VPN mit Win10 pro und AD (Windows Server 2019 Standard)

Mitglied: Baeribeeri

Baeribeeri (Level 1) - Jetzt verbinden

18.11.2020 um 15:10 Uhr, 437 Aufrufe, 13 Kommentare, 1 Danke

Aktuelle Situation: Windows Domäne mit 12 Usern. Diese sollen per VPN auf Freigaben gemappt zugreifen können. Unter Windows Server 2008R2 klappte das sehr gut. Dann wurde viele Hardware gewechselt. U.a. wurde eine Fritz!box 7590 mit 100Mb/s im Down- und 40 Mb/s im Upstream eingesetzt per VDSL. Die Clients laufen alle unter Windows 10 pro Version 1909 oder höher. Alle Internetverbindungen laufen perfekt und mit 50 Mb/s oder schneller.

Die VPN-Ports sind als Firewall-Regeln in der Fritzbox (IP4: 192.168.188.254) auf den Server (192.168.188.2) gerichtet. Die betreffen User haben Einwahlrechte. Die Fritzbox wird per DynDNS (selfhost.de) angesprochen. Starte ich die VPN-Verbindung in meinem lokalen Netzwerk (192.168.15.00/24), dann wird als erstes nach Benutzernamen und Kennwort gefragt, dann kommt die Meldung "Der Computer wird im Netzwerk registriert ...", nach einigen Sekunden erscheint die Fehlermeldung 720 (Keine Verbindung). Ich soll die RAS-Einstellungen überprüfen.

Auf dem Server sind die Rollen Routing und RAS installiert und die Dienste laufen. Auf dem DHCP-Server habe in einen freien Pool eingerichtet vom 192.168.0.200 bis 250. Trotzdem gibt es keine Verbindung. Unter 2008R2 klappte das aber. Woran hapert es?

Danke schon einmal für Hilfe. Und bleibt gesund!

Hartmut
Mitglied: kaizes
18.11.2020, aktualisiert 26.11.2020
Großartig, ich weiß nicht, ob die Leute, die immer noch Windows 7 wie ich verwenden, gleich sind.Kontaktieren Sie mich über yowhatsapp
Bitte warten ..
Mitglied: tomolpi
18.11.2020 um 16:34 Uhr
--keine Begrüßung--

welches VPN-Protokoll wird überhaupt verwendet? Warum benutzt ihr nicht einfach den "Fritz!Fernzugang"?

Grüße

tomolpi
Bitte warten ..
Mitglied: aqui
18.11.2020, aktualisiert um 17:18 Uhr
Das VPN Design ist bekanntlich kein Gutes, was hier gefühlt 5mal pro Woche auch immer wieder erklärt wird. Das Grundproblem ist das hier ungeschützter Internet Traffic per simplen Port Forwarding ins interne Netzwerk über die FB ins lokale Netz gelangt und dann auch noch auf so ein Sicherheits kritisches Device wie den zentralen Server der zudem unter Windows rennt.
Ein übles Beispiel wie man es genau nicht machen sollte und warum VPNs immer in der Pripherie terminiert werden sollten was verantwortungsbewusste Netzwerker auch machen.
Der TO nutzt zudem noch mit der FritzBox einen aktiven VPN Router der den direkten Zugang per VPN supportet.
https://avm.de/service/vpn/uebersicht/
Insofern ist es doppelt unverständlich darauf zu verzichten und ein so laienhaftes da unsicheres Design zu verwenden.

Noch sinnvoller wäre einen Router oder Firewall zu verwenden wo man die VPN Verbindungen mit schlichten Bordmitteln der Betriebssysteme bedient was erheblich weniger management und Troubleshooting Aufwand bedeutet.
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
usw. usw.
Bitte warten ..
Mitglied: bauinformatiker
18.11.2020 um 17:37 Uhr
Zitat von aqui:

Das VPN Design ist bekanntlich kein Gutes [...]

Was genau meinst du damit? Geht es speziell um die Fritzbox oder um den VPN-Client von Microsoft?

