7
VPN von Fritz!Box zu Windows Server 2012 R2 IPSec
Hi miteinander,
ich möchte gerne drei Standorte miteinander verbinden über einen VPN. Aktuell steht noch nichts. Alles noch Kopfarbeit.
Wir möchten ein Windows Root Server Mieten und die externen Standorte sollen darauf Zugriff haben. Da an allen externen Standorten jeweils eine Fritz!Box steht, habe ich mit dem Gedanken gespielt das über IPSec mit der F!B zu realisieren (F!B kann meines Wissens nur reines IPSec kein L2TP/IPSec). So muss nicht viel neue Hardware angeschafft werden.
Da das mit dem Board eigenen RRAS nicht möglich ist, da er hier immer L2TP dazunimmt habe ich mir diese Anleitung einmal näher angeschaut:
https://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm
Ich werde das die Tage lokal hier in einem Test netz versuchsweise starten ohne wirklich ins Internet zu gehen damit.
Nun aber meine Frage. Ich habe mich darüber mit einem Dienstleister unterhalten und der hat mir davon abgeraten das zu machen, weil das Windows eigene IPSec nicht sicher sei. Konnte mir aber weder sagen warum, noch eine Alternative nennen. Bei einem gehostetem Server wird es etwas schwer mit einer echten VPN-Firewall.
Ist es wirklich unsicher das so zu regeln? Und wenn ja, gibt es Software seitig bessere alternativen?
Etwas Lesestoff dazu wäre fein bzw. wenn ihr ein paar Links kennt oder paar Tipps habt. Vielen Dank!
bye Andre
ich möchte gerne drei Standorte miteinander verbinden über einen VPN. Aktuell steht noch nichts. Alles noch Kopfarbeit.
Wir möchten ein Windows Root Server Mieten und die externen Standorte sollen darauf Zugriff haben. Da an allen externen Standorten jeweils eine Fritz!Box steht, habe ich mit dem Gedanken gespielt das über IPSec mit der F!B zu realisieren (F!B kann meines Wissens nur reines IPSec kein L2TP/IPSec). So muss nicht viel neue Hardware angeschafft werden.
Da das mit dem Board eigenen RRAS nicht möglich ist, da er hier immer L2TP dazunimmt habe ich mir diese Anleitung einmal näher angeschaut:
https://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm
Ich werde das die Tage lokal hier in einem Test netz versuchsweise starten ohne wirklich ins Internet zu gehen damit.
Nun aber meine Frage. Ich habe mich darüber mit einem Dienstleister unterhalten und der hat mir davon abgeraten das zu machen, weil das Windows eigene IPSec nicht sicher sei. Konnte mir aber weder sagen warum, noch eine Alternative nennen. Bei einem gehostetem Server wird es etwas schwer mit einer echten VPN-Firewall.
Ist es wirklich unsicher das so zu regeln? Und wenn ja, gibt es Software seitig bessere alternativen?
Etwas Lesestoff dazu wäre fein bzw. wenn ihr ein paar Links kennt oder paar Tipps habt. Vielen Dank!
bye Andre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315103
Url: https://administrator.de/contentid/315103
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
hm.. da du bei einem gemieteten Server ja ohnehin ausgeliefert bist was die Kontrolle angeht, könntest du auch gleich eine VM aufsetzen und dort eine Firewall Appliance simulieren. PfSense oder dergleichen, dann bist du wenigstens vom VPN Protokoll her flexibel.
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll (wahrscheinlich gar nix), aber ev. gibts andere Windows-technische Bedenken, die dir die Kollegen hier ev. noch erläutern werden, ich kann es nicht, da ich mit Windows nicht so viel am Hut habe.
Gruß
hm.. da du bei einem gemieteten Server ja ohnehin ausgeliefert bist was die Kontrolle angeht, könntest du auch gleich eine VM aufsetzen und dort eine Firewall Appliance simulieren. PfSense oder dergleichen, dann bist du wenigstens vom VPN Protokoll her flexibel.
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll (wahrscheinlich gar nix), aber ev. gibts andere Windows-technische Bedenken, die dir die Kollegen hier ev. noch erläutern werden, ich kann es nicht, da ich mit Windows nicht so viel am Hut habe.
Gruß
F!B kann meines Wissens nur reines IPSec kein L2TP/IPSec
Das ist richtig !Ich werde das die Tage lokal hier in einem Test netz versuchsweise starten ohne wirklich ins Internet zu gehen damit.
Hier kannst du mal sehen was da geht und was nicht:IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
noch eine Alternative nennen.
Die kennt aber sogar jeder Azubi im ersten Lehrjahr...den Shrew Client:https://www.shrew.net/download
Hier findest du noch Lesestoff:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und eine sinnvolle Alternative zu IPsec für den Server.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
@michi1983
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll
Solltest du aber 
Windows hat keinen native IPsec Client an Board wie z.B. Linux oder OS-X oder diverse Smartphones. Die können nur L2TP was dann IPsec mit ESP als Tunnelprotokoll nutzt was nicht kompatibel ist zu native IPsec.Zitat von @aqui:
@michi1983
Windows hat keinen native IPsec Client an Board wie z.B. Linux oder OS-X oder diverse Smartphones. Die können nur L2TP was dann IPsec mit ESP als Tunnelprotokoll nutzt was nicht kompatibel ist zu native IPsec.
Als Client... okay, aber der TO hätte doch auf einem Windows Server den VPN Server aufsetzen wollen.@michi1983
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll
Solltest du aber Windows hat keinen native IPsec Client an Board wie z.B. Linux oder OS-X oder diverse Smartphones. Die können nur L2TP was dann IPsec mit ESP als Tunnelprotokoll nutzt was nicht kompatibel ist zu native IPsec.Hat das auch was damit zu tun?
Ja, native IPsec geht nur mit 3rd Party Software unter Winblows.
Okay, danke, wieder was gelernt 
Okay danke, das hilft mir schon mal ungemein weiter.
PfSense ist definitive eine Option wenn das nicht mit Windows funktionieren sollte. Hyper-V wird eh auf der Maschine laufen.
@aqui Shrew ist mir natürlich ein begriff. Nutze ich aktive um ins Firmennetz zu kommen (LanCom Router). Würde aber ein IPSec/VPN Server benötigen für Windows. Danke für die Links!
Danke jedenfalls euch beiden. Ich lese mir die Links in einer ruhigen Minute durch und Melde mich dann noch mal!
bye Andre
PfSense ist definitive eine Option wenn das nicht mit Windows funktionieren sollte. Hyper-V wird eh auf der Maschine laufen.
@aqui Shrew ist mir natürlich ein begriff. Nutze ich aktive um ins Firmennetz zu kommen (LanCom Router). Würde aber ein IPSec/VPN Server benötigen für Windows. Danke für die Links!
Danke jedenfalls euch beiden. Ich lese mir die Links in einer ruhigen Minute durch und Melde mich dann noch mal!
bye Andre
PfSense ist definitive eine Option wenn das nicht mit Windows funktionieren sollte.
Kannst du auf Winblows auch in einer VM z.B. mit VirtualBox laufen lassen. Generell sollte man das aber nicht machen aus Sicherheitgründen !Eine Firewall sollte immer ein dediziertes Blech bekommen.
Würde aber ein IPSec/VPN Server benötigen für Windows. Danke für die Links!
Nicht unbedingt... Du könntest ja auch vom Server mit einem Shrew Client einen VPN Verbindung zu einem der Standorte machen. Idealerweise zu dem mit der größten verfügbaren Bandbreite.Damit hast du dann einen zentralen Server Zugang für alle per VPN verbundenen Standorte.
Es führen halt viele wege nach Rom...
