andre02
Goto Top

VPN von Fritz!Box zu Windows Server 2012 R2 IPSec

Hi miteinander,

ich möchte gerne drei Standorte miteinander verbinden über einen VPN. Aktuell steht noch nichts. Alles noch Kopfarbeit.

Wir möchten ein Windows Root Server Mieten und die externen Standorte sollen darauf Zugriff haben. Da an allen externen Standorten jeweils eine Fritz!Box steht, habe ich mit dem Gedanken gespielt das über IPSec mit der F!B zu realisieren (F!B kann meines Wissens nur reines IPSec kein L2TP/IPSec). So muss nicht viel neue Hardware angeschafft werden.

Da das mit dem Board eigenen RRAS nicht möglich ist, da er hier immer L2TP dazunimmt habe ich mir diese Anleitung einmal näher angeschaut:
https://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm

Ich werde das die Tage lokal hier in einem Test netz versuchsweise starten ohne wirklich ins Internet zu gehen damit.

Nun aber meine Frage. Ich habe mich darüber mit einem Dienstleister unterhalten und der hat mir davon abgeraten das zu machen, weil das Windows eigene IPSec nicht sicher sei. Konnte mir aber weder sagen warum, noch eine Alternative nennen. Bei einem gehostetem Server wird es etwas schwer mit einer echten VPN-Firewall.

Ist es wirklich unsicher das so zu regeln? Und wenn ja, gibt es Software seitig bessere alternativen?

Etwas Lesestoff dazu wäre fein bzw. wenn ihr ein paar Links kennt oder paar Tipps habt. Vielen Dank!

bye Andre

Content-Key: 315103

Url: https://administrator.de/contentid/315103

Printed on: June 16, 2024 at 15:06 o'clock

Member: michi1983
Solution michi1983 Sep 13, 2016 updated at 07:39:29 (UTC)
Goto Top
Hallo,

hm.. da du bei einem gemieteten Server ja ohnehin ausgeliefert bist was die Kontrolle angeht, könntest du auch gleich eine VM aufsetzen und dort eine Firewall Appliance simulieren. PfSense oder dergleichen, dann bist du wenigstens vom VPN Protokoll her flexibel.

Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll (wahrscheinlich gar nix), aber ev. gibts andere Windows-technische Bedenken, die dir die Kollegen hier ev. noch erläutern werden, ich kann es nicht, da ich mit Windows nicht so viel am Hut habe.

Gruß
Member: aqui
Solution aqui Sep 13, 2016 updated at 08:40:26 (UTC)
Goto Top
F!B kann meines Wissens nur reines IPSec kein L2TP/IPSec
Das ist richtig !
Ich werde das die Tage lokal hier in einem Test netz versuchsweise starten ohne wirklich ins Internet zu gehen damit.
Hier kannst du mal sehen was da geht und was nicht:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
noch eine Alternative nennen.
Die kennt aber sogar jeder Azubi im ersten Lehrjahr...den Shrew Client:
https://www.shrew.net/download
Hier findest du noch Lesestoff:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und eine sinnvolle Alternative zu IPsec für den Server.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

@michi1983
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll
Solltest du aber face-wink Windows hat keinen native IPsec Client an Board wie z.B. Linux oder OS-X oder diverse Smartphones. Die können nur L2TP was dann IPsec mit ESP als Tunnelprotokoll nutzt was nicht kompatibel ist zu native IPsec.
Member: michi1983
michi1983 Sep 13, 2016 at 08:42:11 (UTC)
Goto Top
Zitat von @aqui:
@michi1983
Ich persönlich wüsste jetzt nicht was das Windows IPSec von einem anderen IPSec unterscheiden soll
Solltest du aber face-wink Windows hat keinen native IPsec Client an Board wie z.B. Linux oder OS-X oder diverse Smartphones. Die können nur L2TP was dann IPsec mit ESP als Tunnelprotokoll nutzt was nicht kompatibel ist zu native IPsec.
Als Client... okay, aber der TO hätte doch auf einem Windows Server den VPN Server aufsetzen wollen.
Hat das auch was damit zu tun?
Member: aqui
aqui Sep 13, 2016 at 08:53:31 (UTC)
Goto Top
Ja, native IPsec geht nur mit 3rd Party Software unter Winblows.
Member: michi1983
michi1983 Sep 13, 2016 at 08:58:10 (UTC)
Goto Top
Zitat von @aqui:
Ja, native IPsec geht nur mit 3rd Party Software unter Winblows.
Okay, danke, wieder was gelernt face-smile
Member: Andre02
Andre02 Sep 13, 2016 at 09:43:49 (UTC)
Goto Top
Okay danke, das hilft mir schon mal ungemein weiter.
PfSense ist definitive eine Option wenn das nicht mit Windows funktionieren sollte. Hyper-V wird eh auf der Maschine laufen.

@aqui Shrew ist mir natürlich ein begriff. Nutze ich aktive um ins Firmennetz zu kommen (LanCom Router). Würde aber ein IPSec/VPN Server benötigen für Windows. Danke für die Links!

Danke jedenfalls euch beiden. Ich lese mir die Links in einer ruhigen Minute durch und Melde mich dann noch mal!

bye Andre
Member: aqui
aqui Sep 13, 2016 at 11:03:05 (UTC)
Goto Top
PfSense ist definitive eine Option wenn das nicht mit Windows funktionieren sollte.
Kannst du auf Winblows auch in einer VM z.B. mit VirtualBox laufen lassen. Generell sollte man das aber nicht machen aus Sicherheitgründen !
Eine Firewall sollte immer ein dediziertes Blech bekommen.
Würde aber ein IPSec/VPN Server benötigen für Windows. Danke für die Links!
Nicht unbedingt... Du könntest ja auch vom Server mit einem Shrew Client einen VPN Verbindung zu einem der Standorte machen. Idealerweise zu dem mit der größten verfügbaren Bandbreite.
Damit hast du dann einen zentralen Server Zugang für alle per VPN verbundenen Standorte.
Es führen halt viele wege nach Rom... face-wink