mech01
Goto Top

Windows Server 2012 R2 VPN, IPSec, Verzweiflung

Hallo ihr Profis,

ich versuche seit geraumer Zeit einen Tunnel aufzubauen - leider gelingt mir das nicht ;(

Ich habe hier einen Windows Server 2012 R2 Standard, welcher als Root-Server bei einem Hoster steht.

EDIT: Dieser Server soll beim Versuch bestimmte IP-Adressen zu erreichen (siehe unten) einen Tunnel aufbauen, es geht nicht darum, einen VPN-Server zu betreiben, sondern einen Tunnel zu einem anderen Server aufzubauen, welcher mit unten stehende Konfiguration vorgibt

Das sind die Vorgaben des Tunnels:

General
Tunnel Type:IPSec
Authentication Method:PSK (Pre-Shared-Key)
IKE (Phase 1)
Mode:Main Mode
Encryption Algorithm:AES-256
Hash Algorithm:SHA1
Diffie-Hellmann (DH) Group:Group 5
Lifetime:86400 sec
IKE keepalivesYes
IPSec (Phase 2)
ModeTunnel
ProtocolESP
Encryption Algorithm:AES-256
MAC-Algorithm for AuthenticationSHA1 (ESP-SHA-HMAC)
Perfect Forward Secrecy (PFS)Yes (DH Group 5)
SA Lifetime86400 sec
Tunnel Termination Endpoints123.123.123.123 & 234.234.234.234
Encryption Domains (SAs) (see following table)17x.xx.91.40 /29

und dann habe ich halt noch eine liste mit den bereichen:
descriptionIP-range (with mask)Type
Adr_17x-xx-1-90_M3217x.xx.1.90/32Address
Netz_17x-xx-22-192_M2617x.xx.22.192/26Network
Netz_17x-xx-37-0_M2417x.xx.37.0/24Network
Netz_17x-xx-39-192_M2617x.xx.39.192/26Network
Netz_17x-xx-44-0_M2417x.xx.44.0/24Network
Netz_17x-xx-45-0_M2417x.xx.45.0/24Network
Netz_17x-xx-46-0_M2417x.xx.46.0/24Network
Netz_17x-xx-58-0_M2417x.xx.58.0/24Network

Was habe ich bisher gemacht:
- natürlich gegoogelt
daraufhin habe ich mittels MMC in den IP-Sicherheitsrichtlinien versucht Richtlinien anzulegen, die meisten der Einstellungen habe ich sogar gefunden, einige nicht, habe die Richtlinie auch zugewiesen, aber leider hat es nicht gebracht ...

dann habe ich gelesen, dass man das auch in der Firewall einstellen kann, also in die Firewall, verbindungssicherheitsregeln, und versucht das dort zu konfigurieren, leider gescheitert ...

dann habe ich just4fun noch die Möglichkeit angesehen im Netzwerk & Freigabecenter eine neue VPN-Verbindung anzulegen, aber da scheine ich mich völlig auf dem falschen Dampfer zu befinden, schon allein deswegen, weil hier Benutzername und Passwort zwingend erforderlich sind ....

kann mir jemand sagen, wie man so was zu konfigurieren hat?

bei der ganzen konfiguriererei ist mir auch aufgefallen, dass ich nirgens die Hellmann-Group 5 auswählen kann, meist nur 1, 2, 14, etc ... könnte hier ein grundlegendes Problem bestehen?

UPDATE: die Vorgaben werden auf Hellmann-Group 14 geändert, in der Hoffnung, dass ich es mit eingerichtet bekomme ... auch Gruppe 2 wäre alternativ möglich

nach Möglichkeit würde ich das ganze gern mit boardmitteln lösen, zur not nehme ich aber auch gern Empfehlungen entgegen ;)

Vielen Dank schonmal für eure Mühen!

Content-ID: 227218

Url: https://administrator.de/forum/windows-server-2012-r2-vpn-ipsec-verzweiflung-227218.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

Chonta
Chonta 21.01.2014 um 08:45:06 Uhr
Goto Top
Hallo,

wie schon immer bei MS-Servern die VPN-Server sein sollen, muss die Rolle/Funktion installiert, konfiguriert und aktiviert werden.

Schaust Du hier.

http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server ...

