Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec VPN Praxis mit Standort Kopplung Cisco, IPCop, pfSense, FritzBox u. a

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

25.02.2016, aktualisiert 04.04.2020, 28558 Aufrufe, 20 Kommentare, 5 Danke


Allgemeine Einleitung

Das folgende Tutorial ist eine mehr Technik bezogene Fortsetzung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser Folge einige Praxisbeispiele der IPsec VPN Kopplung populärer Router oder Firewall Produkte vorstellen um das Grundlagen Tutorial nicht weiter aufzublähen.
Ziel ist es bei privaten oder KMU Standort VPN Vernetzungen ohne großes Probieren schnell zu einer funktionierenden VPN Kopplung auf Basis des IPsec Protokolls zu kommen.
Die hier vorgestellten Beispiele und Screenshots können direkt auf bestehende Projekte übertragen werden, natürlich mit entsprechender Anpassung der IP Adressierung auf die eigenen Belange und Hardware.

Eine entsprechende VPN Hardware wird vorausgesetzt. Auf die Basis Konfiguration der Firewalls wie IPCop, pfSense/OPNsense oder kommerzielle Produkte wie Sophos, Zywall & Co. bzw. VPN Router wie Fritzbox, Mikrotik, Cisco usw. wird hier nicht im Detail eingegangen, sofern diese Konfigurationsschritte nicht IPsec VPN spezifisch sind.
In den weiterführenden Links unten findet man zusätzliche Informationen zu diesen Themen.
Ein klein wenig Basiswissen zum Thema IPsec VPNs generell und Cisco Command Line Interface sollte vorhanden sein ! Es empfiehlt sich das o.g. Basis Tutorial noch einmal zu lesen.
Los gehts....


Das Internet im Labor

Das Internet wird hier in der Labor Simulation durch ein separates IP Netz 10.1.1.0 /24 dargestellt. Alle VPN Geräte arbeiten mit ihrem WAN / Internet Port per NAT (Netzwerk Adress Translation) auf diesem IP Netz und sind somit wie im Internet bzw. über den Provider direkt miteinander verbunden.
Einige Geräte nutzen dynamische (wechselnde) IP Adressen am WAN Port und benutzen eine andere Verschlüsselung (z.B. 3DES) als die hier im Tutorial beispielhaft verwendete AES-128. Alles um dem Aufbau mehr Praxisbezug zu geben.
Ein Bild sagt mehr als 1000 Worte....


169b7a913079c9ca347c6fc4a420c793 - Klicke auf das Bild, um es zu vergrößern

Die Internet Port Adressierung muss in real Life natürlich auf xDSL (PPPoE), Kabel Internet, Mobilfunk etc. entsprechend den individuellen Einstellungen am Provider Anschluss angepasst werden. Ebenso natürlich die IP Adressierung der verwendeten lokalen LAN Netze.


Die Praxis

Der Cisco Router stellt hier im im Tutorial beispielhaft den zentralen VPN Zugang dar. Das muss aber in der Praxis nicht so sein. Natürlich kann das auch ein anderes Gerät aus dem hier vorgestellten Portfolio sein und der Cisco nur ein Client.
Um sich aber nicht zu verzetteln und das Tutorial mit allen möglichen Kombinationen zu überfrachten wurde dieser Weg gewählt. Zumal die IPsec Protokoll Implementation hier als fehlerfrei gilt. (Aktuellste Firmware vorausgesetzt !)
Als Verschlüsselung wird in diesem Beispiel das moderne AES-128 mit SHA verwand um Kompatibilität zu älteren ALIX Mainboards (2D13 mit IPCop, pfSense) zu haben, die dedizierte Crypto Chips an Bord haben und so Verschlüsselung in Wirespeed supporten ohne die CPU zu belasten.
Diese Crypto HW ist aber auf den 2Dx ALIX Mainboards auf 128 Bit AES beschränkt.
Besser, da sicherer, wäre es zusätzlich noch AES-256 zu aktivieren. Modernere Hardware hat da keine Limits.
Der Cisco Router und auch die pfSense stellen zusätzlich zur Standort Kopplung noch einen IPsec VPN Dialin Server zur Verfügung für mobile IPsec Clients wie iPhone/iPad, Android Smartphones, Laptop etc. VPN für mobile User.
Als Testserver für die VPN Netzwerk Erreichbarkeit dient im Zielnetz (172.16.7.0 /24) ein Raspberry_Pi mit installierten Apache Webserver und einer index.php Datei im Apache Dokumenten Root Verzeichnis, die die Absender IP des Clients angibt. Die entsprechende fertige HTML Datei dafür findet man zum cut and pasten hier.

