verwenden. Ggf. müssen diese umgestellt werden.
Gruß
Alex
Gruß
Alex
LÖSUNG 16.02.2020 um 21:28 Uhr
Ist dies mit dem Mikrotik möglich? Also so, dass ich an der Fritzbox alles so lasse und am Mikrotik mit anderen Ports arbeite, welche ich dann an der Fritzbox nur weiterleite? Kommt denn der VPN-Client damit klar? Kann man für IPSec dies in Windows 10 umstellen?
Viele GRüße
Stefan
Viele GRüße
Stefan
LÖSUNG 20.02.2020, aktualisiert um 17:06 Uhr
IPSec kann man nicht auf andere Ports umstellen Ports 500,4500UDP und ESP(Protokoll Nr. 50) sind fest vorgegeben, in dem Fall musst du zu einem anderen Protokoll greifen, als da z.B. wären SSTP, OpenVPN, Wireguard,..., die kann man auch auf anderen Portbereichen fahren.
LÖSUNG 21.02.2020 um 15:50 Uhr
Vielen Dank für den Hinweis. Habe nun einen Draytek-Router bestellt, der SSL-VPN kann. Möchte diesen nun hinter der Fritbox ins eigene Netz bringen.
Aktuell Fritzbox --> Switch --> komplettes LAN
Wo kann ich nun den Draytek-Router hinhängen, damit dieser die VPN-Verbindung aufnehmen kann? Schließe ich denen über einen WAN-Port ans LAN an oder über einen LAN-Port? Wie erreiche ich es, dass die VPN-Verbindungen dann auf Ressourcen im LAN zugreifen können.
Danke für Eure Hilfe
Viele Grüße
Aktuell Fritzbox --> Switch --> komplettes LAN
Wo kann ich nun den Draytek-Router hinhängen, damit dieser die VPN-Verbindung aufnehmen kann? Schließe ich denen über einen WAN-Port ans LAN an oder über einen LAN-Port? Wie erreiche ich es, dass die VPN-Verbindungen dann auf Ressourcen im LAN zugreifen können.
Danke für Eure Hilfe
Viele Grüße
LÖSUNG 21.02.2020, aktualisiert um 16:33 Uhr
Habe nun einen Draytek-Router bestellt, der SSL-VPN kann
Da hätte es auch ein Mikrotik getan der kann auch SSTP.Wenn es ein Draytek mit DSL Modem ist dann würde ich den direkt ans DSL Pappen und die Fritte dahinter (Telefonie geht damit auch weiterhin und die anderen VPNs kann der Draytek gleich mit übernehmen).
IPSec Responder sollten optimalerweise immer am Perimeter terminiert sein statt mit Portforwarding zu arbeiten.
Ansonsten eben den Draytek entweder mit Routerkaskade über den WAN Port mit der Fritte koppeln oder als simpler Router mit einem LAN ins FrittenLAN hängen, wenn transparenter Zugriff gewünscht ist, ist dann Jacke wie Hose und kommt drauf an wie der Netzaufbau sein soll.
LÖSUNG 21.02.2020 um 18:30 Uhr
Du meinst es würde klappen, den Draytek über den LAN-Port ins Fritzbox-Netzwerk zu hängen und er würde damit auch als VPN-Server arbeiten?
LÖSUNG 27.02.2020 um 20:03 Uhr
Hallo nochmal, den Draytek-Router habe ich über den WAN-Port an einen LAN-Port der Fritzbox angeschlossen, welche mit DSL verbunden ist. Der Draytek hat die IP 192.168.1.1, im Netz der Fritzbox hat er die IP 192.168.0.164.
Aus dem LAN des Draytek komme ich natürlich super ins Internet. Nun möchte ich von außerhalb den Draytek als VPN-Server nutzen. Dazu habe ich in der Fritzbox den Port 443 an die IP 192.168.0.164 weiter geleitet. Trotzdem klappt es nicht. Muss ich ggf. noch eine IP-Route hinzufügen?
Bin für jeden Hinweis dankbar
Aus dem LAN des Draytek komme ich natürlich super ins Internet. Nun möchte ich von außerhalb den Draytek als VPN-Server nutzen. Dazu habe ich in der Fritzbox den Port 443 an die IP 192.168.0.164 weiter geleitet. Trotzdem klappt es nicht. Muss ich ggf. noch eine IP-Route hinzufügen?
Bin für jeden Hinweis dankbar
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