Gruß

Chonta
mech01
mech01 21.01.2014 um 09:12:37 Uhr
Goto Top
Hallo Chonta,

sorry, was ich gerade eben erst gesehen habe, es geht auf meine Post nicht konkret hervor, was ich machen will, es soll nämlich kein VPN-Server eingerichtet werden, sondern ein Tunnel zu einem anderen Server eingerichtet werden

LG
Deepsys
Deepsys 21.01.2014 um 10:45:28 Uhr
Goto Top
Hi,

nur als Idee:
hmm, kann ein Server 2012 R2 überhaupt ein VPN-Client sein?
Noch nie probiert ...

Es würde es eher über die "neue VPN-Verbindung" oder einen VPN-Client wie ShrewSoft versuchen, aber ob das dann automatisch den Tunnel aufbaut???

VG
Deepsys
Chonta
Chonta 21.01.2014 um 11:21:32 Uhr
Goto Top
Hallo,

wenn ein VPN zwischen 2 Servern aufgebaut ist der Server ja auch automatisch ein Client face-wink.
Habe gerade keinen Server 2012 bereit zum testen.
Um die Routing und Ras Rolle wirst Du nicht drum rumkommen.

Gruß

Chonta
mech01
mech01 21.01.2014 um 12:38:31 Uhr
Goto Top
Huhu,

als Start würde es mir schon helfen, wenn ich wüsste an welcher stelle ich das konfigurieren muss:

Firewall - Verbindungssicherheitsregeln
IP-Sicherheitsrichtlinien
oder über VPN-Einwahl

oder mehreres?

ich verstehe die ersten beiden punkte so: wenn versucht wird eine Verbindung zu IP xxx.xxx.xxx.xxx aufzubauen, und diese in der liste enthalten ist, dann versuche diese IP über folgende Regeln zu erreichen, eben indem IP xy (Tunnelendpunkt) kontaktiert wird, ein Tunnel aufgebaut wird, und die IP durch den Tunnel versucht anzusprechen

LG und danke schonmal für die Anteilnahme ;)
goscho
goscho 21.01.2014 um 19:58:18 Uhr
Goto Top
Hi mech01,

dein Vorhaben kann nicht funktionieren, da der Windows-Server kein IPSEC-VPN v1 unterstützt und IPSEC v2 wird wohl die Gegenstelle nicht wollen.
Die Idee mit dem Shrew-Client ist wohl die einfachste und beste Lösung.
Unter Windows 8 läuft Shrew, wird dann unter Server 2012 auch gehen.
mech01
mech01 22.01.2014 um 07:13:48 Uhr
Goto Top
Hallo goscho,

ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?

ich hab mittlerweile mal ein wenig weiter geforscht, und von den einstellungsmöglichkeiten scheint mir die Windows Firewall der richtige anlaufpunkt zu sein

in den grundeigenschaften der Firewall im letzten Reiter "IPSec" kann man die verwendeten verschlüsselungen und hash-algos festlegen, dann kann man in der Firewall - verbinsungssicherheitsregeln entsprechend regeln erstellen, für welche ip-adressen er einen tunnel aufbauen soll ...

ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber hinaus) bin ich natürlich für jeden tipp dankbar ;)
goscho
goscho 22.01.2014 um 09:44:19 Uhr
Goto Top
Zitat von @mech01:

Hallo goscho,
Moin
ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?
Natürlich meinte ich das, sorry.

ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu
pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur
spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber
hinaus) bin ich natürlich für jeden tipp dankbar ;)
Ich lasse dich weiter rumprobieren, denke jedoch, dass es nicht zum Erfolg führen wird.
mech01
mech01 22.01.2014 um 20:51:12 Uhr
Goto Top
huhu goscho

also laut http://technet.microsoft.com/de-de/library/hh831807.aspx:

For example, in Windows Server 2012, IKEv2 does the following:
[...]
Coexists with existing policies that deploy AuthIP/IKEv1
[...]

ich habe auch verschiedene Einstellungen gefunden, wo explizit IKEv2 steht, aber nirgens habe ich bisher gefunden, dass win 2012 KEIN IKEv1 unterstützt ...

es ist aber gut zu wissen, dass diese Möglichkeit bestehen könnte, ich hoffe jedoch, dass du unrecht hast ;)
habe heute leider noch keine rückmeldung bekommen, dass der tunnelserver auf der Gegenseite fertig konfiguriert ist, daher konnte ich es heute leider noch nicht testen ;(

aber ich halte dich / euch auf dem laufenden ;)
goscho
goscho 23.01.2014 um 14:58:18 Uhr
Goto Top
Hi,
ich wünsche dir viel Glück dabei.