Cisco Router Konfiguration

!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.16.7.1 172.16.7.150
=> DHCP Pool im lokalen LAN .151 bis .199
ip dhcp excluded-address 172.16.7.200 172.16.7.254
!
ip dhcp pool local
network 172.16.7.0 255.255.255.0
default-router 172.16.7.1
dns-server 172.16.7.1
domain-name test.intern
!
ip domain lookup source-interface Vlan99
ip domain name test.intern
ip name-server 123.4.5.6
=> Ersetzen mit Provider DNS IP oder internem DNS
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw smtp
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
<-- Firewall App. Gateway f. IPsec
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp
ip inspect name myfw udp
!
username admin password 0 admin
username vpntest password 0 test123
!
!
crypto keyring Labtest
=> Setzt die Pre Shared Passwörter für die einzelnen Tunnel
pre-shared-key address 10.1.1.87 key test123
pre-shared-key address 10.1.1.86 key test123
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123
!
crypto isakmp policy 10
=> Erlaubt AES 256 Bit und SHA256 und DH Group 14 (2048)
encr aes 256
hash sha256
authentication pre-share
group 14
!
crypto isakmp policy 20
=> Erlaubt AES 128 Bit und SHA, DH Group 2 (1048)
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNdialin
=> VPN Dialin für mobile IPsec Clients (Smartphone, iOS, MacOS etc.)
key cisco321
dns 192.168.7.254
domain vpn.test.intern
pool VPNPool
save-password
max-logins 3
banner # Willkommen im Test VPN (Cisco880) #
!
crypto isakmp profile pfSense
=> Tunnel Profil für die pfSense
description IPsec VPN pfSense
keyring Labtest
match identity address 10.1.1.87 255.255.255.255
!
crypto isakmp profile IPCop
=> Tunnel Profil für den IP-Cop
description IPsec VPN IPCop
keyring Labtest
match identity address 10.1.1.86 255.255.255.255
!
crypto isakmp profile DynDialin
=> Tunnel Profil für IPsec Tunnel von Geräten mit dynamischer Provider IP
description VPNs mit dyn. IP
keyring Labtest
match identity address 0.0.0.0
!
crypto isakmp profile VPNclient
=> Tunnel Profil für die VPN Dialin User
description VPN clients profile
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile test-vti2
set transform-set testset
!
!
crypto dynamic-map dynmap 10
=> Weist Tunneln mit dyn.IP Profil zu
description Tunnel dyn.IP Cisco 800
set transform-set testset
set isakmp-profile DynDialin
match address vpndyn1
!
crypto dynamic-map dynmap 15
=> Weist Mikrotik dyn.IP Profil zu
description Tunnel dyn.IP Mikrotik 2011
set transform-set testset
set isakmp-profile DynDialin
match address vpndynmt
!
crypto dynamic-map dynmap 20
=> Weist FritzBox dyn.IP Profil zu
description Tunnel dyn.IP FritzBox
set transform-set testset
set isakmp-profile DynDialin
match address vpnfritz
!
!
crypto map vpntest 10 ipsec-isakmp
=> Weist der festen Test Internet IP Adresse .87 pfSense Profil zu
description Tunnel Static IP pfSense
set peer 10.1.1.87
set transform-set testset
set isakmp-profile pfSense
match address vpnpfsense
!
crypto map vpntest 15 ipsec-isakmp
=> Weist der festen Test Internet IP .86 IP Cop Profil zu
description Tunnel Static IP IP-Cop
set peer 10.1.1.86
set transform-set testset
set isakmp-profile IPCop
match address vpnipcop
crypto map vpntest 20 ipsec-isakmp dynamic dynmap
=> Weist das dynamische Profil zu
!
!
interface Virtual-Template2 type tunnel
=> Virtuelles Interface für mobile VPN Dialin User
ip unnumbered Vlan1
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile test-vti2
!
interface Vlan1
description Lokales LAN
ip address 172.16.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan99
=> Dies kann auch ein xDSL Interface sein ! Beispiel HIER
description Internet Anschluss
ip address 10.1.1.88 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
crypto map vpntest
=> VPN Profil aktiv auf dem Internet Interface
!
ip dns server
!
ip local pool VPNPool 172.16.7.70 172.16.7.73
=> IP Adresspool für mobile VPN Dialin User
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended vpndyn1
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Cisco 800
permit ip 172.16.7.0 0.0.0.255 10.100.200.0 0.0.0.255
ip access-list extended vpndynmt
=> Bestimmt zu verschlüsselnden Traffic für VPN mit Mikrotik
permit ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
ip access-list extended vpnfritz
=> Bestimmt zu verschlüsselnden Traffic für VPN mit FritzBox
permit ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
ip access-list extended vpnipcop
=> Bestimmt zu verschlüsselnden Traffic für VPN mit IP Cop
permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
ip access-list extended vpnpfsense
=> Bestimmt zu verschlüsselnden Traffic für VPN mit pfSense
permit ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
access-list 101 deny ip 172.16.7.0 0.0.0.255 10.10.200.0 0.0.0.255
=> Kein NAT für das VPN mit dynamischer IP
access-list 101 deny ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
=> Kein NAT für das IP Cop VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.1.0 0.0.0.255
=> Kein NAT für das pfSense VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.88.0 0.0.0.255
=> Kein NAT für das Mikrotik VPN
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
=> Kein NAT für das FritzBox VPN
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
=> Wichtige administrative ICMPs erlauben
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit esp any host 10.1.1.88
=> IPsec eingehend durch die Firewall erlauben
access-list 111 permit udp any eq ntp host 10.1.1.88
=> NTP, Uhrzeit Abfrage erlauben
access-list 111 permit udp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 permit tcp any eq domain host 10.1.1.88
=> DNS Abfrage erlauben, Router ist Proxy
access-list 111 deny ip any any
!
ntp server ntp0.fau.de
!
end


