Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 L2TP Server mit Openswan IPSec VPN benutzen

Mitglied: martin2002

martin2002 (Level 1) - Jetzt verbinden

27.05.2009, aktualisiert 20:17 Uhr, 6873 Aufrufe, 4 Kommentare

Hi.

Ich benutze einen Openswan IPSec Server für eine Netz zu Netz Verbindung zwischen zwei Standorten. Die Autorisierung läuft über Zertifikate.
Zusätzlich muss ich jetzt noch VPNs für verschiedene Windows Clients zur Verfügung stellen. Ich habe mich entschieden die L2TP-IPSec Variante zu benutzen.
Der L2TP Server soll allerdings von einem Windows Server 2008 System gestellt werden, da ich so die Windows Benutzerautorisierung direkt verwenden kann... Der RAS Dienst ist darauf konfiguriert Verbindungen auf den L2TP Ports anzunehmen. Außerdem hab ich im Netzwerkrichtlinienserver eine Richtlinie hinzugefügt, die L2TP Verbindungen erlaubt.

Der Verschlüsselungsteil funktioniert. Openswan nimmt die Verbindung an, dann kommt das 1. L2TP Paket an. Dieses wird von der Firewall angenommen und via DNAT an den Windows Server geschickt - es kommt dort natürlich auch an. Allerdings beantwortet RAS dieses Paket nicht!
Ich habe festgestellt, dass der RAS Dienst den Port 1701 UDP gar nicht direkt abhört... Offenbar muss der Windows Server die Verbindung zuerst selbst via ESP Protokoll annehmen um das Paket dann intern an den RAS Dienst weiterzuleiten.

Lange Rede, kurzer Sinn... Wie kann ich das System so umkonfigurieren, dass die L2TP Pakete nicht per IPSec sondern direkt an den Server geschickt werden können? Bzw. ist das überhaupt möglich?

Greets,
Martin.
Mitglied: aqui
28.05.2009 um 09:57 Uhr
Du bringst da vermutlich was durcheinander.... L2TP hat keine Verschlüsselung mit an Bord, deshalb nutzt MS L2TP over IPsec in seiner L2TP Implementation.

http://technet.microsoft.com/en-us/library/cc977622.aspx

IPsec ist also IMMER zwingender Bestandteil von der MS L2TP Lösung und benutzt somit als Transporttunnel immer IPsec.

In sofern ist deine Frage oben also etwas unverständlich und verwirrend !!
Bitte warten ..
Mitglied: martin2002
28.05.2009 um 13:00 Uhr
Ne ich bringe nichts durcheinander. Natürlich hat L2TP keine Verschlüsselung...
Eventuell hab ich mir angewöhnt etwas zu viele Infos zu geben.

Also die Kernfrage:
Kann ich den RAS Dienst, bzw. irgend eine Richtlinie im Server 2008, so einstellen das ich L2TP ohne IPSec auf dem Windows Server nutzen kann? (Der IPSec teil wird von Openswan auf einem Linux Server realisiert)
Also so dass der RAS Dienst Pakete am Port 1701 annimmt...

Um es ganz deutlich zu machen:
IPSec soll nicht vom Windows Server übernommen werden. Der IPSec Teil soll über Openswan laufen und zwar mit L2TP vom RAS Dienst des Windows Servers. Also insgesamt natürlich L2TP over IPSec.

Greets,
Martin.
Bitte warten ..
Mitglied: aqui
29.05.2009 um 11:03 Uhr
Nein, das geht nicht, denn wie bereits oben erwähnt nutzt Windows in seiner L2TP Implementation fest den RFC 3193
http://tools.ietf.org/html/rfc3193

Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !

Die Frage ist warum du nicht dein OpenSwan IPsec auch für die Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft:
http://www.shrew.net/
oder Gate Protect:
http://www.gateprotect.com/de/vpn_download.php

Damit ersparst du dir doch die Frickelei ?!
Bitte warten ..
Mitglied: martin2002
29.05.2009 um 15:39 Uhr
Zitat von aqui:
Nein, das geht nicht [...]

Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !

Aha. Das hab ich mir schon bald gedacht. Ist ja auch nicht schlimm.
Ich hab jetzt eine etwas andere Lösung gewählt:
Der L2TP Dienst läuft jetzt auch in Linux. Ich nutze OpenL2TP (http://www.openl2tp.org) via der pppol2tp Kernelerweiterung. Die Nutzerautorisierung mache ich über RADIUS am Windows Server (NPS). Das Funktioniert sehr gut. Bis auf zwei Dinge die mich ein wenig stören. Zum einen muss ich PAP benutzen, weil es sonst nicht geht (Für CHAP/MSCHAP müssten die Kennwörter wohl im Klartext auf dem Server liegen). Außerdem finde ich die Zuweisung von IPs nicht gut gelöst.
Eigentlich habe ich die OpenL2TP Dokumentation so verstanden, dass RADIUS auch die festzulegende IP Addresse an den Client sendet. Allerdings hat das nicht geklappt und ich musste noch einen zusätlichen IPPool Dienst installieren.

Die Frage ist warum du nicht dein OpenSwan IPsec auch für die
Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft ...

Das ist allerdings eine sehr gute Frage... Wahrscheinlich, weil ich mich zu sehr auf die Nutzerautorisierung konzentriert hab und völlig vergaß das es ja für IPSec noch die XAUTH Erweiterung gibt.
Da kann ich dann ja vielleicht auch DHCP nutzen und die Autorisierung auch über RADIUS machen.

Greets,
Martin.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

LAN, WAN, Wireless

VPN (bevorzugt mit IPSec L2TP) von Windows-Notebook zu Digitalisierungsbox

gelöst Frage von SinzalLAN, WAN, Wireless9 Kommentare

Hallo Admins, ich habe einen Kunden mit Digitalisierungsbox, der von seinem Notebook (Win 8.1) aus dem Web auf sein ...

LAN, WAN, Wireless

L2TP-IPsec VPN pfSense 2.3

gelöst Frage von maddigLAN, WAN, Wireless6 Kommentare

Hallo, ich bin zurzeit am versuchen einen VPN Server mit L2TP/IPsec zum laufen zu bringen. Die meisten Tutorials basieren ...

Netzwerke

VPN DHCP IPSec im Vergleich zu L2TP over IPSec

Frage von TomJonesNetzwerke1 Kommentar

Moin zusammen, wenn ich per DHCP IP-Adressen an meine VPN Klienten zuweisen möchte, benötige ich dann zwingend L2TP over ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 3 StundenWindows 102 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 6 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 23 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...