Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einrichtung VPN Windows Server 2003

Frage Netzwerke

Mitglied: heute-neu

heute-neu (Level 1) - Jetzt verbinden

25.09.2013, aktualisiert 11.12.2014, 2725 Aufrufe, 21 Kommentare, 3 Danke

Hallo liebe Fachleute.

Ich hätte mal eine, für euch sicher einfache Frage.

Bin gerade dabei, ein VPN einzurichten - von zu Hause auf Server/Netzwerk in der Firma zu greifen.

In der Firma liegen folgende Grundkonfigurationen vor:
Windows Server 2003
Netzwerk ohne Domäne
als Router: DLINK DI-804HV
Alle PC mit fester IP
Server 2003 fungiert als DHCP- und DNS-Server

Nun meine Frage: Da nur eine Netzwerkkarte des Servers angeschlossen ist:
Kann ich VPN und "normalen" Netzverkehr als auch den DHCP alles über eine Netzwerkkarte laufen lassen?
Oder stören sich die Dienste gegeseitig?

Danke für eure zahlreichen hilfreichen Antworten.


Mitglied: transocean
25.09.2013, aktualisiert um 14:42 Uhr
Moin,

das sollte auch mit einer NIC funktionieren. Tut es zumindestens bei meinem SBS.

Hier eine Anleitung von MS: http://support.microsoft.com/kb/323441/de

Ich selbst neige aber dazu, VPN auf dem Router oder der FW zu terminieren und von PPTP VPN generell die Finger zu lassen, da dessen
Verwendung sicherheitstechnisch mittlerweile doch sehr bedenklich ist.

Gruß

Uwe


Edit: Und wenn Du nicht weiter kommst, dann frag ihn: http://www.administrator.de/userid/25471

Der Mann ist so was ähnliches wie der Brockhaus in Sachen Netzwerktechnik.
Bitte warten ..
Mitglied: Dobby
25.09.2013 um 15:40 Uhr
Hallo,

Dein Router (DLINK DI-804HV) unterstützt bis zu 40 IPSec Tunnel! Also ich würde an Deiner Stelle
mal schnell einen VPN Tunnel mittels IPSec einrichten und dann muss vorne am Router auch kein
Port geöffnet sein, was um Ellen sicherer ist heutzutage! DLINK DI-804HV VPN Anleitung

In der Regel sieht es so aus, dass nach dem erfolgreichen Aufbau des VPN Tunnels, das gesamte
hinter dem Router liegende Netzwerk erreichbar ist! Es dauert länger und auch gestandene Admins
haben damit so Ihre Probleme, das ist auch nichts ehrenrühriges, aber man wird danach auch mit einer
als sicher geltenden Verbindung belohnt und muss vorne am Router keine Ports öffnen die dann regelmäßig
von den "Bots" abgeklappert werden!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
25.09.2013, aktualisiert um 16:13 Uhr
Die Kardinalsfrage hast du in deiner etwas oberflächlcihen Beschreibung nicht beantwortet !!
WAS für ein VPN willst du denn realisieren ???
PPTP, L2TP, IPsec, SSTP, SSL oder oder oder ??
Auf deine Frage oben kann man nur mit der berühmten Kristallkugel antworten oder...du präzisierst das etwas.
Ansonsten gibt es hier diveres Grundlagen Tutorials die deine Fragen umfassend benatworten:
http://www.administrator.de/contentid/217628
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
und
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Was darfs denn sein....?!
Bitte warten ..
Mitglied: Reece384
26.09.2013 um 10:55 Uhr
Ja, ok er hat nicht gleich alles angegeben. Klar sind das entscheidende Informationen. Aber ist es ein Grund, gleich mit so vielen Fragezeichen zu hantieren? Man kann auch normal nachfragen.
Bitte warten ..
Mitglied: Dobby
26.09.2013 um 15:53 Uhr
Man kann auch normal nachfragen.
Klar so meinten wir das auch gar nicht, wir wollten Dich eingentlich nur davon überzeugen dass Dein
Router dafür besser geeignet ist und das ganze dann auch Wasserdicht für Dich läuft, wie gesagt VPN
ist nichts einfaches und da beißen sich wirklich viele Leute die Zähne dran aus, aber dann auch noch
zusätzlich vorne am Router die Ports zu öffnen und noch mehr Unsicherheit zu stiften bzw. das ganze
noch unsicherer zu machen ist doch garantiert auch nicht Dein Wunsch gewesen, Du wolltest es eben
wie alle anderen auch, hübsch einfach mit KlickiBunti und in 20 Minuten erledigen. Klar man das will
irgend wie jeder, oder? Aber dann dürfen wir Dir doch auch unsere Meinung dazu mitteilen das Du nicht
so endest wie viele andere hier und Dein nächster Beitrag lautet dann in etwas :

"Hallo liebe Forengemeinde seit ca. 3 Tagen sind sehr viele Viren in unserem Netzwerk und auf dem
Server wird immer mehr illegaler Softwareschrott und Kinderpornos abgeladen, kann mir jemand helfen?"

Dann lieber jetzt etwas rüde rüber kommen und dafür hinterher keinen Supergau!

Gruß
Dobby

P.S.

Wenn es das dann war bitte noch ein Beitrag ist erledigt hinten dran, Danke!
Bitte warten ..
Mitglied: heute-neu
26.09.2013 um 18:15 Uhr
Hallo Ihr lieben.
Stimmt. Mein Fehler.
Habe mich nicht 100%ig ausgedruckt.
Jedoch war die verschlüsselung erst einmal zweitrangig für mich.
Interessant war erst einmal die Antwort, ob ich das ganze mit nur einer Netzwerkkarte im Server hin bekommen.

Daher auch Danke für den Hinweis mit dem Router.
Werde es daher auf diesem Wege versuchen.
Auch danke für den Hinweis auf IPSec.... scheint die sicherste Verbindung zu sein.

Werde über Erfolg oder Mißerfolg berichten.

Für weitere Tips oder Hinweise bin ich auch weiterhin dankbar.
Bitte warten ..
Mitglied: aqui
26.09.2013 um 18:26 Uhr
Mit Verschlüsselung hat das nix zu tun ! Das sind unterschiedliche Verfahren !
Dann sind wir mal auf das Feedback hier gespannt !!
(Mist...zuviele "!" )
Bitte warten ..
Mitglied: heute-neu
03.10.2013 um 12:21 Uhr
Hallo,

habe mich nun für folgende Variante entschieden und dazu noch ein paar Fragen an die Fachleute hier.

VPN direkt über den D-Link DI-804HV. IPSec.
Alle Einstellungen laut D-Link Anleitung vorgenommen.
Nun Fehler 789 bei Verbindung.

Habe gelesen dass es mit der Firewall und Ports zu tun hat.
Da der DLink die VPN direkt zur Verfügung stellt, gehe ich von der Firewall meines Client-PC aus, welcher sich hinter
einem Speedport W921V befindet.
Die Windows-Firewall (Win7 HP) habe ich testweise deaktiviert. So dass ich das Problem damit auf den Speedport
eingrenzen kann.
Leider lässt sich die Firewall im 921V nicht deaktivieren.

Nun bin ich für Hinweise zur dynamischen Portweiterleitung dankbar.
Welche Ports (TCP/UDP) müssen offen sein?

Wie richte ich dies korrekt auf dem Speedport ein?

Kann ich die VPN-Verbindung evtl. über die cmd testen? wenn ja, wie? oder ist mir der Speedport dabei auch wieder im weg?

Danke schon mal für die nächsten Antworten

LG
Bitte warten ..
Mitglied: Dobby
03.10.2013 um 12:52 Uhr
Hallo,

also ich würde immer den Weg der am wenigsten verursachenden Sicherheitslöcher gehen wollen, gut
das ist aber auch jedermann seine Sache und Angelegenheit.

- Installiere doch einfach auf Deinem PC den kostenlosen VPN Klienten von ShrewSoft.
- Baue dann einfach bei Bedarf die VPN Verbindung mittels IPSec zu Eurem D-Link Router auf
Fertig.

Also ich denke damit fährst Du langfristig am besten und am sichersten!
Dein Netzwerk hat dann keine geöffneten Ports
Euer Firmennetzwerk hat keine geöffneten Ports
Und die VPN Verbindung kann schnell und kostenlos aufgebaut werden wenn Du sie brauchst!

Gruß
Dobby
Bitte warten ..
Mitglied: heute-neu
07.10.2013, aktualisiert um 14:56 Uhr
Mahlzeit....

muss noch mal kurz Rückfragen:

Habe alles soweit eingerichtet im DI-HV804 IKEProspal und IPsec.....
Habe dann versucht mit ShrewSoft eine Verbinung herzustellen...

Dies klappte jedoch nicht - Verbindung duch Schlüsselserver abgelehnt....

Habe jedoch den PSK korrekt eingegeben....

Müssen am Speeport (Clientseite) doch noch Ports geöffnet werden?
Auf der Serverseite (VPN Firma - DLink DI-804HV) sollte dies ja nicht nötig sein, da dort die VPN direkt vom Dlink verwaltet wird.

Entschuldigt meine "Laienhafte" Fragestellung - jedoch ist VPN für mich absolutes Neuland.

Rückfragen werde ich gern schnellstmöglich beantworten....

Dank euch im voraus.

P.S. Bevor ich wieder Ärger bekomme
Einstellung in DLink Dynamische VPN-Einstellungen
IKEProspal Gruppe 1 - 3DES - SHA1 - 3600 sek
IPSec Gruppe 1 - ESP - 3DES - SHA1 - 3600 sek
Es soll eine VPN mit IPSek erstellt werden - Einstellung im Dlink 804HV (Serverseite Firma) siehe oben -
Zum Testen von zu Haus aus: Win 7 Client - ShrewSoft - Router Speedport W921V
Bitte warten ..
Mitglied: aqui
13.10.2013 um 17:14 Uhr
Ja, natürlich ! Wenn der Client hinter einer NAT Firewall liegt (DSL Router wie z.B. der Speedport) musst du zwingend folgende Ports ins Port Forwarding auf die interne lokale IP nehmen:
  • UDP 500
  • UDP 4500
  • ESP Protokoll mit der IP Protokoll Nummer 50 (Achtung !: Kein UDP oder TCP 50 ! ESP ist ein eigenständiges IP Protokoll !)
Diese Protokolle müssen zwingend am Client ankommen sonst kommt keine IPsec Verbindung zustande.
Sinnvoll wäre immer ein Auszug (Syslog) des D-Link VPN Servers.
Bitte warten ..
Mitglied: heute-neu
08.12.2014 um 09:03 Uhr
Hallo und guten Morgen,

hier noch mal kurz aus der Versenkung geholt, da es immer noch nicht läuft.

Frage hierzu jetzt:
Im Netzwerk hängt besagter Windows 2003 Server.
Dieser teile die IP-Adressen im Netzwerk zu (DHCP-Server).

Muss ich den DHCP im D-Link aktivieren damit die VPN funktioniert?
Bekomm immer noch keine Verbindung. Zum DynDNS schon, aber nicht ins Netzwerk.

Sollten Angaben fehlen, bitte ich um entschuldigung.....

LG
Bitte warten ..
Mitglied: aqui
08.12.2014 um 18:14 Uhr
Muss ich den DHCP im D-Link aktivieren damit die VPN funktioniert?
Nein, natürlich nicht. DHCP verteilt nur IP Adressen im LAN, das hat mit VPN soviel zu tun wie ein Fisch mit einem Fahrrad. Vollkommen getrennte Baustelle !
Im Netzwerk hängt besagter Windows 2003 Server.
Nochmal die Fragen von oben die du wieder nicht beantwortet hast
  • Liegt dieser Server hinter einem NAT Router ? Tut er das kann das VPN NICHT die NAT Firewall passieren ohne ein entspr. Port Forwarding auf dem Router !!
  • Wenn ja hast du dann auf dem NAT Router die Ports UDP 500, UDP 4500 und das ESP Protokoll auf die lokale IP LAN Adresse des Server per statischem Port Forwarding geforwardet ?? Wenn du L2TP als VPN Protokoll machen solltest kommt da zusätzlich noch UDP 1701 dazu !
Diese Angaben fehlen !
Bitte warten ..
Mitglied: goscho
09.12.2014 um 09:33 Uhr
Moin,

@aqui

so wie ich das verstehe, liegt sein W2K3 hinter dem VPN-Router (DLINK), der auch die Interneteinwahl in der FIrma macht.
Und er will von seinem Heim-PC hinter einem Speedport mittels Shrew Client ein IPSEC-VPN zum DLINK aufbauen.
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Der Shrew-Client unterstützt NAT-T, wie sein DLINK-Router einzurichten ist, weiß ich nicht, er hat aber von Dobby eine Anleitung verlinkt bekommen.

@heute-neu
Steht denn der Tunnel zu deinem DLINK-Router?
Kannst du diesen von deinem W7-PC mittels interner IP-Adresse anpingen und erhältst auch eine Antwort?
Das sollte zuerst getestet werden.
Bitte warten ..
Mitglied: aqui
09.12.2014 um 10:15 Uhr
Dafür muss nirgends ein Portforwarding eingerichtet werden.
Das stimmt wenn der D-Link Router dann selber VPN Server ist ! Allerdings würd ich dem Speedport niemals über den Weg trauen das der VPN Passthrough kann. Diese üblen Kisten haben so viele Macken. OK mit NAT Traversal wärs kein Ding aber ob das die üble D-Link Gurke dann auch supportet. Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge Probleme bereiten können.
Das da auf allen Kandidaten mindestens die aktuellste FW drauf sein sollte ist hoffentlich klar.
Auf dem Client würd ich das dann immer mit einem Wireshark kontrollieren ob die IPsec Pakete auch wirklich das Ziel erreichen.
Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon sofort sehen wo es kneift wenn es kneift.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben
Bitte warten ..
Mitglied: goscho
LÖSUNG 09.12.2014, aktualisiert 11.12.2014
Zitat von aqui:
Ziemlich viele sehr üble Kandidaten in dem Design die eine Menge
Probleme bereiten können.
Stimme ich dir zu.

Gleichzeitig dann immer das Log des D-Links ansehen was der beim IPsec Dialin mitloggt an Messages. Da kann man dann meist schon
sofort sehen wo es kneift wenn es kneift.
Hoffentlich hat der ein vernünftiges Log.
Leider hat der TO zu diesem Punkt bis dato keinerlei Feedback gegeben
Wohl weil er sehr konzentriert versucht, das VPN zum Laufen zu bekommen.
Bitte warten ..
Mitglied: heute-neu
12.12.2014 um 11:25 Uhr
So Ihr lieben, Danke für die regen Meldungen.

Habe mir nun das D-Link-Zeug gespart und eine Fritz!Box zugelegt.
VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.

Nur habe ich nun das Problem, das ich nicht auf den Freigabeordner im Server zugreifen kann.
Muss ich nun die Portfreigaben einrichten, wie aqui das weiter oben erklärt hat?
Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
Bitte warten ..
Mitglied: transocean
12.12.2014 um 12:02 Uhr
Moin.

\\IP.des.Servers\Freigabe sollte dein Problem lösen.

Oder hilfsweise die Hostdatei auf dem Client entsprechend editieren.

Gruß,

Uwe
Bitte warten ..
Mitglied: goscho
12.12.2014 um 12:15 Uhr
Zitat von heute-neu:

So Ihr lieben, Danke für die regen Meldungen.
Bitte, gerne doch.
Habe mir nun das D-Link-Zeug gespart und eine Fritz!Box zugelegt.
VPN kann ich vom Laptop auf die Fritz!Box hersellen. Bis dorthin funktioniert es.
Das ist doch schon mal die halbe Miete. Den Rest packst du auch noch.
Nur habe ich nun das Problem, das ich nicht auf den Freigabeordner im Server zugreifen kann.
Schau, ob die Firewall im Server aktiv ist und Zugriffe von anderen IP-Adressbereichen blockt.
Außerdem klappt der Zugriff auf Freigaben bestimmt nur über die IP-Adresse und nicht den Namen, so wie von @transocean schon beschrieben.
Muss ich nun die Portfreigaben einrichten, wie aqui das weiter oben erklärt hat?
Also UDP 500 4500 1701 und Protokoll ESP direkt auf den Server schicken?
Nein, das gilt nicht dafür, sondern wenn du vor deinem VPN-Server (hier Fritzbox) noch einen anderen Router wäre, über welchen der Internetzugang realisiert wird.
Bitte warten ..
Mitglied: heute-neu
13.12.2014 um 12:53 Uhr
So. Abschlussbericht:

DLink durch Fritz!Box ersetzt.
VPN durch MyFritz und Fritz!Fernzugang realisiert.
Zugriff im Netzwerk unter dem PC-Namen mit eintrag in die Client-Hosts-Datei erfolgt.

Alles läuft - leider nur extrem langsam... aber bei ner 16.000 Leitung ist der Upload nicht das non plus ultra.

Ich danke hiermit allen, die sich rege an der Lösung meines Problemchens Beteiligt haben... Vielen Dank.

LG
Bitte warten ..
Mitglied: aqui
13.12.2014, aktualisiert um 14:48 Uhr
Na ja "Lösung" kann man das ja aus deiner Sicht nicht nennen wenn du die Holzhammer Methode benutzt und die komplette HW tauschst ?!
Realistisch hast du ja bei DSL 16.000 dann 1 Mbit Upload was ja schon ganz ordentlich ist. Die Aussage "extrem langsam" ist wie immer relativ und damit komplett sinnfrei. Langsam im Vergleich zu 10 Gigabit/s ist das zweifelsohne...
Bedenke das die mickrige SoC CPU eines solch billigen Consumer Routers wie deiner FB dann die vollständige Encapsulierung in den VPN Tunnel machen muss inklusive der Verschlüsselung jeden Paketes.
Ganz nebenbei macht sie dann auch noch die PPPoE Encapsulierung und das Adress Translation (NAT) zum Provider auch für jedes Paket.
Realistisch darfst du also keine Höhenflüge erwarten das so ein Plaste Elaste Router mit der mickrigen CPU das gleiche leistet wie eine 3mal so teure Firewall die dedizierte VPN Hardware für sowas hat !
You get what you pay for !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...