Bei uns dient VPN dazu, dem User zu Hause die gleiche Umgebung zu geben als im Büro. Also alle Dienste wie Drucken, Fileserver, interne FTP-Server etc. müssen erreichbar sein. Um den Zugang sicher zu machen nutzen wir 2-Faktor-Authentifizierung um Bruteforce etc. an der Firewall zu unterbinden. Ist da grundsätzlich was dagegen einzuwenden?
Bitte warten ..
Mitglied: aqui
18.11.2020, aktualisiert 19.11.2020
Was genau meinst du damit?
Steht doch alles oben !! Lesen hilft. Weil du es bist aber nochmal....
Es geht auch nicht um das VPN an sich und die Umgebung sondern WIE man das VPN terminiert. Das hat in einem guten Design immer in der Peripherie zu passieren aber niemals im internen, lokalen Netz !
Das ist hier der Knackpunkt, also das Design an sich. Nicht die grundsätzliche Funktion des VPNs. Das hast du ggf. missverstanden.

Er bohrt ein Loch in die Internet Firewall des Routers und lässt über simples ungeschütztes Port Forwarding der 4 L2TP Protokollports an der FritzBox damit ungeschützten Internet Traffic ins lokale LAN. Das allein ist in sicheren VPN Umgebungen schon ein NoGo !
Dann forwardet er diesen Traffic auch noch auf einen zentralen Server (um dort das VPN zu terminieren) der ggf. sicherheitsrelevante Daten hält und ein zentrales Steuerelement im Netz ist und eigentlich besonderen Schutz erfahren sollte (gerade bei Windows als OS !), was hier nicht der Fall ist...im Gegenteil.
Groschen gefallen...?
Genau deshalb ist das ein recht laienhaftes VPN Design. Es sei denn Sicherheit ist dem TO völlig Wumpe und das ist ein Spiel- und Bastelserver. Dann gelten natürlich ganz andere Voraussetzungen.
Bitte warten ..
Mitglied: Baeribeeri
18.11.2020 um 18:04 Uhr
L2TP, IKEv2 bzw IPsec und SSTP
Bitte warten ..
Mitglied: Baeribeeri
18.11.2020 um 18:06 Uhr
Die VPN-User sollen alle gleichzeitig von daheim aus arbeiten könne. Und das sind bis zu sieben Verbindungen gleichzeitig.
Bitte warten ..
Mitglied: Baeribeeri
18.11.2020 um 18:12 Uhr
TO ist was? Mit Winblows meinst Du wahrscheinlich MS Windows. Bitte bleib sachlich.
Bitte warten ..
Mitglied: goscho
19.11.2020, aktualisiert um 12:07 Uhr
@aqui hat fast ausnamslos Recht, mit dem was er geschrieben hat.
Ich bin nicht seiner Meinung, dass man VPNs möglichst mit Boardmitteln herstellen sollte.
IMHO gibt es Anbieter für VPN-Clients, die - gerade auf Windows-Maschinen - das wesentlich besser und komfortabler machen, als der Hersteller. Selbiges gilt auch für Androide.
Bei I-Devices geht das kaum anders.

Zitat von Baeribeeri:
Die VPN-User sollen alle gleichzeitig von daheim aus arbeiten könne. Und das sind bis zu sieben Verbindungen gleichzeitig.
Kann man zwar mit einer Fritzbox machen, würde aber für ein solches Vorhaben vernünftige Business Hardware nutzen.
Mein Favorit ist hier Lancom, aber es gibt auch viele andere, die das ebenso gut machen.
Natürlich bekommt man diese nicht zum Preis einer Fritte, aber dafür hat man dann was passendes.
TO ist was?
Thread Owner bzw. Opener
Mit Winblows meinst Du wahrscheinlich MS Windows. Bitte bleib sachlich.
So isser halt. Er hat Äpfel am liebsten.
Bitte warten ..
Mitglied: Baeribeeri
19.11.2020 um 16:11 Uhr
Nun, die Äppelaner sehen die IT-Welt natrürlich anders. Die Rede aber war von einem Windows Server 2019 Standard, was mit der Fa. Apple nichts zu tun hat. Und es geht auch nicht um die Clients, sondern um den Server. In dem Beitrag war nichts konstruktives.

