Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, CSS, C und C++, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio@, Webentwicklung, XML

Hardware

Benchmarks, Cluster@, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless@, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing@, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V@, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio@, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster@, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless@, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing@, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V@, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Biete Zusammenarbeit, Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
In der Juni-Ausgabe des IT-Administrator Magazins dreht sich alles um den Schwerpunkt 'Monitoring & Dokumentation'. So zeigen Ihnen die Redaktion unter anderem, wie die Netzwerküberwachung in heterogenen Umgebungen mit Zenoss funktioniert und auf welchem Weg Sie Leistungsdaten von Windows-Clients mit der PowerShell abfragen. Daneben lesen Sie, wie Sie die I/O-Last auf Ihren Servern im Blick behalten und Ihr Red Hat Enterprise Linux auf Trab bringen. ... mehr
Mitglied: aqui
08.06.2009, aktualisiert 01.06.2014, 130385 Aufrufe, 9 Kommentare, 6

VPNs einrichten mit PPTP

Wie stellt man schnell und einfach eine VPN Verbindung auf ein Firmen- oder Heimnetzwerk her mit dem VPN Protokoll PPTP ?
Wie realisiert man eine Standortvernetzung mit PPTP ??
Zwei häufig hier im Forum geäußerte Fragen ! Dieses Tutorial versucht ein paar Antworten oder Anregungen zu geben...


Allgemeine Einleitung

Es gibt viele Möglichkeiten und ebenso viele unterschiedliche Protokolle ein VPN aufzusetzen und zu betreiben.
Als populärster Vertreter sei hier das beliebte OpenVPN genannt, das als SSL/TLS VPN viele Vorteile gegenüber PPTP und IPsec hat: Auf so gut wie allen Plattformen verfügbar, performant, wenig Propleme mit dem SSL Protokollhandling (Port Forwarding bei NAT etc.), Windows_GUI, Apple_Mac_GUI, Vista ready, Einfach aufzusetzen usw. usw.
Ein entsprechendes Tutorial zur Installation von OpenVPN auf einem preiswerten DSL Router oder auf der kostenfreien Firewall pfsense ist in diesem Dokument auch für Laien verständlich beschrieben:
http://www.administrator.de/index.php?content=123285

Oder das daran angelehnte einfache VPN für Arme das administrator.de User spacyfreak in seinem Tutorial beschreibt, sofern man über klassische Löcher in Firewalls von außen ins (Firmen) Intranet muss !
Es erfordert aber immer die zusätzliche Installation von VPN Client Komponenten oder Software die das PPTP Protokoll nicht benötigt, da diese PPTP VPN Clients in den meisten gängigen Betriebssystemen und auch PDAs per Default schon enthalten sind !


Alles schon an Bord...

Deshalb soll dieses PPTP only VPN Tutorial einen kurzen Überblick über die gängigsten PPTP VPN Clients (und Server) geben, die dieses weit verbreitete Protokoll nutzen unter Windows, MacOS-X, Linux und am Beispiel einen PDAs wie dem iPhone.
Als PPTP Server (PPTP Tunnel Endpunkte) für VPN dienen als Beispiele Windows, Cisco Router, Cisco PIX, die freie Firewall Lösung pfSense, M0n0wall, IPCop, DD-WRT sowie Windows und diverse DSL VPN Router.

Ein schematischer VPN Aufbau sieht so aus, wobei als VPN Server meist nur eins der abgebildeten Geräte zum Einsatz kommt.

Klicken Sie auf das Bild, um es zu vergrößern - 7aa940823eb7275dd1375fccc73f2f9a-pptp-client.jpg




Konfiguration der Clients

Windows
Der Windowsclient wir klassisch über den Assistenten für neue Verbindungen in den Eigenschaften der Netzwerkumgebung eingerichtet.
Bei Windows 7 geschieht das über den Netzwerk- und Freigabecenter. Die Schritte zur Konfiguration sind absolut identisch zu XP.

Klicken Sie auf das Bild, um es zu vergrößern - aa194119854ff43a43a3120156784a2c-win-pptp1.jpg


Nach der Einrichtung ist die PPTP Verbindung noch als solche in den Eigenschaften zu konfigurieren:

56bbcbd6c429f056bc3404c78a43ed3e.jpg

Ein wichtiges Wort noch zum PPTP Tunnelgateway beim Windows Client was unbedingt zu beachten ist !:
In den Eigenschaften des PPTP Clients ist dort in den erweiterten Einstellungen des TCP/IP Protokolls folgender Haken zu finden:

Klicken Sie auf das Bild, um es zu vergrößern - 43e8230241a19524c77c2973e1ce137b.jpg