Ein paar Erklärungen zur obigen Konfiguration:
crypto isakmp client configuration group VPNdialin = Definiert das IPsec Profil für die mobilen Clients (Laptops, Smartphones, Tablets etc.)
ip local pool VPNPool = IP Adresspool für mobile Clients. ACHTUNG !: Muss ausserhalb des DHCP Bereichs liegen
access-list 111 = Regelt die Firewall am Internet Port. Diverse ICMP Dienste, DNS, NTP und natürlich der IPsec Traffic dürfen auf die WAN / Internet IP des Routers zugreifen. Alles andere nicht.

Das alle 3 IPsec Tunnel aktiv sind (3ter dyn. Tunnel ist ein Cisco 800 Testsystem) zeigt wie üblich immer ein schnelles show Kommando auf dem Router CLI:
Mobile VPN Client Konfiguration:
Die o.a. Konfig erlaubt außer der Standort Kopplung auch das gleichzeitige Einwählen mit einem IPsec VPN Client. Ein MacBook Screenshot des Onboard IPsec Clients sieht so aus:
vpnclient - Klicke auf das Bild, um es zu vergrößern
Die Settings bei Apple Smartphones oder entsprechenden VPN Clients auf anderen Geräten sind identisch.

pfSense IPsec VPN Konfiguration:


IPsec aktivieren und Phase 1 konfigurieren:
831c9c248dfe0d4e04e7ba75f78389e0 - Klicke auf das Bild, um es zu vergrößern

Es folgt die Phase 2:
1e5003a9bf3c43de4b36ce74b7cfc3a2 - Klicke auf das Bild, um es zu vergrößern

Den Pre Shared Key definieren:
dde2fe370309be35f7fc004da42d82f5 - Klicke auf das Bild, um es zu vergrößern

Phase 2 lokales und remotes Netzwerk konfigurieren:
f7747bca3233814df563ac80abd57a09 - Klicke auf das Bild, um es zu vergrößern
b35574b2aa02f0e686831eb87eb93809 - Klicke auf das Bild, um es zu vergrößern

Wichtig: Firewall Regeln auf dem VPN Interface die den VPN Zugang erlauben !: (VPN Netze sind in Firewall => Aliases vordefiniert !)
7275bbc3c2a98eb374b048fca6247abc - Klicke auf das Bild, um es zu vergrößern

Firewall Regel auf dem Internet Interface NICHT vergessen damit IPsec dort passieren kann (UDP 500, 4500 und ESP) !!:
92c674ce6d28689fceb3dcc872742799 - Klicke auf das Bild, um es zu vergrößern
(Anm: Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen. Siehe Kommentar @Valexus unten im Thread !)

Mehrere IP Netze hinter der pfSense in den Tunnel routen:
Mehrere Netze routet man entweder mit einem Supernetting Eintrag (CIDR Subnetzmaske) im remote network sofern diese zusammenhängend sind. Oder alternativ mit weiteren Phase 2 Einträgen wenn diese IP Netze nicht zusammenhängend sind. Die pfSense_Dokumentation erklärt dies im Detail.

FritzBox Konfiguration für VPN

Getestet mit der FritzBox 7240 und der aktuellen Firmware 6.06
Wichtig bei der FritzBox IPsec Verbindung ist das Aktivieren von 3DES. Ohne 3DES Option wird kein IPsec Tunnel aufgebaut.
Update !
Dies ist nicht mehr gültig !!!
Natürlich kann die FritzBox auch das moderne AES aber nur mit dem schwächeren SHA1 Hash und DH Group 2. Das muss man unbedingt in den pfSense Proposals beachten !
Eine aktuelle Praxis taugliche Konfig mit den aktuellen GUI Screenshots findet man HIER_!

VPN Tunnel (Cisco, pfSense) direkt auf der FritzBox definieren:
ada0f3a334d91a2c7b6191c77d6461c6 - Klicke auf das Bild, um es zu vergrößern
Der Tunnel zur pfSense wird identisch definiert nur mit der 10.1.1.87 als Tunnel IP.

Beide VPN Tunnel sind aktiv:
b30d60f0cae8df2280d4811f1c4d0d7c - Klicke auf das Bild, um es zu vergrößern

IP Cop Konfiguration fürs VPN

Der IP Cop als weitere Firewall bietet nicht ganz so viele Optionen wie die pfSense ist aber auch weit verbreitet und supportet natürlich auch IPsec VPNs

IPsec aktivieren und Peer definieren:
ac75956f89fa7dec44af1c0add8e3af0 - Klicke auf das Bild, um es zu vergrößern

Phase 1 und 2 Schlüsselparameter und lokales und remotes Netzwerk definieren:
49c4864cfc1e18f50b9e4e5ca0c6fe43 - Klicke auf das Bild, um es zu vergrößern
Tip: PFS (Perfect Forward Secrecy) sollte man aktivieren (anhaken) !

VPN Tunnel aktivieren:
9228d25446c9ffe899336d9f2f911fe8 - Klicke auf das Bild, um es zu vergrößern

VPN Kopplung pfSense mit IP-Cop und FritzBox

Ziel ist es nun ein vermaschtes VPN der Standorte zu realisieren für eine Standort übergreifende VPN Vernetzung. Deshalb ist der nächste Schritt die direkte IPsec VPN Kopplung des IP-Cop und FritzBox mit der pfSense Firewall.
Das entsprechende Design mit den Tunnelbeziehungen sieht man wieder oben im Designschaubild !

Wir starten mit der pfSense...

Zweiten Phase 1 und 2 konfigurieren für den IP-Cop und FritzBox:
a705e152b41db556ca13207cbd582643 - Klicke auf das Bild, um es zu vergrößern
2316916ffa4b31569b524cbb3d795838 - Klicke auf das Bild, um es zu vergrößern
Die Konfig ist vollkommen identisch zu der mit dem Cisco. Es ist lediglich die Tunnel Ziel IP Adresse IPCop anzupassen und das remote lokale Netzwerk des IP Cop.

Konfig aller VPN Tunnel (Cisco, IP Cop, FritzBox):
71d76790f06ba24919d5b4b1d6fa87ea - Klicke auf das Bild, um es zu vergrößern
Wichtig hier: Zusätzlich 3DES aktivieren für die FritzBox !!

Preshared Key nicht vergessen...:
8a30f07de4a5197d1c33fd197c499922 - Klicke auf das Bild, um es zu vergrößern

Weiter gehts jetzt mit dem IP Cop....
ae3421e49ff6039511211bfc02be8e23 - Klicke auf das Bild, um es zu vergrößern
55fc5dfb57ed15cdc4298e15aefd3045 - Klicke auf das Bild, um es zu vergrößern

Der IPsec Tunnel ist aktiv...!
5d58ff7ba193864bacdbe93d292b5de1 - Klicke auf das Bild, um es zu vergrößern

Stimmt das auch wirklich... ?
Doublecheck auf der pfSense:

2ba9267756a8e185f68efe389458fdb4 - Klicke auf das Bild, um es zu vergrößern
Alle VPNs sind beidseitig aktiv !! 👍

Klappt die LAN Kopplung? (Ping eines MS Clients im lokalen pfSense LAN auf die IPCop LAN IP):

427a530cb9f07da63efd6fbc2f94be90 - Klicke auf das Bild, um es zu vergrößern
Ist OK...!
Fazit: Eine vollständige LAN zu LAN Vernetzung aller Standorte per IPsec VPN wurde erreicht !

Mikrotik IPsec VPN Konfiguration

Auf dem Mikrotik ist die IPsec VPN Tunnel Konfiguration entweder über das WinBox Tool oder auch das Browser GUI schnell erledigt.
Testsystem ist ein RB2011 mit aktiver Default Konfig (ether1 als Internet Port mit NAT Firewall und DHCP)

IPsec Policy anlegen: (Bestimmt den zu encrytenden Traffic und die Tunnelendpunkte)
d4d65c3b5a365ffd95bd70eb607a7f5d - Klicke auf das Bild, um es zu vergrößern
(Die Tunnel Source IP ist bewusst auf 0.0.0.0 belassen da der MT mit dynamischer Internet IP konfiguriert wurde. Hat man einen feste IP muss man die hier eintragen)

Proposals definieren (Schlüsselverfahren)
01d4034bb8b936ca533807616b6e85b2 - Klicke auf das Bild, um es zu vergrößern

Wichtig: Ausnahme in der NAT Firewall definieren das VPN Traffic nicht geNATet wird:
5ff1dc41c4d87bdfff72dbc798c91950 - Klicke auf das Bild, um es zu vergrößern
Fürs CLI lautet die Regel:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src=address=192.168.88.0/24 dst-address=172.16.7.0/24


Den Tunnel Peer konfigurieren:
f7ad63998faf7d832f03c1faa657690f - Klicke auf das Bild, um es zu vergrößern

Die Installed SAs zeigen das der Tunnel aktiv
cb0cfbbb3944aab93d990d86e000ef8b - Klicke auf das Bild, um es zu vergrößern

Für ein Peering auf Ip Cop, pfSense etc. richtet man einfach einen weiteren Peer ein und konfiguriert die Gegenstelle entsprechend nach den obigen Mustern.


Ausblick

Das Praxistutorial wird in loser Reihenfolge weitergeführt mit anderen VPN Routern und Firewalls (Mikrotik, Juniper) und auch dem VPN Routing mehrerer IP Netze pro Standort. Entsprechende Vorschläge oder auch laufende Konfigs gerne per PM.


Weiterführende Links und Lösungen:


Standort LAN zu LAN VPN Verbindung mit FritzBox und pfSense Firewall (Aktuelles GUI):
https://administrator.de/content/detail.php?id=504532&token=417#comm ...
https://www.administrator.de/forum/vpn-pfsense-2-2-x-fritzbox-einsatz-29 ...
Infos zur Phase 2 Negotiation bei der FB:
http://forum.ipfire.org/viewtopic.php?t=16254
FritzBox VPN mit Profi VPN Router u. Firewalls koppeln (ct' Artikel und Skript):
https://www.heise.de/select/ct/2017/15/1500314446764256
FritzBox VPN auf Zyxel USG:
https://www.administrator.de/content/detail.php?id=316523&nid=298381 ...
Mehrere IP Standort Netze mit FritzBox und pfSense per VPN routen:
https://administrator.de/forum/pfsense-fritzboxen-verbinden-543936.html

FritzBox VPN auf ausgewählte LAN Ports der FB beschränken:
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...

pfSense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...

Standort Site to Site IPsec VPN mit pfSense Firewall und Mikrotik Router mit festen Internet Adressen:
https://administrator.de/content/detail.php?id=501151&token=508#comm ...
https://administrator.de/content/detail.php?id=539060&token=369#comm ...
Gleiches Site 2 Site nur mit dynamischen IP Adressen und Authentisierung über FQDN Namen:
https://administrator.de/content/detail.php?id=501151&token=508#comm ...

IKEv2 Standort VPN mit Cisco, pfSense, Mikrotik:
https://administrator.de/wissen/ipsec-ikev2-standort-vpn-vernetzung-cisc ...

Standardkonfiguration von Cisco VPN Routern mit ADSL/VDSL:
https://www.administrator.de/contentid/179345
und
https://www.administrator.de/contentid/113776

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://www.administrator.de/content/detail.php?id=378502&token=736

Gemischte VPNs (OpenVPN und IPsec Tunnel) Mit mehreren IP Netzen auf pfSense und Mikrotik:
https://administrator.de/content/detail.php?id=534696&token=421#comm ...
https://administrator.de/content/detail.php?id=534696&token=421#comm ...

VPN IPsec Standort Kopplung mit Cisco VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

VPN IPsec Vernetzung mit GRE Tunnel und dynamischem RIPv2 Routing auf Mikrotik und Cisco:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=397059&token=888#
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

VPN IPsec Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. OSPF Routing:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

FritzBox mit kostenlosem Shrew IPsec Client konfigurieren:
https://www.administrator.de/content/detail.php?id=279626&token=98#c ...
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Shrew Client mit Cisco pfSense und anderen Routern konfigurieren:
https://www.shrew.net/support/Main_Page

Aktuelle IKEv2 VPN Konfig für iPhone, Mac OS und IPsec native Clients:
https://forum.pfsense.org/index.php?topic=106433.0

Mikrotik L2TP VPN für mobile Clients:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

Site to Site VPN mit StrongSwan / OpenWRT auf pfSense / Sophos:
https://administrator.de/content/detail.php?id=557576&token=752

Aufbau einer pfSense Firewall mit dem populären APU Board:
https://www.administrator.de/contentid/149915

pfSense Firewall auf Watchguard Hardware:
https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

IPsec VPN mit verschiedenen Herstellern:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

IP Cop Installation auf APU Board:
http://www.ipcop-forum.de/forum/viewtopic.php?f=63&t=26989

IPsec Tunnel mit PIX Firewall und pfSense:
https://www.administrator.de/wissen/cisco-pix-firewall-ipsec-vpn-tunnel- ...

Allgemeine LAN to LAN VPN Tutorials:
http://blog.webernetz.net/site-to-site-vpn-tutorials/

Dualstack IPv4 und IPv6 auf pfSense einrichten:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Mitglied: Valexus
25.02.2016 um 17:48 Uhr
Moin,

nach meinen Erfahrungen braucht es bei PfSense auf dem WAN Interface keine Regeln für IPsec.
Das funktioniert bei uns problemlos ohne:
cee79a8f0da6a6516be848bbaf7dc20c - Klicke auf das Bild, um es zu vergrößern

VG
Val
Bitte warten ..
Mitglied: aqui
25.02.2016 um 19:06 Uhr
Hi Val,
Dank erstmal für den Hinweis aaaber... Ist jetzt etwas verwirrend was du genau meinst. Du hast bei dir ja eine Regel definiert wenn auch für OpenVPN was jetzt Äpfel mit Birnen wäre. IPsec ist ja ne ganz andere Baustelle.
Oder machst du jetzt OVPN und IPsec zusammen auf der pfSense ?
Generell ist das WAN Interface der Firewall komplett zu und lässt incoming keine Verbindung zu, folglich sind FW Regeln die die IPsec Protokollkomponenten passieren lassen auf die WAN IP zwingend erforderlich.
Es mag aber sein das die Einrichtung des IPsec VPNs diese Ports dynamisch in der FW öffnet wie es bei 1:1 Port Forwarding auch geschieht wenn man es im pfSense Setup zulässt.
Das wäre mal einen Test wert. Ich entferne die Regeln mal und check das.... Feedback kommt.
Bitte warten ..
Mitglied: Valexus
25.02.2016, aktualisiert um 20:47 Uhr
Wir setzen IPsec für unsere Site-to-Site Verbindung zu einer Partner Firma ein und OpenVPN für unseren eigenen Fernzugriff.
Das Bild sollte nur zeigen, dass wir hier nichts für IPsec konfiguriert haben.

Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.

Edit:
Rules are automatically added to the WAN to allow the tunnel to connect, but if the option to disable automatic VPN rules is checked, then manual rules may be required.
https://doc.pfsense.org/index.php/VPN_Capability_IPsec

VG
Val
Bitte warten ..
Mitglied: FA-jka
25.02.2016 um 21:07 Uhr
Duhuuu - unabhängig von unserem Austauch - ich glaube, das hier wird etwas ganz großartiges!
Bitte warten ..
Mitglied: brammer
26.02.2016 um 10:15 Uhr
Hallo

@aqui
Da ist doch wieder mal ein Kompliment fällig!

Super!

brammer
Bitte warten ..
Mitglied: ChriBo
26.02.2016 um 12:13 Uhr
gutes Manual,
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).

Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.

Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß

Gruß
CH
Bitte warten ..
Mitglied: aqui
26.02.2016, aktualisiert 02.05.2019
@Valexus
Offensichtlich wird hier bei einer bestehenden IPsec Config die Firewall so angepasst, das es funktioniert.
Du hast Recht. Das Einrichten des VPN erstellt die Regeln automatisch. Danke für den Hinweis !
Die UDP 500, 4500 und ESP Regeln auf dem WAN Port oben können entfallen.

@ChriBo
imho fehlen einige Hinweise (alles auf der pfSense:
- Interfaces -> LAN -> entferne den Haken bei "Block private Networks"
Der ist ja in den Default Einstellungen auf dem LAN Interface gar nicht da. Ist also überflüssig.
- erstelle einen Alias RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Warum ?? Der Haken bei "Block private Networks hat doch den gleichen Effekt" ?! Ansonsten hast du Recht das es von Vorteil ist mit Aliases zu arbeiten.
- [optional] erstelle einen Alias für das Ziel VPN Netzwerk
Richtig das ist ein sehr guter Tip, erleichtert die Übersicht.
Es überfordert aber ggf. VPN Anfänger hier deshalb wurde darauf erstmal verzichtet.
Erfahrenere User sollten das aber immer machen, keine Frage !
- erstelle eine Regel auf dem Lan Interface : deny access to RFC1918, setze sie vor den allgemeinen Zugriff ins Internet
Kontraproduktiv wenn User mehrere IP Segmente mit RFC 1918 IPs auf der Firewall haben wie Gastnetz, WLAN, Voice usw.
Sollte jeder dann individuell customizen je nachdem in welchem Umfeld die Firewall betrieben wird.
- erstelle vor dieser Regel eine Regel z.B: erlaube alles von Lan nach Ziel VPN (bzw Alias).
Hier gilt gleiches wie oben schon gesagt. Ist individuell nach Design unterschiedlich. Nicht falsch aber das Tutorial verfährt erstmal nach dem Grundsatz keep ist simple stupid um es für Anfänger nicht zu überfrachten.
Ansonsten gibt es keinen Zugriff aus dem Lan zum entfernten VPN.
Doch, wenn man nicht so strike Regeln wie deine obigen installiert und erstmal mit dem Default arbeitet
Wichtig sind nur die Regeln auf dem VPN Interface !
- optional bei der Regel auf dem IPsec interface bei Source auch den Alias verwenden.
Da hast du Recht.
Das ist kosmetisch schöner und gilt allgemein für die Konfig mit Aliases. Siehe oben zum Thema Aliases...
Die expliziten Regeln auf dem WAN Interface (Allow ESP, UDP500 und 4500) sind "good practice".
Wenn vorher explizite deny all Regeln auf dem WAN Interface angelegt waren funktioniert die automatische Regelerstellung nicht ordnungsgemäß
Danke für den Hinweis !!
Das war auch meine Denke und es sieht so in der Tat besser aus, auch wenn der Kollege Valexus oben formal Recht hat.

Dem Rest: Danke für die Blumen. Interessant wären jetzt Konfigs von weiteren IPsec Endgeräten die hier gepostet werden können. PM is your Friend...
Das Tutorial bekommt in loser Reihenfolge noch eine für die FritzBox, Mikrotik Router und den Shrew Client als Dialin.
Bzw. die Kombination der Tunnel untereinander aller obiger Hardware.
Bitte warten ..
Mitglied: the-buccaneer
27.02.2016 um 01:22 Uhr
@aqui: Ich will ein Kind von dir!

Nein, ernsthaft: Wie machst Du das? Es gibt so viele, die das einrichten können, aber nur einen, der das so beschreiben kann!

Kleine Anmerkung: Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?

Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.

"Keep on rockin'"

Buc
Bitte warten ..
Mitglied: aqui
27.02.2016, aktualisiert 07.05.2016
Sollte nicht auf der PfSense bei den IPSec Interface Rules statt: 172.16.7.1/24 stehen 172.16.7.0/24 ?
Das kommt darauf an was du machen willst...
Deine Regel lässt dann einzig nur Traffic für einen einzigen Rechner sprich Host zu nämlich den mit der .1 als Hostadresse.
Wäre hier fatal, denn das ist der Router. Damit könnte man dann via VPN nur auf den Router zugreifen aber zu keinem anderen Host im Subnetz....
Mit der Angabe aber des gesamten IP Netzes 172.16.7.0/24 (Alle Hostbits sind auf 0) erlaubst du aber die Kommunikation mit allen IP Hostadressen in dem Netz. Das was man ja gemeinhin will.

Oder habe ich jetzt den Fehler gemacht und statt der Netzadresse die Hostadresse konfiguriert...??? Das wäre dann natürlich ein peinlicher Fauxpas. Gleich mal checken... Grrr... tatsächlich !
Shame on me...!!! Freudscher Fehler... Du hast natürlich absolut Recht. Ich werden den Screenshot korrigieren mit der Netzadresse.
Der Gestaltung von Regeln und Zugriffslisten setzt nur die Phantasie Grenzen...
Die Fritzbox muss da aber auch noch dazu. Es wäre mir eine Ehre, dazu beitragen zu dürfen.
Das sehe ich auch so....also her damit.
Das mit dem Kind überleg ich mir nochmal.... Ich denke unter Freibeutern und Piraten erfordert das dazu ne ganze Menge an gutem Karibik Rum. Es sei denn hinter dem Buccaneer verbirgt sich eine Double D Buccaneerette mit blonden Haaren und langen Beinen...
Bitte warten ..
Mitglied: the-buccaneer
28.02.2016 um 07:35 Uhr
ich sags mal mit bob dylan: "it ain't me, babe, no, no, no, it ain't me babe, it ain' me you're lookin' for , babe..." badabadidadum, badadadidadum, dubidum...

und: fasching ist schon vorbei. du wirst leider warten müssen.

die buddel rum ist aber im spiel, wenn du das hinkriegst, die pfsense 2.2.6 mit ner fritzbox 2170 zu connecten!

DD_Buc
Bitte warten ..
Mitglied: aqui
28.02.2016, aktualisiert 03.03.2016
So, mal wieder zurück zu seriöser Netzwerktechnik....!
Hab deinen Thread schon gelesen...keine Sorge
Hier erstmal die Forschungsergebnisse bei der Korrektur des von dir zu Recht angesprochenen Regelfehlers im Tutorial oben auf dem IPsec Interface :

Interessanterweise sind hier keinerlei Regeln erforderlich !
Der VPN Traffic wird auch übertragen ohne jegliche Regel auf diesem Interface. Ein Crosscheck mit einer BLOCK any any Regel die also sämtlichen Traffic blockiert verlief ebenfalls negativ. Die VPNs funktionieren trotzdem.
Als Fazit lässt sich dann daraus ziehen das Regeln auf diesem Interface gänzlich obsolet sind. Ist oben nun auch im Tutorial entsprechend korrigiert.
Was dann der Sinn dieses Interfaces ist bleibt schleierhaft.
Bitte warten ..
Mitglied: aqui
03.03.2016, aktualisiert um 22:09 Uhr
@Christoph-Bochum
Du hast Recht ! Die VPN Firewall Rules auf dem IPsec Interface müssen de facto definiert werden !
Die pfSense cacht die Statetable für eine zeitlang so das gecachte Tunnel auch ohne Regel scheinbar weiter funktionieren.
Rebootet man die Firewall aber ist es aus mit der Tunnel Connectivity ohne Regeln.
Fazit: Die Regeln sind zwingend notwendig und das Tutorial entsprechend upgedatet.

Die FritzBox ist nun integriert mit einem VPN Peer auf den Cisco 886 Router und die pfSense. Die Tunnel waren sofort aktiv.
Wichtig für die FritzBox ist nur zu wissen hier unbedingt 3DES zu aktivieren. Ohne 3DES Support werden die FritzBox VPN Tunnel nicht etabliert.
Mit der aktuellen Firmware Version 6.06 ist die VPN Konfiguration bequem über das Web GUI zu machen.
Spezielle Konfigurationen für das Routen auf mehrere IP Netze über den VPN Tunnel erfordern aber weiterhin das FritzBox Konfig Tool und das Einspielen angepasster VPN FritzBox Konfigs.

Nächster Step ist jetzt ein zweites IP Netz am Cisco zu konfigurieren um mehrere IP netze über den VPN Tunnel zu routen und die Integration zusätzlicher VPN Router wie eines Mikrotik RB2011 und einer Juniper Firewall.
Bitte warten ..
Mitglied: the-buccaneer
08.03.2016 um 01:08 Uhr
Schön, dass nun auch die FB dabei ist.
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Man muss sich bei den Büchsen aber evtl. immer die Mühe machen, das .cfg File händisch zu bearbeiten. Seltsam, dass die GUI offenbar aus Kompatibilitätsgründen nur 3-DES supported. (Es gibt Einstellungen, die beides ermöglichen) Hast du dir die VPN Konfig mal angeschaut? Wenn das File nicht direkt bearbeitbar ist, ist es jedenfalls in der Gesamtkonfiguration einsehbar. Den Link dazu habe ich leider gerade nicht parat, schaue ich aber gerne die Tage noch nach, wenn gefragt.

Wo du grade dabei bist: Bekommst du raus, wie man mit der FB auf virtuelle IP's connected? Das Feature ist da, vollkommen undokumentiert und ich habe es mit dem Kollegen vor ein paar Monaten nicht zum Laufen bekommen...

Keep on rockin'!

Buc
Bitte warten ..
Mitglied: aqui
10.03.2016, aktualisiert um 14:30 Uhr
Die kann aber definitiv AES-256. Auch AES-128 sollte gehen.
Ja, das ist richtig. Klappt auch fehlerfrei.
Ich hatte nur AES 128 gemacht weil die ALIX 2D Mainboards eine dedizierte Crypto Hardware mit an Bord haben die das in Wirespeed machen.
Wenn man diese unter System => Advanced => Misellaneous auf AMD Geode Security block (glxsb) setzt dann limitiert das AES auf 128 Bit, da der Crypto Chip nicht mehr kann.
Wenn man es ausschaltet wären 256 Bit möglich, das passiert dann aber in Software auf der CPU und belastet diese stark bei den 2D Mainboards.
Das war der Grund.
Für das neuere APU1D Board ist das natürlich irrelevant.
Ja, die Phase 2 macht nur 3DES wenn man es nicht manuell spezifiziert. Vermutlich weil der überwiegende Rest der Welt das im Default auch macht. Manche der billigen China Router nur ausschliesslich.
Damit reduziert AVM dann die Support Kosten
Die möglichen Kombinationen sind hier ganz gut aufgelistet:
http://www.computersalat.de/linux/vpn/ipsec-vpn-zwischen-fritzbox-und-l ...
Wenn man die Konfig manuell editiert.

Was du oben ansprichst: Kann man die VPN Konfiguration einsehen die aktuell rennt wenn man das per GUI gemacht hat und nicht mit dem Fernwartungsprogramm ??
Also in dem Stil wie es das Fernzugangs Programm erstellt zum Draufladen.
Auf den Trick bin ich noch nicht gestoßen...

Was genau meinst du mit "auf virtuelle IP's connected?" ???
Virtuelle Ziel IPs für den Tunnel oder welche ??
Bitte warten ..
Mitglied: the-buccaneer
15.03.2016 um 02:16 Uhr
Ich meinte diesen: http://fritz.box/support.lua

Naja, virtuelle IP's eben: FB hat internes Netz 192.168.177.0/24 und virtuelles Netz auf dem VPN von 192.168.99.0/24. Gegenseite hat virtuelles Netz 192.168.99.0/24 und internes Netz 192.168.1.0/24. Wie man das eben für Clients auf der PfSense z.B mit Shrew auch definieren kann. Einfach 2 getrennte Netze.
Nix mehr, nix weniger. Das Feature ist da, aber wie wirds getriggert?

Du könntest das schaffen.

LG
Buc
Bitte warten ..
Mitglied: aqui
19.03.2016, aktualisiert um 12:06 Uhr
Hi Buc
Wenn du ein Netzwerk zwischen den beiden lokalen LANs hast, dann ist das immer ein Indix das die Endgeräte ein Tunnel Interface verwenden also auf dem VPN nochmal ein Tunneling machen.
Meist passiert das mit GRE Tunnels oder sog. IP in IP.
Das hat den Vorteil das man ein dediziertes Interface hat auf dem Router oder Firewall wo man wieder dynamische Routing Protokolle, ACLs usw. anlegen kann.
Viele Admins mögen das deswegen aber einige ncht weil es weiteren Overhead produziert als die rein native IPsec Kopplung wie oben.
Ich wusste nicht das die FB sowas kann aber das im Cisco, Mikrotik oder pfSense anzulegen ist nicht schwer.
Bitte warten ..
Mitglied: the-buccaneer
25.03.2016 um 04:08 Uhr
Och, ich hoffte, dich zu motivieren, das auf der FB zum rennen zu bringen...

Naja, gibt wichtigeres.

Frohe Ostern!

Buc
Bitte warten ..
Mitglied: aqui
25.03.2016 um 20:54 Uhr
Ich versuchs Ostern mal zu checken...
Bitte warten ..
Mitglied: the-buccaneer
08.04.2016 um 00:49 Uhr
und?
ich bin aus dem osterurlaub zurück.
konntest du was virtuelles connecten mit der fb?
lg
buc
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Anleitung von aquiLAN, WAN, Wireless1 Kommentar

1.) Allgemeine Einleitung: Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aquiLAN, WAN, Wireless3 Kommentare

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials. Es beschreibt ...

Netzwerke

FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff

Tipp von pelzfruchtNetzwerke1 Kommentar

Moin, Da Ich denke dass der VPN Server der FritzBox für mich reicht, und schneller eingerichtet ist als der ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke72 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 1 TagInformationsdienste7 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 1 TagInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 2 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 2 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Windows Server
Windows 7 wird im WSUS nicht angezeigt
gelöst Frage von DavidHergWindows Server24 Kommentare

Guten Abend zusammen, nachdem sich die Frage mit meinem WSUS erledigt hat und somit alles jetzt funktioniert, hab ich ...

Off Topic
Ein wenig Aufklärung über Corona von Bill Gates persönlich
Information von FrankOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server24 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

Festplatten, SSD, Raid
Storage Wahl für Virtualisierungsumgebung
Frage von Le2000Festplatten, SSD, Raid11 Kommentare

Hallo allerseits, da ich bereits seit einiger Zeit aus der Materie ausgestiegen war und mich allmählich wieder einarbeite, wüsste ...