4
Windows 2008 L2TP Server mit Openswan IPSec VPN benutzen
Hi.
Ich benutze einen Openswan IPSec Server für eine Netz zu Netz Verbindung zwischen zwei Standorten. Die Autorisierung läuft über Zertifikate.
Zusätzlich muss ich jetzt noch VPNs für verschiedene Windows Clients zur Verfügung stellen. Ich habe mich entschieden die L2TP-IPSec Variante zu benutzen.
Der L2TP Server soll allerdings von einem Windows Server 2008 System gestellt werden, da ich so die Windows Benutzerautorisierung direkt verwenden kann... Der RAS Dienst ist darauf konfiguriert Verbindungen auf den L2TP Ports anzunehmen. Außerdem hab ich im Netzwerkrichtlinienserver eine Richtlinie hinzugefügt, die L2TP Verbindungen erlaubt.
Der Verschlüsselungsteil funktioniert. Openswan nimmt die Verbindung an, dann kommt das 1. L2TP Paket an. Dieses wird von der Firewall angenommen und via DNAT an den Windows Server geschickt - es kommt dort natürlich auch an. Allerdings beantwortet RAS dieses Paket nicht!
Ich habe festgestellt, dass der RAS Dienst den Port 1701 UDP gar nicht direkt abhört... Offenbar muss der Windows Server die Verbindung zuerst selbst via ESP Protokoll annehmen um das Paket dann intern an den RAS Dienst weiterzuleiten.
Lange Rede, kurzer Sinn... Wie kann ich das System so umkonfigurieren, dass die L2TP Pakete nicht per IPSec sondern direkt an den Server geschickt werden können? Bzw. ist das überhaupt möglich?
Greets,
Martin.
Ich benutze einen Openswan IPSec Server für eine Netz zu Netz Verbindung zwischen zwei Standorten. Die Autorisierung läuft über Zertifikate.
Zusätzlich muss ich jetzt noch VPNs für verschiedene Windows Clients zur Verfügung stellen. Ich habe mich entschieden die L2TP-IPSec Variante zu benutzen.
Der L2TP Server soll allerdings von einem Windows Server 2008 System gestellt werden, da ich so die Windows Benutzerautorisierung direkt verwenden kann... Der RAS Dienst ist darauf konfiguriert Verbindungen auf den L2TP Ports anzunehmen. Außerdem hab ich im Netzwerkrichtlinienserver eine Richtlinie hinzugefügt, die L2TP Verbindungen erlaubt.
Der Verschlüsselungsteil funktioniert. Openswan nimmt die Verbindung an, dann kommt das 1. L2TP Paket an. Dieses wird von der Firewall angenommen und via DNAT an den Windows Server geschickt - es kommt dort natürlich auch an. Allerdings beantwortet RAS dieses Paket nicht!
Ich habe festgestellt, dass der RAS Dienst den Port 1701 UDP gar nicht direkt abhört... Offenbar muss der Windows Server die Verbindung zuerst selbst via ESP Protokoll annehmen um das Paket dann intern an den RAS Dienst weiterzuleiten.
Lange Rede, kurzer Sinn... Wie kann ich das System so umkonfigurieren, dass die L2TP Pakete nicht per IPSec sondern direkt an den Server geschickt werden können? Bzw. ist das überhaupt möglich?
Greets,
Martin.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116967
Url: https://administrator.de/contentid/116967
Printed on: April 23, 2024 at 21:04 o'clock
4 Comments
Latest comment
Du bringst da vermutlich was durcheinander.... L2TP hat keine Verschlüsselung mit an Bord, deshalb nutzt MS L2TP over IPsec in seiner L2TP Implementation.
http://technet.microsoft.com/en-us/library/cc977622.aspx
IPsec ist also IMMER zwingender Bestandteil von der MS L2TP Lösung und benutzt somit als Transporttunnel immer IPsec.
In sofern ist deine Frage oben also etwas unverständlich und verwirrend !!
http://technet.microsoft.com/en-us/library/cc977622.aspx
IPsec ist also IMMER zwingender Bestandteil von der MS L2TP Lösung und benutzt somit als Transporttunnel immer IPsec.