Dieser Haken (wenn gesetzt) legt fest ob alle Pakete, sprich der gesamte Datentraffic inkl. Internet in den Tunnel gesendet werden (VPN Tunnel ist default Gateway) oder einzig nur die Pakete für das remote Netzwerk (Haken NICHT gesetzt) und lokaler Internet Traffic geht über den lokalen Router !
Für die meisten Anwender ist also dieser Haken nicht gesetzt !, es sei denn man möchte allen Traffic, auch den Internet Traffic, durch den Tunnel schicken bei aktiver VPN Session !
Die kann gewollt sein um z.B. IP Geo Restriktionen (TV etc.) zu umgehen.
Ist der Haken gesetzt, geht sämtlicher Traffic beim Aktivieren des PPTP Clients in den Tunnel ! Damit ist dann auch das lokale Netzwerk abgekoppelt. Ein Zugriff auf einen lokalen Netzwerk Drucker oder einen Netzwerk Festpaltte (NAS) ist dann nicht mehr möglich bei aktiver VPN Verbindung !
Ein immer und immer wiederkehrendes Problem bei VPNs hier im Forum, denn es gilt auch analog bei anderen VPN Clients !!!
Analog ist dieser Haken auch im Apple Mac Client vorhanden dort aber etwas "logischer" beschriftet:
Klicken Sie auf das Bild, um es zu vergrößern - ed3770721961f6a09ec931585cf2cbf7.jpg


Ein Doppelklick des PPTP Clients mit Username und Passwortangabe startet dann die VPN Verbindung. Ist sie erfolgreich hat man in der Taskleiste ein entsprechendes Symbol und ein ipconfig -all in der Eingabeaufforderung zeigt ein aktives VPN Interface mit zugeteilter IP Adresse:

Klicken Sie auf das Bild, um es zu vergrößern - aa4bc7ad65035d1b05e584ad32e2daf3-win-pptp4.jpg


Damit ist eine PPTP Verbindung erfolgreich hergestellt und kann mit einem Rechtsklick aufs Symbol in der Taskleiste und Trennen wieder gestoppt werden.

Mac OS-X
Bei OS-X ist es etwas einfacher (wie so oft bei Apple Macs... face-wink )
In den Systemeinstellungen unter Netzwerk einfach einen neuen VPN Adapter hinzufügen, User und Passowrt einstellen und auf verbinden klicken um ihn zu testen, das sieht dann so aus:

Klicken Sie auf das Bild, um es zu vergrößern - f90d2da785da2ff18d5b223668bc557d-vpn-mac.jpg


Später lässt sich der Client einfach über die Menüleiste oben aufrufen !

Linux
Alles wissenswerte zum grafischen PPTP Client steht hier:
http://pptpclient.sourceforge.net/
Für Konsolen Junkies ist der PPTP Client natürlich auch über die Konsole zu starten !

PDA z.B. Iphone
Wie viele PDAs hat auch das Iphone einen PPTP Client gleich mit an Bord den man in den Einstellungen entsprechend konfiguriert:

d47cf8f01bdf60c81cf67ea22e8bfcc3-iphonepptp.jpg

Noch eine Bemerkung zum VPN Protokoll PPTP:
PPTP gilt heute nicht mehr als sicher im Sinne von wasserdicht sicher wie es z.B. IPsec derzeit ist. (Siehe Artikel am Ende des Tutorials zur PPTP Sicherheit).
Dennoch ist PPTP populär da es vergleichsweise einfach einzurichten ist und jedes Endgerät einen Client von sich aus an Bord hat.
Wenn das PPTP Password mindestens 12 Stellen besser 14 hat so das Passwort Cracker unverhältnismässog lange brauchen ist es im privaten Bereich und bei nicht sicherheitsrelevanten Anwendungen tolerabel.
Hier muss jeder selber für sich entscheiden wie wichtig ihm seine Daten oder die seiner Firma sind.

Wer der Sicherheit von PPTP nicht traut oder wirklich sensible Daten per VPN übertragen muss sollte statt PPTP immer einen IPsec Client verwenden oder das oben genannte OpenVPN als SSL VPN verwenden !!
IPsec ist nicht mit PPTP kompatibel ! Auch nicht mit L2TP oder SSL basierten VPNs und andersrum. Ein Client muss bei IPsec und SSL (OpenVPN) immer zusätzlich installiert werden.
Bei Windows sind die populärsten IPsec Clients der Shrew_Client und der von GateProtect.
Shrew hat HIER auch eine entsprechende Dokumentation für die Serverseite bzw. das Zusammenspiel mit unterschiedlichen VPN Routern und Firewalls. Einige weitere Beispiele dazu bieten auch die folgenden Forum Tutorials auf Administrator.de hier bzw. hier
Alternative ist noch das Windows L2TP Protokoll das ebenfalls eine IPsec Encapsulation benutzt.
Ein populärer freier Mac OS-X IPsec Client ist IPSecuritas der problemlos mit allen IPsec Servern funktioniert.
Der OS-X eigene Cisco VPN Client funktioniert aber ebenso mit den meisten IPsec Installationen wie z.B. mit der der populären_FritzBox.
Das iPhone und das iPad als PDA Vertreter haben ebenso einen Cisco IPsec Client gleich an Bord !

(Die populäre Fritz!Box (Siehe: Tipps & Tricks für Verbindungen zu anderen Herstellern) kann leider nicht als PPTP VPN Server konfiguriert werden, da sie außschliesslich nur das IPsec Protokoll unterstützt. Auch SSL basiertes VPN ist hier leider Fehlanzeige. Hier ist nur eine VPN Verwendung mit den o.a. Clients oder dem AVM Client selber möglich.)


PPTP VPN Server Konfigurationen

Windows als VPN Server
Die Installation von Windows als PPTP VPN Server ist hinreichend im Internet beschrieben, z.B. in der Serverversion hier:
http://www.microsoft.com/downloads/details.aspx?familyid=a93e566c-92c7- ...
Eine reine Version für XP Professional (Die XP Home Version hat nur den Client an Bord !!) findet sich hier:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Weitere Windows Details würden den Rahmen des Tutorials sprengen !

DD-WRT/Open WRT DSL-Router als VPN Server
http://www.administrator.de/index.php?content=67666
bzw.
http://www.administrator.de/index.php?content=116961

==<<Außer Konkurenz, da kein PPTP: >>==
Wie man OpenVPN auf einem DD-WRT Router aktiviert beschreibt dieses Tutorial:
http://www.administrator.de/index.php?content=123285

Die freie M0n0wall und pfSense Firewall/Router Appliance als PPTP VPN Server
Informationen zum Hardware Aufbau u. Installation findet man u.a. HIER.
Weitere Details und ein Schritt für Schritt Tutorial zum Aufbau von VPN Zugängen mit PPTP auf M0n0wall und pfSense beschreibt dieses Tutorial:
http://www.administrator.de/index.php?content=116961

Alle Einstellungen werden im Bereich VPN -> PPTP gemacht:

Klicken Sie auf das Bild, um es zu vergrößern - 95f616941e7dbf8ff5cca00652d60801-monopptp2.jpg


Server address: Dies MUSS eine FREIE IP Adresse aus dem lokalen Netz sein ! Sie darf NICHT verwendet sein und auch nicht in einem DHCP Pool liegen !!
Remote address range: Dieser IP Adressbereich wird den remoten Clients zugeteilt !! Auch er darf NICHT verwendet sein und auch nicht in einem DHCP Pool liegen !!

Danach sind noch die VPN Benutzer zu definieren:

Klicken Sie auf das Bild, um es zu vergrößern - d5368abb9938748082c9f76fad365509-monopptp1.jpg


Weitere Monowall Infos zu PPTP erläutert ein detailierteres Tutorial hier bei Administrator.de.

Cisco RV110W WLAN Router als VPN Server
Die Einrichtung ist sehr einfach und mit ein paar Mausklicks analog wie beim DD-WRT erledigt:
Klicken Sie auf das Bild, um es zu vergrößern - ba1746e074d8c36be6d47f93e165ff5e.jpg



Cisco Router als VPN Server
01.
02.
vpdn enable 
03.
04.
vpdn-group 1 
05.
! Default PPTP VPDN group 
06.
 accept-dialin 
07.
  protocol pptp 
08.
  virtual-template 1 
09.
10.
username vpnbenutzer password test 
11.
12.
interface Virtual-Template1 
13.
 description PPTP Einwahl Interface fuer VPN Zugang 
14.
 ip unnumbered Ethernet 1 
15.
 no keepalive 
16.
 no cdp enable 
17.
 peer default ip address pool pptp_dialin 
18.
 ppp encrypt mppe 128 required 
19.
 ppp authentication ms-chap-v2 
20.
21.
interface Ethernet 1 
22.
 description Lokales Ethernet  
23.
 ip address 172.17.1.254 255.255.255.0 
24.
25.
ip local pool pptp_dialin 172.17.1.240 172.17.1.250 
26.
27.
end

Cisco PIX als VPN Server
01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
hostname pix501 
07.
domain-name pix.local 
08.
names 
09.
name 192.168.2.0 pixtomono 
10.
access-list 100 permit icmp any any echo-reply   
11.
access-list inside_outbound_nat0_acl permit ip any 172.17.1.192 255.255.255.224  
12.
logging on 
13.
logging buffered errors 
14.
ip address outside <öffentliche IP oder PPPoE oder DHCP> 
15.
ip address inside 172.17.1.254 255.255.255.0 
16.
ip local pool vpn 172.17.1.200-172.17.1.210 
17.
global (outside) 10 interface 
18.
nat (inside) 0 access-list inside_outbound_nat0_acl 
19.
nat (inside) 10 0.0.0.0 0.0.0.0 0 0 
20.
access-group 100 in interface outside 
21.
22.
sysopt connection permit-pptp 
23.
vpdn group PPTP-VPDN-GROUP accept dialin pptp 
24.
vpdn group PPTP-VPDN-GROUP ppp authentication chap 
25.
vpdn group PPTP-VPDN-GROUP ppp authentication mschap 
26.
vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto required 
27.
vpdn group PPTP-VPDN-GROUP client configuration address local vpn 
28.
vpdn group PPTP-VPDN-GROUP client configuration dns <lokale DNS IP>  
29.
vpdn group PPTP-VPDN-GROUP client configuration wins <Optional:lokaler WINS Server>  
30.
vpdn group PPTP-VPDN-GROUP pptp echo 60 
31.
vpdn group PPTP-VPDN-GROUP client authentication local 
32.
vpdn username vpnbenutzer password test  
33.
vpdn enable outside 
34.
dhcpd address 172.17.1.10-172.17.1.20 inside 
35.
dhcpd dns 192.168.7.254  
36.
dhcpd lease 3600 
37.
dhcpd ping_timeout 750 
38.
dhcpd enable inside


Eine einfache VPN Standortvernetzung mit pfSense/Monowall Firewall und Mikrotik 750 Router

Als praktisches Beispiel dient hier eine einfache Standortvernetzung mit einem oder mehreren Standorten, wobei die pfSense Firewall hier den PPTP Server darstellt und der Mikrotik Router den remoten VPN Client.
Klar kann dieses VPN Szenario ganz einfach auch mit 2 mal pfSense Monowall oder 2 mal Mikrotik 750 gemacht werden was sicherlich der einfachste technische Weg wäre und auch für Laien unbedingt zu empfehlen ist.
Der Reiz für den engagierten Netzwerker liegt hier aber gerade in der Verwendung unterschiedlicher Komponenten und der damit realisierten VPN Kopplung auf PPTP Basis. Zudem besitzt die pfSense Firewall einen Cryptochip auf dem Mainboard (nur wenn man als HW die ALIX_Board_Variante nutzt !!) um Verschlüsselung in Hardware zu erledigen, was sie besonders skalierbar macht im VPN Betrieb.
Besonderes Bonbon hier: Beide dieser Komponenten verstehen ein dynamische Routing mit RIPv2 Protokoll, so das man auch bequem mehrere IP Netze wie z.B. VLANs am Hauptstandort (VPN Server) als auch am remoten Standort (Client) dynamisch ohne das mühsame Eintragen zig statischer Routen zu übertragen.
Dazu später mehr...
Der Mikrotik Router sticht hier wieder als Netzwerk "Tausendsassa" heraus, da er sich sowohl als VPN Client und auch als VPN Server verwenden lässt !
Kombinationen mit anderen preiswerten PPTP fähigen Routern wie dem Cisco RV110, Draytek usw. sind ebenos problemlos möglich.
Ebenso kann als VPN Server natürlich auch ein zentraler Windows Server 2003 oder 2008 mit aktiviertem RAS dienen.
Zurück zur VPN Standortvernetzung...
Für den Praxistest verwenden wir ein klassisches VPN Standard Szenario für die Standort Vernetzung:
Klicken Sie auf das Bild, um es zu vergrößern - bc0044f2fb25ef691b1dd89ae7e8df6a.jpg


Vorausgesetzt wird eine am Internet laufende pfSense oder Monowall Firewall, die als VPN Server dient und dem Mikrotik 750 als Client Router an einem normalen PPPoE DSL oder Kabel TV Zugang. Alle Internet Zugangsarten sind hier möglich.
Entsprechende Tutorials hier bei Administrator.de im Netzwerk und Routing Bereich erklären wie das schnell und problemlos aufgesetzt wird, deshalb soll hier nicht näher darauf eingegangen werden, da der Fokus auf der VPN Vernetzung liegt.

Einrichtung des PPTP Servers an der pfSense/Monowall Firewall
Es wird hier genau so verfahren wie in dem oben bereits erwähnten Tutorialabschnitt !
http://www.administrator.de/index.php?content=116961#toc5
Damit ist mit ein paar Mausklicks der PPTP Server schon betriebsbereit !
Nicht vergessen: die Firewall Regeln auf dem Internet anzupassen damit PPTP Pakete für das VPN das WAN/Internet Interface der Firewall passieren können !
http://www.administrator.de/index.php?content=116961#toc5
Crypto Hardware unter System --> Advanced --> Miscellaneous aktivieren
Klicken Sie auf das Bild, um es zu vergrößern - 6a98d28a50dec99114a716ae93ed4582.jpg


Einrichtung des PPTP Clients auf dem Mikrotik
Dazu wird das grafische Tool "Winbox" verwendet, was die Konfiguration für Netzwerk Laien erheblich erleichtert. Es geht ebenso einfach mit dem WebGUI des Routers was identisch zur WinBox ist oder dem CLI für "richtige" Netzwerker ! face-wink
1.) Menüpunkt "PPP" klicken und PPTP Client (nicht PPP Client !!) auswählen
Klicken Sie auf das Bild, um es zu vergrößern - 70ddd4dc95c612b93e6cc34a22206879.jpg


2.) Namen eintragen oder den Default Namen übernehmen und "Apply" klicken.
47e051ae7b7fd87df02a7b756ffdda94.jpg

3.) Auf den Karteireiter "Dial Out" klicken und die IP Adresse des VPN Servers (pfSense Firewall) eintragen.
Wer keine feste Internet IP hat trägt hier seinen DynDNS Hostnamen ein !
Dafür muss DynDNS vorher auf der pfSense Firewall unter "Services --> Dynamic DNS" aktiviert werden. pfSense supported eine ganze Reihe der bekannten kostenlosen DynDNS Provider.
Dann den PPTP Usernamen und Passwort eintragen wie er zuvor im pfSense PPTP Server gesetzt worden ist.
Nur MSCHAPv2 auswählen ! Alles andere ist unsicher und sollte NICHT verwendet werden !
Um eine Internet wasserdichte und sichere VPN Verbindung zu erhalten, sollte das Passwort mindestens 12 Stellen haben und keine Trivialnamen enthalten auch keine Umlaute !
Wer generell alles an Traffic vom remoten Standort durch den VPN Tunnel routen möchte aktiviert den Haken bei "Add Default Route" !
Nun "Apply" und "OK" klicken. Damit wird sofort die PPTP Verbindung aufgebaut und der Status der Verbindung unten rechts muss auf connected wechseln, was dann eine erfolgreiche Verbindung anzeigt.
2c3dc41f147df76da53058fe2a7ca9d6.jpg

"Status" zeigt es dann detailierter an sowie die verwendeten IP Adressen des Tunnels für Client und Server !
668bd306427c8b78d7f9567188fbc9b6.jpg

PPTP ist ein Point to Point Protokoll und übermittelt dynamisch keine LAN Routen. Folglich muss man auf dem Client das lokale LAN an der pfSense Firewall (hier 192.168.1.0/24) statisch auf dem Mikrotik Client eintragen.
Das geschieht unter "IP --> Routes --> + " klicken
Klicken Sie auf das Bild, um es zu vergrößern - ab809daf12b07b9df9f2df1ca486a32e.jpg


Fertig !!
Damit ist ein schnelles VPN zur Standortvernetzung mit wenigen Mausklicks und der richtigen Hardware sofort einsatzklar.

Dynamisches Routing der Standortnetze mit RIPv2 Protokoll
Hat man an beiden oder einem Standort mehrere IP Netze z.B. einen Reihe von VLANs, dann kann man diese ohne das mühsame Eintragen aller statischen Routen auch dynmaisch mit RIPv2 übertragen lassen, einem dynamischen Routing Protokoll. Fast alle Layer 3 Komponenten vom VLAN Routing Switch über kleine Router wie den Mikrotik und Firewalls supporten in der Regel alle RIPv2.
1.) Dafür aktiviert man nun RIPv2 auf dem Mikrotik 750 Client unter "Routing --> RIP"
Klicken Sie auf das Bild, um es zu vergrößern - bc33cb6c7131cb3bed842467415e603c.jpg


2.) Und natürlich auch auf dem VPN Server der Firewall unter "Service --> RIP"
Klicken Sie auf das Bild, um es zu vergrößern - 8bea9e15483722e216e9e27be925e4f1.jpg


3.) Dann aktiviert man unter "RIP Settings" das automatische Senden statischer Routen
Klicken Sie auf das Bild, um es zu vergrößern - a4c67fe8674ce1b20b33d50fb68f7477.jpg


4.) Und trägt unter "Neighbors" den pfSense Server mit seiner PPTP Tunnel IP ein (hier im Beispiel 172.32.1.1)
Das ist leider notwendig, da der RIP Prozess dynamische Interfaces wie das PPTP Tunnelinterface sonst ausspart !
Klicken Sie auf das Bild, um es zu vergrößern - 13cdf67a6f0a4baa071fb1a6118999d7.jpg


Sieht man sich dann die Routing Tabelle des pfSense an mit "Diagnostics --> Routes":
Klicken Sie auf das Bild, um es zu vergrößern - d6968c8714d77b261c8c8d8547b62552.jpg


Et voila.... Da sind die remoten Routen via RIPv2 ! Die gegenseitige Erreichbarkeit aller IP Netze ist damit sichergestellt.



Achtung mit PPTP VPN Servern hinter NAT Firewalls !

Viele VPN Installationen scheitern wenn ein VPN Server hinter einer NAT Firewall, also z.B. einem einfachen DSL Router mit NAT (Network Adress Translation) installiert ist, wie man es HIER z.B. bei einem OpenVPN sehen kann, was aber analog für PPTP VPN Server ebenso gilt !
Der Grund ist, das die NAT Firewall eingehende PPTP Verbindungen von außerhalb (Internet) schlicht abblockt, was eine Firewall zum Schutz ja auch tun sollte um den Benutzer und seine Rechner im lokalen LAN zu schützen !!
PPTP benutzt 2 Protokolle, einmal eine TCP 1723 Session zur Authentifizierung und Verschlüsselung und dann parallel einen GRE (Generic Route Encapsulation) Tunnel um die Benutzerdaten zu transportieren.
Solange man also diese beiden Protokolle nicht mit einer Port Weiterleitung im NAT Router/Firewall an die lokale IP Adresse des VPN Servers schickt scheitert eine PPTP Verbindung am NAT !
Ein Beispiel einer Port Weiterleitung (VPN Server hier lokal auf 192.168.1.11) auf einem DSL Router/Firewall (Fritzbox) sieht dann für PPTP so aus:
Klicken Sie auf das Bild, um es zu vergrößern - 2222bbe2e89ed20b33ca44132dfe5325-portfor.jpg

Nochmals: Diese Einstellung muss auf dem NAT Router nur gemacht werden wenn sich der VPN Server HINTER dem Router im lokalen Netz befindet !
Für direkt im Internet betriebene PPTP Server auf Routern oder Firewalls ist das Port Forwarding nicht erforderlich !


Wichtig: Allgemeine Tipps zum VPN Adress Design

Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing des remoten Netzes mit dem lokalen bei IP Adress Gleichheit vollkommen unmöglich wird, da die Wegefindung nicht mehr eindeutig ist wie im TCP/IP zwingend vorgeschrieben !

Viele Laien wählen als IP Netzwerk die allseits bekannten Allerwelts IP Netze 192.168.0.0 /24, 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen billigen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind. Diese IP Netze sind also zig millionenmal mal lokal weltweit vergeben ! Oft aus schlichter Unwissenheit.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet !
Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig, auch aus Unwissen oder Unkenntniss zu IP Adressen, diese Standard Einstellungen !
Die Folge davon ist, das diese "Default" 192.168er IP Netze millionenfach in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann dadurch IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch völlig unmöglich !

Es ist daher dringend angeraten schon beim Aufbau und Planung von VPN Zugängen vorausschauend zu planen und etwas exotischere IP Netze für das lokale Netzwerk zu wählen, die einen IP Adresskonflikt dadurch nahezu unmöglich machen und damit einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren !!

Sieht man sich einmal den RFC-1918 (Liste der Privaten IP Adressen) , der die IP Adresskontingente für Private Netze global festlegt, etwas genauer an:
http://de.wikipedia.org/wiki/Private_IP-Adresse
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden, banalen 192.168er IP Allerwelts Adressen abfinden muss, sondern auch noch den Block im 172er und den gesamten 10er Bereich zur freien Verfügung hat. Massenweise IP Netze also....
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die IP Adressierung seine lokalen Netzes oder der lokalen Netze wenn es mehrere Subnetze gibt wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder, oder, oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze (Wenn das remote Clientnetzwerk gleich ist) doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an so mit einem cleveren und vorausschauenden IP Adress Design sicher aus der (IP) Welt schafft !
So wird dauerhaft ein störungsfreier Betrieb des VPNs erreicht !


Das Ende von PPTP als VPN Protokoll ?

Wer heute noch PPTP als VPN Protokoll einsetzt sollte nicht versäumen das hier zu lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Danach sollte man sich sehr wohl überlegen ob man dieses VPN Protokoll noch einsetzt.
Für den privaten Bereich und sofern man dort nicht Sicherheits relevante Daten überträgt, mag ein Einsatz noch sinnvoll sein, weil PPTP eben sehr einfach mit nur ein paar Mausklicks eingerichtet ist. Der Auwand das Passwort zu knacken ist sehr hoch und nicht nur finanziell und erfordert erhebliches Netzwerk- und Cryptowissen.
Im Firmeneinsatz ist die Nutzung nunmehr allerdings mehr als fraglich, wenn nicht grob fahrlässig mit ggf. juristischen Konsequenzen.
Diese Entscheidung muss jeder Netzwerk Admin selbst fällen.


Weiterführende Links

Mikrotik Info:
http://www.administrator.de/contentid/124700
und
http://varia-store.com/Hardware/MikroTik-Routers/MikroTik-Integrated::: ...

L2TP VPN mit Mikrotik Router:
http://www.administrator.de/contentid/217628

PPTP mit kleiner kosteneffizienter Firewall:
http://www.administrator.de/contentid/149915

Linux als VPN Server
http://wiki.ubuntuusers.de/Archiv/pptp (Thanks to masterG)
http://www.portunity.de/access/wiki/PPTP-Tunnel_%28IPv4%29_unter_Debian ... (Debian Installation)
http://blog.rlandolt.com/2013/01/raspberry-pi-als-vpn-server/ (Raspberry Pi als VPN Server)
http://www.administrator.de/contentid/191718

IPCop Router als VPN Server
http://www.ipcopwiki.de/index.php/PopTop_(pptpd)

Draytek Router als VPN Server
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm

Lancom Router als VPN Server
http://www2.lancom.de/kb.nsf/0/1f3a4eb3ce2b90aac1256eee0029e2f8?OpenDoc ...

MikroTik RB 750 Router als VPN Server
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
bzw.
http://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile


Letzte Aktualisierung: 05/2013
Mitglied: masterG
08.06.2009 um 14:42 Uhr
Für Ubuntu/Debianuser: http://wiki.ubuntuusers.de/pptpd.
Ansonsten sehr hilfreich für mich da ich nen denkfehler bei meinem vpn hatte. Diese Tutorial hat mir geholfen den denkfehler zu lösen. face-smile

Gruß
masterG
Bitte warten ..
Mitglied: frankenchris
24.06.2009 um 11:15 Uhr
Sehr hilfreich, doch ich meine bei der Konfig für den "normalen" Cisco Router hat sich ein kleiner Fehler eingeschlichen:

vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password test
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered Ethernet 1
no keepalive
no cdp enable
peer default ip address pool pptp_einwahl (falsch! richtig wäre: 'peer default ip address pool pptp_dialin' siehe 'ip local pool')
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Ethernet 1
description Lokales Ethernet
ip address 172.17.1.254 255.255.255.0
!
ip local pool pptp_dialin 172.17.1.240 172.17.1.250
!
end
Bitte warten ..
Mitglied: aqui
24.06.2009 um 23:47 Uhr
@frankenchris
Recht hast du !!! Da hatte der Deutsch - Englisch Translator Dialin/Einwahl einen Aussetzer gehabt !! Danke für den Hinweis !!
Das Tutorial ist entsprechend korrigiert !
Bitte warten ..
Mitglied: mideastd
27.01.2010 um 11:38 Uhr
Wieder einmal eine klasse Anleitung.

Habe bei mir m0n0wall als VPN-Server mit PPTP eingerichtet. Funktioniert alles super.

Beim Einrichten der Client-Seite (Win XP Prof.) habe ich aber festgestellt, dass ich Administratorrechte brauche.

Nun meine Frage: Gibt es eine Möglichkeit von fremden Rechnern aus (wo ich nur als eingeschrentter User angemeldet bin) einen VPN-Client mit PPTP einzurichten, damit ich dann auch von dort auf mein Heim-Netz zugreifen kann ?

Gruß
mideastd
Bitte warten ..
Mitglied: aqui
28.01.2010 um 11:46 Uhr
Bitte warten ..
Mitglied: mideastd
28.01.2010 um 12:45 Uhr
@aqui

Danke für Deinen Tip, leider hilft es mir nicht, da ich das Kennwort für das Admi-Konto nicht habe. Ich bin dort wirklich nur als Gast.

Gruß
mideastd
Bitte warten ..
Mitglied: SunnyRainyDay
12.03.2012 um 13:55 Uhr
schön Beschrieben...besonders der letzte Teil zum Thema "Adress Design". Bin ich ganz bei dir...werde wohl das bei mir auch berücksichtigen
Bitte warten ..
Mitglied: AdmASchwedt1972
27.05.2014 um 11:18 Uhr
KEIN KONTROLLIERUNGSWAHN MEINERSEITS!

Wie läßt sich ein Gesicherter Internetzugang mit CLIENTS und pfSense/Monowall Firewall zur ANBINDUNG mit VPN oder OHNE an ein selbst Administrierenden www WEBserver mittels PHP Zugang und MySQL bewergstelligen ? Mein Grund ist ein im Hintergrund mitprotokollieren von Internet Verbindungen mit Uhrzeit, Datum, IPs (vom Client und Anbindungssuchendem) (vielleicht sogar der Routing dorthin) zum Schutz meiner Kinder UND des möglich machens des Nachweises bei Versicherungsfragen bewergstelligen?! KEIN KONTROLLIERUNGSWAHN MEINERSEITS!!!!!!!!!!!!!!!!!!!!!! PHP Programier Grundkenntnisse sind hier vorhanden.
Bitte warten ..
Mitglied: aqui
27.05.2014 um 19:03 Uhr
Das kannst du bei der pfSense auch viel einfacher haben !!
Nutze dafür einfach die Captive Portal Funktion (Gastnetz) und vergib Zeitvoucher an deine Kinder oder Passwörter mit Zeitkontingenten. Die Konfig Optionen dort sind vielfältig.
Die pfSense bietet dir zudem die Option über die Packages einen Webproxy wie Squid auf ihr zu betreiben. Dort kannst du über eine Blacklist alle üblen Webseiten filtern und hast gleichzeitig auch noch die Option übers Log zu kontrollieren wann sie wo surfen.
Die Steuerungsmechanismen von Squid sind sehr vielfältig.
http://www.squid-handbuch.de/hb/
Das ist einfacher als das Rad neu zu erfinden ! Wie man das einrichtet erklärt dir dieses Tutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Neuester Wissensbeitrag
Netzwerke
Tipp: Hallo zusammen, für alle, die gerne nicht ihre Voucher von pfSense in einen andere Anwendung importieren wollen, habe ich ein php script geschrieben welches direkt auf dem pfSense ... von tassilo-k, in Netzwerke
Diese Inhalte könnten dich auch interessieren
Router & Routing
Frage: Guten Tag, ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter einem KabelModem das ich von KD bekommen habe und ... von Grave111, in Router & Routing
Router & Routing
Frage: Hallo, ich habe hier auf unserem Server pfSense als OpenVPN-Client einrichten und habe es mit einem OpenVPN-Server verbiunden. Laut pfsense-Status funktioniert die Verbindung unn der Dienst läuft. Ich ... von istike2, in Router & Routing
Ubuntu
Frage: Hallo Zusammen, bin erst neu als Admin unterwegs, daher würde ich mich sehr über Eure Hilfe (gern ausführlich) freuen! Also, ich hab einen Ubuntu 12.04 und darauf Dovecot ... von noobadm, in Ubuntu
Router & Routing
Frage: Hallo und einen schönen guten Morgen. Ich schlage mich seit gestern Abend (abgebrochen weil ich Kopfschmerzen bekommen habe) mit einen Bintec-Router herum. der Plan, ich möchte mich mit ... von facebraker, in Router & Routing
Outlook & Mail
Frage: Hallo zusammen, ich betreibe bei meinem Vater in der Firma ein kleines Netzwerk (5 Clients) mit einem SBS 2011 und Exchange 2010. Die Clients haben alle Win7 Prof. ... von christian88, in Outlook & Mail
Heiß diskutierte Inhalte
Batch & Shell
Frage: Hallo, ich möchte mir ein einfaches Script basteln, weiß aber nicht richtig weiter Das Script soll jede Nacht 2 Ordner auf eine andere Partition kopieren. Es sollte auf ... von PM-Manuel, in Batch & Shell
Exchange Server
Frage: Hallo Fachleute, auf einem Exchange 2013 der für die Domäne "kunde.de" zuständig ist, möchte ich eine E-Mailadresse, die intern nicht konfiguriert ist, an den externen Webhoster, wo der ... von tommiller, in Exchange Server
Firewall
Frage: Hallo zusammen, wir haben in unserem Netzwerk festgestellt, dass wir eine direkte Verbindung (Patchkabel) von unserem internen LAN zu unserem Internet Router haben (jetzt hatten). Vorbei an allen ... von hiasewase, in Firewall
Batch & Shell
Frage: Liebes Forum, ich benötige (als Anfänger) eure Hilfe und hoffe mir kann geholfen werden. Ich habe ein Hauptverzeichnis, ein Unterverzeichniss mit gleichem Namen, dann wiederum mehrere Unterverzeichnisse und ... von karla123, in Batch & Shell
Windows Server
Frage: Hallo, Haben hier einen MFC-7360N Multifunktionscenter und muss den auf einem der Terminalserver-Clients (alles Win 2k8 R2 RDP's) einrichten zum scannen. Leider stellt Brother ihr Control Center v4 ... von xseven7, in Windows Server