VPN-Verbindung mit Trigger

Hallo Zusammen,

habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller. Zu diesem habe ich nun die Möglichkeit eingerichtet, VPN-Verbindungen herzustellen. Das klappt von den Windows10-Clients mit den Bordmitteln sehr gut. Typ ist SSTP.
Nun meine Frage: Ich würde gern die VPN-Verbindung automatisch aufbauen lassen. Und zwar nur dann, wenn sich die Rechner außerhalb des Domänennetzwerks befinden. Welche Möglichkeiten der Konfiguration gibt es dafür? Hatte mal was von Konfigurationsdateien gelesen - aber das galt vermutlich nur für die Azure-Cloud.
Eine dauerhafte Verbindung wollte ich nicht unbedingt. Wie ich dies machen kann, habe ich schon gelesen.

Bin für jeden Hinweis dankbar.

Viele Grüße
Stefan

Please also mark the comments that contributed to the solution of the article

Content-Key: 548498

Url: https://administrator.de/contentid/548498

Printed on: April 23, 2024 at 14:04 o'clock

12 Comments

Latest comment

Hi,
also wenn VPN mit MS Servern überhaupt (halte ich persönlich für absolut keine gute Idee ein VPN auf einem DC zu terminieren!, das nur nebenbei ist schon, sicherheitstechnischer Selbstmord), dann würde ich die Variante "Always-On VPN" nutzen.
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/vpn ...
Nicht vom Namen verwirren lassen. Das bedeutet nicht das der Tunnel immer aktiv ist, dieser kann fein konfiguriert werden wann dieser aufgebaut(getriggert) wird (s. Link oben). Für den User ist die Verbindung dann vollkommen transparent.

habe im Heimnetz einen Server 2012R2 inkl. Domänencontroller.

Aber um nochmal darauf zurück zu kommen ein VPN auf einem Domänencontroller zu terminieren ist sicherheitstechnisch der GAU! Also lass das besser gleich.

Ein VPN Concentrator gehört auf dem Perimeter terminiert, z.B. einem entsprechend fähigen Router, einer Firewall wie pfSense/OpnSense oder einer UTM, und nicht schon per Port-Forward ins interne Netz gelassen, und auf einen DC gehört das schon mal gar nicht.

Gruß s.

Kann mich da der Antwort von soccer zu 100% anschließen.

Oftmals unterstützt bereits der vorhandene Router oder die Firewall gute VPN-Standards. Was hast Du denn in dem Bereich bereits am Laufen?

Gruß
Alex

Vielen Dank für die Hinweise, welche ich sehr gern aufnehme. Router ist, da eben ein Heimnetz, eine Fritzbox 7590. Nur leider bekomme ich zu dieser kein VPN mit Windows-Bordmitteln hin. Auf die Fritzbox möchte ich nicht verzichten, da hierüber auch die Telefonie läuft und diese eine dauerhafte VPN-Verbindung zu einer anderen hat.
Kann man denn hinter die Fritzbox noch einen anderen Router setzen, der nur als VPN-Server fungiert und dann auch mit WindowsBordmitteln erreichbar ist?
Grüße, Stefan

Du kannst z.B. ein Mikrotik Router für unter 100€ hernehmen und die für VPN benötigte Ports von der Fritte dahin weiterleiten. Diese unterstützen VPN-Standards mit IPsec (mit Windows-Bordmitteln möglich) oder alternativ OpenVPN (zusatztool für Windows benötigt)

Gruß
Alex

Danke. Nur fliegt mir damit evtl. die Verbindung zu der anderen Fritzbox weg, oder? Oder können beide Router als VPN-Server agieren?

Grüße, Stefan

Die Dienste dürfen halt nicht dieselben Ports verwenden. Ggf. müssen diese umgestellt werden.

Gruß
Alex

Ist dies mit dem Mikrotik möglich? Also so, dass ich an der Fritzbox alles so lasse und am Mikrotik mit anderen Ports arbeite, welche ich dann an der Fritzbox nur weiterleite? Kommt denn der VPN-Client damit klar? Kann man für IPSec dies in Windows 10 umstellen?

Viele GRüße
Stefan

IPSec kann man nicht auf andere Ports umstellen Ports 500,4500UDP und ESP(Protokoll Nr. 50) sind fest vorgegeben, in dem Fall musst du zu einem anderen Protokoll greifen, als da z.B. wären SSTP, OpenVPN, Wireguard,..., die kann man auch auf anderen Portbereichen fahren.

Vielen Dank für den Hinweis. Habe nun einen Draytek-Router bestellt, der SSL-VPN kann. Möchte diesen nun hinter der Fritbox ins eigene Netz bringen.
Aktuell Fritzbox --> Switch --> komplettes LAN

Wo kann ich nun den Draytek-Router hinhängen, damit dieser die VPN-Verbindung aufnehmen kann? Schließe ich denen über einen WAN-Port ans LAN an oder über einen LAN-Port? Wie erreiche ich es, dass die VPN-Verbindungen dann auf Ressourcen im LAN zugreifen können.

Danke für Eure Hilfe

Viele Grüße

Habe nun einen Draytek-Router bestellt, der SSL-VPN kann

Da hätte es auch ein Mikrotik getan der kann auch SSTP.

Wenn es ein Draytek mit DSL Modem ist dann würde ich den direkt ans DSL Pappen und die Fritte dahinter (Telefonie geht damit auch weiterhin und die anderen VPNs kann der Draytek gleich mit übernehmen).
IPSec Responder sollten optimalerweise immer am Perimeter terminiert sein statt mit Portforwarding zu arbeiten.
Ansonsten eben den Draytek entweder mit Routerkaskade über den WAN Port mit der Fritte koppeln oder als simpler Router mit einem LAN ins FrittenLAN hängen, wenn transparenter Zugriff gewünscht ist, ist dann Jacke wie Hose und kommt drauf an wie der Netzaufbau sein soll.

Du meinst es würde klappen, den Draytek über den LAN-Port ins Fritzbox-Netzwerk zu hängen und er würde damit auch als VPN-Server arbeiten?

Hallo nochmal, den Draytek-Router habe ich über den WAN-Port an einen LAN-Port der Fritzbox angeschlossen, welche mit DSL verbunden ist. Der Draytek hat die IP 192.168.1.1, im Netz der Fritzbox hat er die IP 192.168.0.164.
Aus dem LAN des Draytek komme ich natürlich super ins Internet. Nun möchte ich von außerhalb den Draytek als VPN-Server nutzen. Dazu habe ich in der Fritzbox den Port 443 an die IP 192.168.0.164 weiter geleitet. Trotzdem klappt es nicht. Muss ich ggf. noch eine IP-Route hinzufügen?
Bin für jeden Hinweis dankbar

German Question Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment