10
Windows Server 2012 R2 VPN, IPSec, Verzweiflung
Hallo ihr Profis,
ich versuche seit geraumer Zeit einen Tunnel aufzubauen - leider gelingt mir das nicht ;(
Ich habe hier einen Windows Server 2012 R2 Standard, welcher als Root-Server bei einem Hoster steht.
EDIT: Dieser Server soll beim Versuch bestimmte IP-Adressen zu erreichen (siehe unten) einen Tunnel aufbauen, es geht nicht darum, einen VPN-Server zu betreiben, sondern einen Tunnel zu einem anderen Server aufzubauen, welcher mit unten stehende Konfiguration vorgibt
Das sind die Vorgaben des Tunnels:
General
IKE (Phase 1)
IPSec (Phase 2)
und dann habe ich halt noch eine liste mit den bereichen:
Was habe ich bisher gemacht:
- natürlich gegoogelt
daraufhin habe ich mittels MMC in den IP-Sicherheitsrichtlinien versucht Richtlinien anzulegen, die meisten der Einstellungen habe ich sogar gefunden, einige nicht, habe die Richtlinie auch zugewiesen, aber leider hat es nicht gebracht ...
dann habe ich gelesen, dass man das auch in der Firewall einstellen kann, also in die Firewall, verbindungssicherheitsregeln, und versucht das dort zu konfigurieren, leider gescheitert ...
dann habe ich just4fun noch die Möglichkeit angesehen im Netzwerk & Freigabecenter eine neue VPN-Verbindung anzulegen, aber da scheine ich mich völlig auf dem falschen Dampfer zu befinden, schon allein deswegen, weil hier Benutzername und Passwort zwingend erforderlich sind ....
kann mir jemand sagen, wie man so was zu konfigurieren hat?
bei der ganzen konfiguriererei ist mir auch aufgefallen, dass ich nirgens die Hellmann-Group 5 auswählen kann, meist nur 1, 2, 14, etc ... könnte hier ein grundlegendes Problem bestehen?
UPDATE: die Vorgaben werden auf Hellmann-Group 14 geändert, in der Hoffnung, dass ich es mit eingerichtet bekomme ... auch Gruppe 2 wäre alternativ möglich
nach Möglichkeit würde ich das ganze gern mit boardmitteln lösen, zur not nehme ich aber auch gern Empfehlungen entgegen ;)
Vielen Dank schonmal für eure Mühen!
ich versuche seit geraumer Zeit einen Tunnel aufzubauen - leider gelingt mir das nicht ;(
Ich habe hier einen Windows Server 2012 R2 Standard, welcher als Root-Server bei einem Hoster steht.
EDIT: Dieser Server soll beim Versuch bestimmte IP-Adressen zu erreichen (siehe unten) einen Tunnel aufbauen, es geht nicht darum, einen VPN-Server zu betreiben, sondern einen Tunnel zu einem anderen Server aufzubauen, welcher mit unten stehende Konfiguration vorgibt
Das sind die Vorgaben des Tunnels:
General
| Tunnel Type: | IPSec |
| Authentication Method: | PSK (Pre-Shared-Key) |
| Mode: | Main Mode |
| Encryption Algorithm: | AES-256 |
| Hash Algorithm: | SHA1 |
| Diffie-Hellmann (DH) Group: | Group 5 |
| Lifetime: | 86400 sec |
| IKE keepalives | Yes |
| Mode | Tunnel |
| Protocol | ESP |
| Encryption Algorithm: | AES-256 |
| MAC-Algorithm for Authentication | SHA1 (ESP-SHA-HMAC) |
| Perfect Forward Secrecy (PFS) | Yes (DH Group 5) |
| SA Lifetime | 86400 sec |
| Tunnel Termination Endpoints | 123.123.123.123 & 234.234.234.234 |
| Encryption Domains (SAs) (see following table) | 17x.xx.91.40 /29 |
und dann habe ich halt noch eine liste mit den bereichen:
| description | IP-range (with mask) | Type |
| Adr_17x-xx-1-90_M32 | 17x.xx.1.90/32 | Address |
| Netz_17x-xx-22-192_M26 | 17x.xx.22.192/26 | Network |
| Netz_17x-xx-37-0_M24 | 17x.xx.37.0/24 | Network |
| Netz_17x-xx-39-192_M26 | 17x.xx.39.192/26 | Network |
| Netz_17x-xx-44-0_M24 | 17x.xx.44.0/24 | Network |
| Netz_17x-xx-45-0_M24 | 17x.xx.45.0/24 | Network |
| Netz_17x-xx-46-0_M24 | 17x.xx.46.0/24 | Network |
| Netz_17x-xx-58-0_M24 | 17x.xx.58.0/24 | Network |
Was habe ich bisher gemacht:
- natürlich gegoogelt
daraufhin habe ich mittels MMC in den IP-Sicherheitsrichtlinien versucht Richtlinien anzulegen, die meisten der Einstellungen habe ich sogar gefunden, einige nicht, habe die Richtlinie auch zugewiesen, aber leider hat es nicht gebracht ...
dann habe ich gelesen, dass man das auch in der Firewall einstellen kann, also in die Firewall, verbindungssicherheitsregeln, und versucht das dort zu konfigurieren, leider gescheitert ...
dann habe ich just4fun noch die Möglichkeit angesehen im Netzwerk & Freigabecenter eine neue VPN-Verbindung anzulegen, aber da scheine ich mich völlig auf dem falschen Dampfer zu befinden, schon allein deswegen, weil hier Benutzername und Passwort zwingend erforderlich sind ....
kann mir jemand sagen, wie man so was zu konfigurieren hat?
bei der ganzen konfiguriererei ist mir auch aufgefallen, dass ich nirgens die Hellmann-Group 5 auswählen kann, meist nur 1, 2, 14, etc ... könnte hier ein grundlegendes Problem bestehen?
UPDATE: die Vorgaben werden auf Hellmann-Group 14 geändert, in der Hoffnung, dass ich es mit eingerichtet bekomme ... auch Gruppe 2 wäre alternativ möglich
nach Möglichkeit würde ich das ganze gern mit boardmitteln lösen, zur not nehme ich aber auch gern Empfehlungen entgegen ;)
Vielen Dank schonmal für eure Mühen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 227218
Url: https://administrator.de/contentid/227218
Printed on: April 24, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hallo,
wie schon immer bei MS-Servern die VPN-Server sein sollen, muss die Rolle/Funktion installiert, konfiguriert und aktiviert werden.
Schaust Du hier.
http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server ...
Gruß
Chonta
wie schon immer bei MS-Servern die VPN-Server sein sollen, muss die Rolle/Funktion installiert, konfiguriert und aktiviert werden.
Schaust Du hier.
http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server ...
Gruß
Chonta
Hallo Chonta,
sorry, was ich gerade eben erst gesehen habe, es geht auf meine Post nicht konkret hervor, was ich machen will, es soll nämlich kein VPN-Server eingerichtet werden, sondern ein Tunnel zu einem anderen Server eingerichtet werden
LG
sorry, was ich gerade eben erst gesehen habe, es geht auf meine Post nicht konkret hervor, was ich machen will, es soll nämlich kein VPN-Server eingerichtet werden, sondern ein Tunnel zu einem anderen Server eingerichtet werden
LG
Hi,
nur als Idee:
hmm, kann ein Server 2012 R2 überhaupt ein VPN-Client sein?
Noch nie probiert ...
Es würde es eher über die "neue VPN-Verbindung" oder einen VPN-Client wie ShrewSoft versuchen, aber ob das dann automatisch den Tunnel aufbaut???
VG
Deepsys
nur als Idee:
hmm, kann ein Server 2012 R2 überhaupt ein VPN-Client sein?
Noch nie probiert ...
Es würde es eher über die "neue VPN-Verbindung" oder einen VPN-Client wie ShrewSoft versuchen, aber ob das dann automatisch den Tunnel aufbaut???
VG
Deepsys
Hallo,
wenn ein VPN zwischen 2 Servern aufgebaut ist der Server ja auch automatisch ein Client
.
Habe gerade keinen Server 2012 bereit zum testen.
Um die Routing und Ras Rolle wirst Du nicht drum rumkommen.
Gruß
Chonta
wenn ein VPN zwischen 2 Servern aufgebaut ist der Server ja auch automatisch ein Client
.Habe gerade keinen Server 2012 bereit zum testen.
Um die Routing und Ras Rolle wirst Du nicht drum rumkommen.
Gruß
Chonta
1
Huhu,
als Start würde es mir schon helfen, wenn ich wüsste an welcher stelle ich das konfigurieren muss:
Firewall - Verbindungssicherheitsregeln
IP-Sicherheitsrichtlinien
oder über VPN-Einwahl
oder mehreres?
ich verstehe die ersten beiden punkte so: wenn versucht wird eine Verbindung zu IP xxx.xxx.xxx.xxx aufzubauen, und diese in der liste enthalten ist, dann versuche diese IP über folgende Regeln zu erreichen, eben indem IP xy (Tunnelendpunkt) kontaktiert wird, ein Tunnel aufgebaut wird, und die IP durch den Tunnel versucht anzusprechen
LG und danke schonmal für die Anteilnahme ;)
als Start würde es mir schon helfen, wenn ich wüsste an welcher stelle ich das konfigurieren muss:
Firewall - Verbindungssicherheitsregeln
IP-Sicherheitsrichtlinien
oder über VPN-Einwahl
oder mehreres?
ich verstehe die ersten beiden punkte so: wenn versucht wird eine Verbindung zu IP xxx.xxx.xxx.xxx aufzubauen, und diese in der liste enthalten ist, dann versuche diese IP über folgende Regeln zu erreichen, eben indem IP xy (Tunnelendpunkt) kontaktiert wird, ein Tunnel aufgebaut wird, und die IP durch den Tunnel versucht anzusprechen
LG und danke schonmal für die Anteilnahme ;)
Hi mech01,
dein Vorhaben kann nicht funktionieren, da der Windows-Server kein IPSEC-VPN v1 unterstützt und IPSEC v2 wird wohl die Gegenstelle nicht wollen.
Die Idee mit dem Shrew-Client ist wohl die einfachste und beste Lösung.
Unter Windows 8 läuft Shrew, wird dann unter Server 2012 auch gehen.
dein Vorhaben kann nicht funktionieren, da der Windows-Server kein IPSEC-VPN v1 unterstützt und IPSEC v2 wird wohl die Gegenstelle nicht wollen.
Die Idee mit dem Shrew-Client ist wohl die einfachste und beste Lösung.
Unter Windows 8 läuft Shrew, wird dann unter Server 2012 auch gehen.
Hallo goscho,
ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?
ich hab mittlerweile mal ein wenig weiter geforscht, und von den einstellungsmöglichkeiten scheint mir die Windows Firewall der richtige anlaufpunkt zu sein
in den grundeigenschaften der Firewall im letzten Reiter "IPSec" kann man die verwendeten verschlüsselungen und hash-algos festlegen, dann kann man in der Firewall - verbinsungssicherheitsregeln entsprechend regeln erstellen, für welche ip-adressen er einen tunnel aufbauen soll ...
ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber hinaus) bin ich natürlich für jeden tipp dankbar ;)
ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?
ich hab mittlerweile mal ein wenig weiter geforscht, und von den einstellungsmöglichkeiten scheint mir die Windows Firewall der richtige anlaufpunkt zu sein
in den grundeigenschaften der Firewall im letzten Reiter "IPSec" kann man die verwendeten verschlüsselungen und hash-algos festlegen, dann kann man in der Firewall - verbinsungssicherheitsregeln entsprechend regeln erstellen, für welche ip-adressen er einen tunnel aufbauen soll ...
ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber hinaus) bin ich natürlich für jeden tipp dankbar ;)
Moin
ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?
Natürlich meinte ich das, sorry.ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu
pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur
spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber
hinaus) bin ich natürlich für jeden tipp dankbar ;)
Ich lasse dich weiter rumprobieren, denke jedoch, dass es nicht zum Erfolg führen wird.pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur
spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber
hinaus) bin ich natürlich für jeden tipp dankbar ;)
huhu goscho
also laut http://technet.microsoft.com/de-de/library/hh831807.aspx:
For example, in Windows Server 2012, IKEv2 does the following:
[...]
Coexists with existing policies that deploy AuthIP/IKEv1
[...]
ich habe auch verschiedene Einstellungen gefunden, wo explizit IKEv2 steht, aber nirgens habe ich bisher gefunden, dass win 2012 KEIN IKEv1 unterstützt ...
es ist aber gut zu wissen, dass diese Möglichkeit bestehen könnte, ich hoffe jedoch, dass du unrecht hast ;)
habe heute leider noch keine rückmeldung bekommen, dass der tunnelserver auf der Gegenseite fertig konfiguriert ist, daher konnte ich es heute leider noch nicht testen ;(
aber ich halte dich / euch auf dem laufenden ;)
also laut http://technet.microsoft.com/de-de/library/hh831807.aspx:
For example, in Windows Server 2012, IKEv2 does the following:
[...]
Coexists with existing policies that deploy AuthIP/IKEv1
[...]
ich habe auch verschiedene Einstellungen gefunden, wo explizit IKEv2 steht, aber nirgens habe ich bisher gefunden, dass win 2012 KEIN IKEv1 unterstützt ...
es ist aber gut zu wissen, dass diese Möglichkeit bestehen könnte, ich hoffe jedoch, dass du unrecht hast ;)
habe heute leider noch keine rückmeldung bekommen, dass der tunnelserver auf der Gegenseite fertig konfiguriert ist, daher konnte ich es heute leider noch nicht testen ;(
aber ich halte dich / euch auf dem laufenden ;)
Hi,
ich wünsche dir viel Glück dabei.
ich wünsche dir viel Glück dabei.
