Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec Windows Server 2008 mit Zertifikaten

Mitglied: topa82

topa82 (Level 1) - Jetzt verbinden

04.06.2013 um 09:12 Uhr, 1706 Aufrufe, 5 Kommentare

Hallo,

vorab möchte ich etwas zur Umgebung erläutern:

In einer Einheit die dezentral steht wird eine Internet-Verbindung über ein PSI-3G-GSM-Modem aufgebaut.
Die Einheit soll per VPN an den Server angeknüpft werden, damit diese entsprechende Daten liefert und ferngewartet werden kann.

Anforderung des GSM Modems ist ( keine weiteren Optionen möglich ):

- IPSec Verbindung
- Es benötigt ein Zertifikat ( *.cert )
- Und es benötigt ein Zertifikat (*.p12) pkcs12 verschlüsselt.

Wie richte ich eine VPN Verbindung mit IPSec ein ?
Wie werden die Zertifikate erstellt ?
Wo werden diese Zertifikate auf dem Server hinterlegt ?

Ich habe bereits viele Stunden gegoogelt jedoch nur Teilansätze gefunden.
Vielleicht kann mich jemand bei diesem Vorhaben begleiten, da dieses absolutes Neuland ist.
Mitglied: aqui
04.06.2013 um 15:38 Uhr
Etwas oberflächliche Schilderung...sorry.
Soll der Router selber die VPN Verbindung herstellen, dann hilft dir dieses Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Alternativ einen OpenVPN fähigen Router der dann zwar Zertifikate aber aber SSL als Protokoll verwendet:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Wenn die "Einheit" (was auch immer das ist ?) ein Winblows OS hat, dann supportet das direkt kein natives IPsec ! Mit dem OS kannst du also kein reines IPsec VPN erstellen und scheiterst mit deinem o.a. Vorhaben !!
Einzig die L2TP Protokollversion auf Basis von IPsec supportet MS.
Wenn du also L2TP meinen solltest (geraten) dann generierst du mit deiner CA ein Zertifikat, importierst das ganz einfach mit dem MS Zertifikatmanger mit einem Mausklick...et voila...fertisch !
Sinnvoll ist das nicht sondern nur die Realisierung mit einem IPsec Router, wie den oben genannten, Draytek usw.
Bitte warten ..
Mitglied: topa82
04.06.2013 um 15:45 Uhr
Hi,

vielen Dank für die Antwort.
Es ist nicht gerade leicht zu beschreiben. Wir haben System-Einheiten im Einsatz die eine Verbindung mit einem Server aufnehmen sollen ( über VPN ).

Hier ein Link zu dem verbauten Modem/Router:

https://www.phoenixcontact.com/online/portal/de?uri=pxc-oc-itemdetail:pi ...

Vielleicht bringt das etwas Licht ins Dunkle
Bitte warten ..
Mitglied: aqui
04.06.2013, aktualisiert um 16:09 Uhr
Na ja sorry aber hast du wirklich selber mal einen Blick in das Handbuch zu diesem Router geworfen:
https://www.phoenixcontact.com/online/portal/de?uri=pxc-oc-itemdetail:pi ...
(Das 4 MB Handbuch zum Thema Firewall und VPN)
Das hätte den Thread hier eigentlich überflüssig gemacht...
Da (Seite 3-31 im Kapitel 3.7) ist es doch haarklein erklärt. Sogar noch mit Klicki Bunti Interface zum konfigurieren.
Damit bekommt auch ein Laie das hin.
Grundlagen erklärt dir das obige Tutorial bei dem du ja selber sehen kannst das die IPsec Konfig Schritte immer und immer wieder die gleichen sind, egal welche HW man verwendet.
So ist es auch mit deiner Industriegurke da !!
Allgemeine Protokollinfos zu IPsec gibt dir noch dieses Forumstutorial hier:
https://www.administrator.de/contentid/73117

Damit hast du doch nun alles an der Hand um das in 10 Minuten mit ein paar Mausklicks zum Fliegen zu bringen ?!
Wo ist denn nun dein wirkliches Problem ?
Bitte warten ..
Mitglied: topa82
05.06.2013 um 08:30 Uhr
Hm..... vielleicht noch nicht deutlich genug.
Es geht mir hier um die Einstellungen am Server 2008.
Wo kommen die erstellen Zertifikate hin ?

Der Router ist gar nicht das Problem, aber da ich einen VM-Ware Server in einem Rechenzentrum betreibe kann ich kein externes Gerät ( Router ) verwenden. Und in deinem oben genannten Tutorial geht es um einen Cisco Router.

Die Einstellungen am Server 2008 sind das entscheidende !
Bitte warten ..
Mitglied: aqui
05.06.2013 um 11:08 Uhr
Doch, war schon deutlich genug nur du hast vermutlich nicht verstanden weil dir die Grundkenntnisse fehlen...vermutlich ?!
Ein Windows Server supportet kein natives IPsec !! Eine direkte Einwahl von den Industrie VPN Routern oben auf einem Winblows Server ist also technisch unmöglich !
Winblows supportet nur L2TP was für den Datentunnel ESP benutzt was dann zwar IPsec Protokolle benutzt aber NICHT kompatibel zu nativem IPsec ist. (PPTP ist indiskutabel auf Windows da geknackt)
Das kannst du also vergessen, denn technisch nicht kompatibel !

Abgesehen davon ist das auch eine denkbar schlechte Lösung und wird so nicht gemacht, denn der Server befindet sich ja meist hinter einer NAT Firewall was dann Gefrickel mit Port Forwarding usw. nach sich zieht.
Sinnvoll lässt man also die VPNs der Industrierouter von oben AUCH auf einem IPsec fähigen Router oder Firewall enden wie es heutzutage üblich ist.
Das obige Tutorial zeigt dir eine Auswahl dieser Router / Firewalls und deren wasserdichte Konfiguration zum abtippen.
Auch ein Draytek Router, FritzBox usw. supporten IPsec.
So wird ein Schuh draus !! Oder war das wieder falsch verstanden ?!
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2008 R2 - Remotedesktopdienste - Zertifikat

Frage von chrrs83Windows Server2 Kommentare

Hi, ich habe hier eine TS-Farm bestehend aus 2 Terminalserver und 1 Verbindungsbroker. Sobald sich ein Nutzer via Remotedesktop ...

Netzwerke

2tes Zertifikat für die RDP auf einen Windows Server 2008

gelöst Frage von proschNetzwerke14 Kommentare

Hallo liebes Forum, ich habe eine Frage bezüglich der Zertifikate für Windows Server 2008. Ich benötigte ein zweites Zertifikat ...

Windows Server

Zertifikat Windows Home Server

Frage von Huibuh2010Windows Server7 Kommentare

Hallo liebe Admins, ich hab von mein Vorgänger ein Kunden übernommen und nun kommt bei der RDP Verbindung eine ...

LAN, WAN, Wireless

IPSec VPN mit RADIUS Authentifizierung (Zertifikate basiert)

Frage von chfranLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich möchte gerne eine Installation aufbauen, in der in Außenstellen arbeitende CPEs (Cisco auf Basis von IOS) ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 6 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 6 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server15 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...