Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit IPSec einrichten und verstehen

Mitglied: IT-Azad

IT-Azad (Level 1) - Jetzt verbinden

07.07.2012 um 18:12 Uhr, 24254 Aufrufe, 6 Kommentare

Hallo zusammen,

ich interessiere mich sehr für Sicherheitsthemen in der IT-Welt und jetzt
will ich mich in den Bereich VPN einarbeiten. Hoffe ich bin hier im richtigen
Bereich gelandet.

Ich habe als Testumgebung zu Hause die Möglichkeit mit einem Netgear FSM7328s,
einem Cisco Catalyst Express 500,
einer Fritzbox 7240,
2 Rechnern (Win7 Enterprise, Win7 Ultimate mit je 8GB RAM)
und VMware8.0 zu arbeiten.

Zusätzlich habe ich noch einen alten Netgear VPN FVS318,
den ich aber erst mal aussenvor lassen möchte, um mich in die Materie ohne Hardware
VPNs einzuarbeiten. Wenn irgendwann die Erfahrung größer ist besorge ich mir dann
einen gescheiten VPN Router (z.B Vigor2820?) zum testen.


Nun habe ich mir in der Theorie ausgemalt, dass ich von extern auch mal vom Laptop
oder Android Smartphone (Galaxy S Plus) per VPN Verbindung auf meinen Rechner daheim
möglichst sicher zugreifen kann.

Ich hatte an IPSec gedacht, nur habe ich folgenden Satz gelesen und der verwirrt mich
Laien etwas:
"Um einen IPSec-Tunnel zu einem Client aufzubauen, der sich hinter einem Router befindet,
muss dieser NAT-T unterstützen."


Mein Gedanke wie ich an das Ganze heran gehe war:

1. IPSec auf einem Win7 PC einrichten
2. FritzBox einrichten (FW mögliche fehlerquelle?)
3. Clients einrichten (evtl VMs?)

Möchte das ganze erst einmal verstehen (Theorie UND Praxis) und in der schlichtesten Form üben.
Also wenn möglich auch in meinem eigenen Heimnetz.Wenn ich von Außen auf meinen Server per VPN
zugreifen möchte, dann ist eine DynDNS zwingend notwendig, richtig?

Später möchte ich dann auch Zertifizierung per X.509, Radius fürs WLAN usw kennen lernen, aber
Schritt für Schritt.


Ist jemand von euch so nett und kann mich kritisieren, etwas anleiten oder aufklären?
Ich bin euch sehr dankbar.

Beste Grüße
Azad
Mitglied: transocean
07.07.2012 um 20:02 Uhr
Moin,

warum nicht die FritzeBox für VPN nehmen?

Alles Wissenswerte findest Du hier:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...


Gruß

Uwe
Bitte warten ..
Mitglied: spacyfreak
07.07.2012, aktualisiert um 20:22 Uhr
Ich hab da mal ne Anleitung geschrieben da das schon ein etwas komplizierteres Protokoll ist und ich mich da vor Jahren auch durchkämpfen musste..

https://www.administrator.de/wissen/IPSEC-Protokoll-Einsatz%2C-Aufbau%2C ...

Die NAT-T Thematik:

Zwischen 2 Standorten nimmt man in aller Regel Site-to-Site VPN.
Da wird IKE und ESP verwendet (IKE für Schlüsselaustausch, ESP für den Transport der eigentlichen Daten).

ESP ist ein Layer3 Protokoll und hat keine Ports.
Genau diese Eigenschaft macht ESP z. B. beim Zugriff von zu Hause aufs Firmennetz problematisch.

Wenn ich Remote Access VPN mache (kein Site-to-Site VPN) wird daher das ESP in UDP gekapselt, damit man
es über PAT Router (das ist so ziemlich jeder DSL Router den man daheim hat) "patten" kann.
Denn PAT (Port Address Translation) basiert darauf dass man PORTS benutzt.
Doch Ports gibts erst in OSI Layer4.


Sammlung der wichtigsten Punkte für Site-to-Site IPSEC VPNs

  • Symmetrische Encryption Domains
Heisst:
Wenn z. B. Standort1 in Dortmund mit Standort2 in Berlin VPN machen will, und Dortmund hat im LAN 10.20.30.0/24, und Berlin hat im LAN 192.168.10.0/24, muss auf beiden Seiten der VPN Verbindung die so genannte "Encryption Domain" konfiguriert werden. Die Netze müssen dabei exakt stimmen.
Ich kann auf dem Dortmunder VPN Server nicht als gegenüberliegendes Netz z. B. 192.168.0.0/16 konfigurieren, wenn in der Encryption Domain auf dem VPN Server in Berlin "192.168.10.0/24" konfiguriert ist. Die Netze die man über die VPN Verbindung erreichen möchte, müssen auf beiden Seiten gleich konfiguriert sein.
Ausserdem kann man nicht einen VPN Tunnel aufbauen zum selben Netz, z. B. wenn in Dortmund 10.10.10.0/24 und in Berlin ebenfalls 10.10.10.0/24 benutzt wird, geht das schon routingtechnisch nicht, da der Daten absendende Client ja davon ausgehen muss (nach TCP/IP-Protokoll) dass der Zielserver z. B. 10.10.10.20 im LOKALEN LAN existiert - das Ethernetframe wird also nichtmal zum lokalen VPN Server geroutet sondern bleibt in der Broadcastdomäne.

  • VPN-GW IP
Jeder VPN Teilnehmer muss natürlich die IP-Adresse des gegenüberliegenden VPN-Servers mit dem man die VPN Verbindung aufbauen will, kennen.
Da gibts jedoch auch Ausnahmen, z. B. bei DMVPN "wählt" sich der Remote Router beim zentralen VPN Server ein, und kann auch eine dynamische DSL IP haben.
Normalerweise haben jedoch idealerweise beide VPN Seiten eine feste öffentliche IP Adresse.

  • IKE/IPSEC Parameter
Auf beiden Seiten sollten die VPN Parameter übereinstimmen.
Wähle ich in Dortmund z. B. für IKE Phase 1 3DES/MD5/86400Sekunden/DH-Group5, und in Berlin AES256/MD5/5000Sekunden/DH-Group2, dann kann keine VPN Verbindung aufgebaut werden da sich beide VPN Server nicht auf passende Parameter einigen können

  • Port / Protokollfreischaltungen
Damit die VPN VErbindung aufgebaut werden kann, muss an einer Firewall die eventuell vor dem VPN Server steht, einiges geöffnet werden.
IKE (UDP500), ESP (IP-Protokoll 50), NAT-T (UDP4500 wenn man ESP in UDP kapselt) sind die wichtigsten Ports für IPSEC VPN.
Bitte warten ..
Mitglied: IT-Azad
07.07.2012 um 21:12 Uhr
Vielen herzlichen Dank für deine Mühen!!! Hast mir sehr geholfen!
Nun kann ich mir ein besseres Bild von der Thematik machen.
Auch danke für deinen Link!

Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Bitte warten ..
Mitglied: 104286
07.07.2012 um 21:35 Uhr
Hallo Azrad,

offenbar bist du noch sehr unerfahren, was IT-Foren angeht. Du wirst hier keinen finden, der dir IPSec erklärt. Die meisten haben selber keine Ahnung und den wenigen, die es können, ist es zu mühselig.

Also versuche es im Selbststudium.

Um IPsec zu üben und zu verstehen brauchst du übrigens nur einen PC und Internet. Also kauf dir nicht vorschnell neue Technik. Wenn du mal durchblickst, wirst du dich sonst ärgern.

Viel Grüße
leo
Bitte warten ..
Mitglied: aqui
08.07.2012, aktualisiert um 12:32 Uhr
Wieso ? Das oben zitierte Tutorial vom Kollegen spacyfreak erklärt es doch auch für Laien recht leicht und verständlich !
Ein weiteres Tutorial hier was das Thema mehr praxisbezogen beleuchtet findest du hier:
https://www.administrator.de/contentid/115798
Außer IPsec gäbe es noch SSL basierte VPNs wie das sehr verbreitete OpenVPN. Auch dazu findest du ein praxisbezogenes Tutorial hier:
https://www.administrator.de/contentid/123285
Ebenso zu PPTP basierten VPNs.

Damit ist es eigentlich ein Leichtes das schnell und einfach umzusetzen !
Bitte warten ..
Mitglied: spacyfreak
08.07.2012 um 20:00 Uhr
Zitat von IT-Azad:


Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?

Mit DynDNS kann man einen Server, dessen IP-Adresse sich gelegentlich ändert, mit DNS-Namen erreichen.
Sobald der Server mal wieder dynamisch eine andere IP-Adresse erhält, meldet die DynDNS Software an den DynDNS Server die neue IP-Adresse und läuft. Ist aber eher eine private Lösung.

Soweit ich dein Vorhaben verstehe willst du Remote Access VPN machen, also Windows7 IPSEC-Client soll eine VPN Verbindung mit VPN Server zb von Netgear aufbauen.
Dazu einfach die Anleitungen lesen vom Hersteller, das dürfte nicht schwierig sein sich da durchzuklicken.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Einrichten von VPN over IPSec
Frage von GetSomeOneRouter & Routing

Liebe Community, ich bin ein Kleinstunternehmer und kümmere mich selbst um mein kleines Firmennetzwerk. Bis heute bin ich ziemlich ...

Datenbanken
Ich verstehe es nicht....
gelöst Frage von orthth1Datenbanken4 Kommentare

Hallo zusammen, leider habe ich ein Problem, dass ich nicht so ganz verstehe. Ich habe in einer Prozedur viele ...

Router & Routing

Ipsec Vpn-verbindung mit Tp-link R600vpn einrichten

Frage von FlorianH8790Router & Routing6 Kommentare

Hallo, ich hätte ein paar fragen bezüglich des Einrichtens einer VPN verbindung mit dem TP-Link R600vpn Router Wenn sich ...

Router & Routing

Pfsense PPTP - IPsec VPN Server einrichten

gelöst Frage von Grave111Router & Routing7 Kommentare

Guten Tag, ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 16 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 23 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...