108436
Goto Top

Welches VPN ist Möglich?

Guten Abend
kleine frage an euch,
ich bräuchte für meine Freundin eine Möglichkeit ihren SMB share bei ihr zuhause (50KM entfernt) zu Benutzen.
Der Server steht bei mir im keller. eine 100.000 VDSL habe ich.
Folgendes Szenario.
Habe einen Hyper-V auf 2008R2 Basis.
Darauf läuft:
-DC 2008R2 mit dns
-Exchange 2010 2008R2 (OWA auf Port 443)
-Webserver unter Ubuntu Port 80
-VPN Server auf 2012R2

Ich bräuchte die Möglichkeit, mit dem Iphone in das VPN zu kommen.
Daher kommen nur noch IPSEC in frage.

Meine Fritzbox hat aber Port 443 Schon auf den Exchange Freigegeben.
Wie kann dass funktionieren ?
owa ist erforderlich.

MfG

Content-Key: 282159

Url: https://administrator.de/contentid/282159

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Philipp711
Philipp711 06.09.2015 aktualisiert um 21:32:21 Uhr
Goto Top
Hi,

wenn ich das richtig verstehe hast du schon einen funktionierenden VPN-Server installiert?

In dieser Anleitung steht eigentlich alles was du brauchst:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Ein reines IPSec Site-to-Site-VPN hat Probleme mit dem NAT. Dafür kann auf den meisten Routern einen VPN-Passtrough definiert werden - weiß allerdings nicht ob das die FritzBox her gibt. Oder du arbeitest mit NAT-Transversal...
Mitglied: 108436
108436 06.09.2015 um 21:30:45 Uhr
Goto Top
Hi
also der Server ist noch unkonfiguriert.
ich hatte es mit SSTP versucht, bin aber mit der port weiterleitung nicht hingekommen.
da ja port 443 und 80 schon belegt sind
Mitglied: Philipp711
Philipp711 06.09.2015 aktualisiert um 21:34:56 Uhr
Goto Top
Nochmal: Willst du ein Site-to-Site-VPN bauen? Oder soll es ein Site-to-End werden?
Mitglied: 108436
108436 06.09.2015 um 21:53:36 Uhr
Goto Top
ich will ein Site-to-Site-VPN bauen
habe gelesen ich für L2TP muss:
Port 500 UDP
Port 4500 UDP
Protokollkennung 50 für ESP-Verschlüsselung
Fritzchen 7490 kann ESP
Mitglied: Philipp711
Philipp711 06.09.2015 aktualisiert um 22:25:18 Uhr
Goto Top
Naja dann brauchst du auch erst einmal einen entsprechenden VPN-Server/VPN-Router in dem anderen Netzwerk. Der Router in dem anderen Netzwerk muss logischerweise auch mit NAT-T bzw. einem VPN-Passt. umgehen können.

Wenn du das alles hast, kannst du das Site-to-Site bauen...gibt ja genügend Anleitungen dafür im Internet...
Mitglied: 108436
108436 06.09.2015 um 23:21:48 Uhr
Goto Top
Hi
An die Anleitungen habe ich mich gehalten
Allerdings habe ich bei sstp nicht ganz verstanden mit Port 443 und 80
Da ja beide fürs vpn benötigt werden aber Exchange und Webserver brauchen diese ja auch
Mitglied: StefanKittel
StefanKittel 07.09.2015 aktualisiert um 07:49:05 Uhr
Goto Top
Moin,

Was denn nun?
Erst schreibst Du Site2Site und dann SSL-VPN.
Und IPSec nutzt kein 443.

Bei SSL-VPN musst Du das mit dem Port überlegen.
Entweder SSL-VPN oder Exchange auf den Standardports.
Eines muss andere Ports verwenden.

Schau mal ob Du im VPN Clients einen anderen Port eingeben kannst.
Wenn ja würde ich dort den Port ändern, sonst notgedrungen beim Exchange.

Viele Grüße

Stefan
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 07.09.2015 um 08:45:20 Uhr
Goto Top
Ich fasse mal zusammen:

Port 443 und 80 sind besetzt.
Du hast eine 100k VDSL und es ist nicht bekannt, wie die öffentliche IP darauf eingerichtet ist (statisch, Dualstack etc).

--> Es empfiehlt sich ein VPN zu nutzen, was tunlichst nur einen Kontrollport braucht und mit obiger Leitungskonfiguration klarkommt.

Ergebnis:
OpenVPN oder SoftEther VPN Server mit SSL-Konfig.

Einen SSL-VPN kannst Du auch über einen alternativen Port routen. Du musst dann nur den Client entsprechend einstellen.
Der SoftEther beherrscht das recht gut.

OpenVPN zeigt auch als sinnvoll, weil es mit einem Port klarkommt und zu dem mit Dualstack keine allzugroßen Probleme macht.

Meine Empfehlung:
Setze auf CentOS einen SoftEther VPN Server auf. Der sollte Deine Probleme allesamt erschlagen, wenn Du die Ports richtig konfigurierst
und durch Deinen Router weiterleitest.
Mitglied: killtec
killtec 07.09.2015 um 09:48:22 Uhr
Goto Top
Hi,
mal ne andere Blöde Frage... Du hast eine Fritzbox, was steht denn bei deiner Feundin? Auch eine? Warum dann nicht das Site2Site VPN direkt von der Fritzbox verwenden?

Gruß
Mitglied: aqui
aqui 07.09.2015 aktualisiert um 10:06:13 Uhr
Goto Top
Daher kommen nur noch IPSEC in frage.
Das ist Unsinn, PPTP kann das iPhone auch !
VPNs einrichten mit PPTP
Allerdings solltest du ein Passwort mt mindesten 12 Stellen verwenden, denn PPTP ist nicht mehr gaaanz so sicher aber für die Freundin reichts vermutlich....
Zum Rest ist ja schon alles gesagt hier...
Mitglied: goscho
goscho 07.09.2015 um 11:39:18 Uhr
Goto Top
Moin,

das Eiertelefon kann auch per L2TP/IPSEC mit dem VPN-Server verbunden werden.
Hier mal was von Apple dazu.

PS: Mein Favorit wäre auch ein Site-to-Site zwischen den Routern (bspw. FB + FB), bzw. ein Cisco IPSEC vom Iphone zur FB.
Mitglied: 108436
108436 07.09.2015 um 16:20:42 Uhr
Goto Top
Hi Zusammen
also:
meine freundin hat einen Speedport /723v)
ich dachte an etws verschlüsseltes, da sie ihre privaten dateien dort abspeichert.
Folglich habe ich heute L2TP/IPSEC auf meinem 2012r2 versucht.
allerdings bekomme ich keine Verbindung:
Meldung:Server kann nicht erreicht werden(Iphone 6)
der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsstufe ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit ...(Win 10)
Mitglied: 117471
117471 07.09.2015 um 16:57:26 Uhr
Goto Top
Also, löse dich erst einmal von dem Gedanken, dass Port 80 und 443 irgend etwas mit dem IPSec-VPN zu tun haben. Es ist in dem Fall egal, ob die "belegt" sind oder irgendwie weitergeleitet werden.

Bei einigen Fritz!Boxen verhält es sich so, dass ERP bzw. die Ports vom internen VPN der Fritz!Box abgefischt werden - auch dann, wenn sie als Freigabe eingerichtet sind.

In dem Fall bietet es sich an, das VPN auf der Fritz!Box komplett zu löschen. "Nur die VPN-Zugänge deaktivieren" reicht da m.W. nicht aus.
Mitglied: aqui
aqui 09.09.2015 um 17:27:45 Uhr
Goto Top
Mein Favorit wäre auch ein Site-to-Site zwischen den Routern (bspw. FB + FB), bzw. ein Cisco IPSEC vom Iphone zur FB.
Findet man auch bei AVM direkt:
http://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...