In sofern ist deine Frage oben also etwas unverständlich und verwirrend !!
Ne ich bringe nichts durcheinander. Natürlich hat L2TP keine Verschlüsselung...
Eventuell hab ich mir angewöhnt etwas zu viele Infos zu geben.
Also die Kernfrage:
Kann ich den RAS Dienst, bzw. irgend eine Richtlinie im Server 2008, so einstellen das ich L2TP ohne IPSec auf dem Windows Server nutzen kann? (Der IPSec teil wird von Openswan auf einem Linux Server realisiert)
Also so dass der RAS Dienst Pakete am Port 1701 annimmt...
Um es ganz deutlich zu machen:
IPSec soll nicht vom Windows Server übernommen werden. Der IPSec Teil soll über Openswan laufen und zwar mit L2TP vom RAS Dienst des Windows Servers. Also insgesamt natürlich L2TP over IPSec.
Greets,
Martin.
Eventuell hab ich mir angewöhnt etwas zu viele Infos zu geben.
Also die Kernfrage:
Kann ich den RAS Dienst, bzw. irgend eine Richtlinie im Server 2008, so einstellen das ich L2TP ohne IPSec auf dem Windows Server nutzen kann? (Der IPSec teil wird von Openswan auf einem Linux Server realisiert)
Also so dass der RAS Dienst Pakete am Port 1701 annimmt...
Um es ganz deutlich zu machen:
IPSec soll nicht vom Windows Server übernommen werden. Der IPSec Teil soll über Openswan laufen und zwar mit L2TP vom RAS Dienst des Windows Servers. Also insgesamt natürlich L2TP over IPSec.
Greets,
Martin.
Nein, das geht nicht, denn wie bereits oben erwähnt nutzt Windows in seiner L2TP Implementation fest den RFC 3193
http://tools.ietf.org/html/rfc3193
Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !
Die Frage ist warum du nicht dein OpenSwan IPsec auch für die Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft:
http://www.shrew.net/
oder Gate Protect:
http://www.gateprotect.com/de/vpn_download.php
Damit ersparst du dir doch die Frickelei ?!
http://tools.ietf.org/html/rfc3193
Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !
Die Frage ist warum du nicht dein OpenSwan IPsec auch für die Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft:
http://www.shrew.net/
oder Gate Protect:
http://www.gateprotect.com/de/vpn_download.php
Damit ersparst du dir doch die Frickelei ?!
Zitat von @aqui:
Nein, das geht nicht [...]
Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !
Nein, das geht nicht [...]
Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !
Aha. Das hab ich mir schon bald gedacht. Ist ja auch nicht schlimm.
Ich hab jetzt eine etwas andere Lösung gewählt:
Der L2TP Dienst läuft jetzt auch in Linux. Ich nutze OpenL2TP (http://www.openl2tp.org) via der pppol2tp Kernelerweiterung. Die Nutzerautorisierung mache ich über RADIUS am Windows Server (NPS). Das Funktioniert sehr gut. Bis auf zwei Dinge die mich ein wenig stören. Zum einen muss ich PAP benutzen, weil es sonst nicht geht (Für CHAP/MSCHAP müssten die Kennwörter wohl im Klartext auf dem Server liegen). Außerdem finde ich die Zuweisung von IPs nicht gut gelöst.
Eigentlich habe ich die OpenL2TP Dokumentation so verstanden, dass RADIUS auch die festzulegende IP Addresse an den Client sendet. Allerdings hat das nicht geklappt und ich musste noch einen zusätlichen IPPool Dienst installieren.
Die Frage ist warum du nicht dein OpenSwan IPsec auch für die
Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft ...
Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft ...
Das ist allerdings eine sehr gute Frage... Wahrscheinlich, weil ich mich zu sehr auf die Nutzerautorisierung konzentriert hab und völlig vergaß das es ja für IPSec noch die XAUTH Erweiterung gibt.
Da kann ich dann ja vielleicht auch DHCP nutzen und die Autorisierung auch über RADIUS machen.
Greets,
Martin.