Daher die Frage nochmals an die Windows-Menschen: Was schlagt ihr vor? Gegeben sind die Fritzbox, ein gut funktionierendes LAN, schnelles VDSL unsd Clients unter Windows 10. Nebenbei noch eine Windows-Domäne und ein funktionierendes AD, mit dem den VPN-Verbindungen Einwahlrechte erteilt werden sollen. Ging alles perfekt unter dem ausgemusterten Server 2008R2.
Bitte warten ..
Mitglied: goscho
19.11.2020 um 16:18 Uhr
Zitat von Baeribeeri:

Nun, die Äppelaner sehen die IT-Welt natrürlich anders. Die Rede aber war von einem Windows Server 2019 Standard, was mit der Fa. Apple nichts zu tun hat. Und es geht auch nicht um die Clients, sondern um den Server. In dem Beitrag war nichts konstruktives.
@aqui hat dir aber auch erklärt, warum es eine sicherheitstechnischer Supergau ist, einen Windows-Server zum VPN-Einwahlpunkt zu machen, zumal dieser auch noch für alles andere zuständig ist und du Portweiterleitungen von deinem Router hast.

Daher die Frage nochmals an die Windows-Menschen: Was schlagt ihr vor? Gegeben sind die Fritzbox, ein gut funktionierendes LAN, schnelles VDSL unsd Clients unter Windows 10. Nebenbei noch eine Windows-Domäne und ein funktionierendes AD, mit dem den VPN-Verbindungen Einwahlrechte erteilt werden sollen. Ging alles perfekt unter dem ausgemusterten Server 2008R2.
Schon mit dem W2K8R2 war es aus Sicherheitsgründen ein Abenteuer.

Du wirst das jetzt bestimmt auch wieder für nicht angebracht halten, aber ich sehe das so wie aqui und empfehle dir, den zentralen Einwahlpunkt (Router/Firewall) für das VPN zu nutzen.
Das sollte aber nicht die Fritzbox sein, sondern ein passendes Business-Gerät.
Bitte warten ..
Mitglied: bauinformatiker
20.11.2020 um 23:34 Uhr
Hm, der Ton hier ist schon bisschen seltsam, v.a. wenn hier technisch schon versierte Menschen mit ihrem Deutsch ein sehr unpräzise umgehen.

ich halte VPN nur mit Username und Passwort, nicht für eine gute Idee. 2FA oder zumindest eine Prüfung einer Zertifikatsdatei (wie z.B. bei ssh Logins üblich) sollte Pflicht sein. Beides sehe ich zumindest in den gegoogelten Anleitungen unter "Fritzbox VPN" nicht:
https://www.pcwelt.de/a/sicheres-vpn-mit-der-fritzbox-in-fuenf-schritten ...

Ob eine Fritzbox 7 User gleichzeitig schaft ist auch so ne Frage, die man testen müsste. VPN braucht schon ein wenig CPU-Leistung.

Was haltet ihr davon, hinter die Fitzbox einen pfSense-Router zu hängen und dahinter das ganze Netzwerk. Auf dem pfSense Router lässte sich dann vernünftiges VPN machen.
https://administrator.de/knowledge/ipsec-vpn-mobile-benutzer-pfsense-fir ...
Bitte warten ..
Mitglied: aqui
21.11.2020 um 09:41 Uhr
2FA oder zumindest eine Prüfung einer Zertifikatsdatei (wie z.B. bei ssh Logins üblich) sollte Pflicht sein
Bei einem Firmen VPN absolut richtig ?
Beides sehe ich zumindest in den gegoogelten Anleitungen unter "Fritzbox VPN" nicht:
Was erwartest du bei einem billigen Plaste Consumerrouter. Das ist kein Gerät für den Firmeneinsatz und hat dementsprechend dort auch nichts zu suchen.
AVM hat das als Dreingabe auf einem Massenprodukt damit Oma Grete einmal Enkelphotos per VPN ansehen kann. Ein nette Dreingabe für Privatuser aber nicht mehr und nicht weniger....
Ob eine Fritzbox 7 User gleichzeitig schaft ist auch so ne Frage
Die grottenschlechte VPN Performance von FritzBoxen sind hinreichend bekannt. Das ist aber kein Nachteil der sonst zweifelsohne guten FritzBox, denn VPN Firmenuser sind nicht die Zielclientel dieser Hardware. Durch den für Kryptografie sehr schwachbrüstigen SoC auf dem System ist das im System so vorgegeben. Es ist wie bereits gesagt ja auch keine Schlüsselfunktion eines billigen Consumer Routers.
Was haltet ihr davon, hinter die Fitzbox einen pfSense-Router zu hängen
Wenig, denn technisch ist das dann durch doppeltes NAT und doppeltes Firewalling eine schlechte Lösung. Kaskaden sollte man im Netzwerk, sofern man kann, immer vermeiden.
Wenn man aber die FritzBox mit einem reinen Supervectoring Modem (kein Roouter !) wie z.B. einem Draytek Vigor 165 oder einem Zyxel Zyxel VMG3006 ersetzt in deinem Vorschlag, dann hat man alles richtig gemacht !!
Das VPN terminiert man dann mit einem Protokoll was ALLE Betriebssysteme, Smartphones, Tablets usw. mit ihren bordeigenen VPN Clients bedienen um sich sinnlose Zusatzsoftware dafür zu ersparen:
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
So wird ein Schuh draus.
Überflüssig zu sagen das das auch mit allen anderen Firewalls und Router der Welt die aktiv VPN sprechen, auch klappt....
Bitte warten ..
Heiß diskutierte Inhalte
Peripheriegeräte
Suchen Outdoor Wandler von LWL auf Cat 7 Kabel
pavelruFragePeripheriegeräte13 Kommentare

Hallo Zusammen, wir suchen einen Outdoor Konverter welcher von einem kommenden LWL Kabel auf CAT 7 Lan Kabel weiter ...

Netzwerkgrundlagen
Verständnisfrage zu Switchen in einem Netzwerk
kaloschkeFrageNetzwerkgrundlagen13 Kommentare

Hallo, nur interessehalber: Ich habe in meinem Heimnetzwerk einen Smarthomecontroller (Innogy) an einem Switch und einen Raspberry Pi mit ...

Festplatten, SSD, Raid
Synology NAS SHR auflösen
chkdskFrageFestplatten, SSD, Raid12 Kommentare

Mahlzeit zusammen, ich hab schon ein bisschen recherchiert, allerdings keine "aktuelle" Information gefunden. Kurz zu meinem Problem: Ich habe ...

Benchmarks
M.2 SSD und RAM zu langsam
MarkowitschFrageBenchmarks12 Kommentare

Hallo zusammen, ich habe mir folgenden PC zusammengestellt : MB: ASUS - ROG Strix Z490-E Gaming Mainboard (90MB12P0-M0EAY0) CPU: ...

Batch & Shell
Script zum festellen welche datein noch ganz sind
ricardobohnerFrageBatch & Shell10 Kommentare

Hallo Leute, Ich hab da ne frage: Kann man per script feststellen ob eine Datein noch 100% ist? Zum ...

Batch & Shell
Prozess beenden welcher eine bestimmte Datei verwendet
gelöst Ralus67FrageBatch & Shell10 Kommentare

Hallo Community Ich bin auf der Suche nach einer Lösung um einen bestimmten Prozess zu löschen, welcher von einer ...

Ähnliche Inhalte
Windows Server

Windows Server 2019 Standard nach Hyper-V Erstellung mit Win10 nahezu unbrauchbar

Kappo73FrageWindows Server10 Kommentare

Hallo Zunächst bitte verzeiht mir mein <semiprofessionelles Know-How im Thema Server Ich bin gerade dabei für mich meinen ersten ...

Windows Server

Server 2019 Hyper-V WIN10

Chefe321FrageWindows Server22 Kommentare

Hallo, habe ein Problem (was auch sonst) Habe einen Dedicated Windows Server 2019 bei Strato und habe mit Hyper-V ...

Windows Server

Windows Server 2019 Standard Core aktivieren?

gelöst NomadDFrageWindows Server5 Kommentare

Guten Abend, ich habe gerade einen Windows Server 2019 Standard Core Eval frisch installiert und bin auf ein Problem ...

Windows Server

Windows Server 2019 - Azure AD Join

jojo0411FrageWindows Server5 Kommentare

Hallo Leute, Ich habe mir die aktuelle Testversion von Windows Server 2019 heruntergeladen. In der Hoffnung das man bei ...

Windows Server

Windows Server 2019 Standard Keine Internet Verbindung

gelöst StiefmasterFrageWindows Server3 Kommentare

Hallo, ich bin neu hier im Forum. Ich bin zurzeit am verzweifeln Kan bei Windows Server 2019 keine Internetverbindung ...

Windows Server

Standard Drucker am Windows-2019-TS behalten

RaGuKroFrageWindows Server2 Kommentare

Hallo, ein Problem, dass öfter auch hier besprochen wurde. Der Standarddrucker verstellt sich immer wieder auf einen anderen Drucker ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud