Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec Konfiguration eines Windows Server 2008 R2 DataCenter Core (x64) Systems

Frage Microsoft Windows Netzwerk

Mitglied: FrEEzE2046

FrEEzE2046 (Level 1) - Jetzt verbinden

10.04.2011, aktualisiert 15:15 Uhr, 4858 Aufrufe, 1 Kommentar

Hallo an alle,
ich habe da ein Problem bei der IPSec Konfiguration per Kommando-Zeile.

Hintergrund ist folgender:

Ich habe eine virtuelle Maschine mit Windows Server 2008 R2 DataCenter Core (x64), welche einen proprietären Dienst im Internet verfügbar machen soll. Der Dienst selbst stellt seine Leistung über TCP/IP zur Verfügung.

Kommuniziert werden soll jedoch ausschließlich über eine gesicherte VPN-Verbindung. Als VPN-Protokoll soll IPSec mit NAT-T zum Einsatz kommen. Verwendet werden AH (SHA-1) und ESP (SHA-1, 3-DES).

Die Verwaltung wollte ich komplett über "netsh" vornehmen. Zu Testzwecken wollte ich die ICMP-Kommunikation zwischen der virtuellen Maschine und dem Host-System verschlüsseln.

Das Host-System hat die IPv4-Adresse 192.168.217.1
Der VPC hat die IPv4-Adrese 192.168.217.136

Hier meine bisherige Konfiguration:

01.
netsh advfirewall>set allprofiles firewallpolicy allowinbound,allowoutbound 
02.
netsh ipsec static>add filterlist name=diagnostics_list description="filters diagnostic packages" 
03.
netsh ipsec static>set filteraction name=negotiate_ah_sha1_esp_3des_sha1 qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="AH[SHA1]+ESP[3DES,SHA1]:20480k/3600s" 
04.
netsh ipsec static>add filter filterlist=diagnostics_list srcaddr=me dstaddr=192.168.217.1 description="me2host_bi_icmp" protocol=ICMP mirrored=yes srcmask=255.255.255.255 dstmask=255.255.255.255 
05.
netsh ipsec static>add policy name=diagnostics_policy description="settings for diagnostic packages" mmpfs=no qmpermm=0 mlifetime=480m activatedefaultrule=no pollinginterval=180m assign=yes mmsecmethods="3DES-SHA1-3" 
06.
netsh ipsec static>add rule name=diagnostics policy=diagnostics_policy filterlist=diagnostics_list filteraction=negotiate_ah_sha1_esp_3des_sha1 conntype=all activate=yes description="rule for diagnostic packages" kerberos=no psk="my diagnostic channel"
Das Ganze funktioniert auch ... irgendwie zumindest. Die gleiche Konfiguration habe ich auch auf dem Host-System vorgenommen (Source - Destination Dreher natürlich bedacht).

Es werden lediglich Packete über ICMP zwischen den beiden Rechnern zugelassen. Alles andere läuft unverschlüsselt. Problem dabei jedoch: Es wird der Transport- und nicht der gewünschte Tunnel-Modus verwendet. Außerdem möchte ich, dass ausschließlich ein- und ausgehende Packete über die definierten VPN-Packete zugelassen werden sollen.

Dafür habe ich zunächst alles Blocken wollen:
netsh advfirewall>set allprofiles firewallpolicy blockinbound,blockoutbound

Jetzt wird jedoch wirklich alles geblockt. Also wollte ich eine Ausnahme für meine ICMP-Kommunikation vornehmen:

01.
netsh advfirewall consec>add rule name=diagnostics endpoint1=192.168.217.136 endpoint2=192.168.217.1 action=requireinrequireout mode=tunnel enable=yes profile=any type=static localtunnelendpoint=192.168.217.126 remotetunnelendpoint=192.168.217.1 protocol=icmpv4 interfacetype=any auth1=computerpsk auth1psk="my diagnostic channel" qmpfs=mainmode qmsecmethods="ah:sha1+esp:sha1-3des+60min+20480kb" exemptipsecprotectedconnections=no applyauthz=yes
Hier erhalte ich jedoch die Fehlermeldung: "Es wurde ein ungültiges Protokoll angegeben."

"icmpv4" wird jedoch laut technet als Parameter für "protocol" akzeptiert.

Kann mir jemand weiterhelfen? Danke im Voraus!
Mitglied: FrEEzE2046
20.04.2011 um 05:56 Uhr
Kann mir niemand weiterhelfen? Wenn die Frage unklar definiert sein sollte, dann führe ich es auch gerne weiter aus.
Bitte warten ..
Ähnliche Inhalte
Windows Systemdateien
Server 2008 R2 Konfiguration
Frage von KellogsFRWindows Systemdateien3 Kommentare

Hallo zusammen, ich steh hier vor einer etwas seltsamen Konfiguration eines Servers und ich hoffe, dass jemand eine Ahnung ...

Windows Server
Windows Server 2012 R2 Datacenter
Frage von supertuxWindows Server6 Kommentare

Hallo, ich möchte eine Host-System mit Windows Server 2012 R2 Datacenter aufsetzen, da ich mit dieser Edition unbegrenzte VMs ...

Windows Server
David 10 unter Windows Server 2008 R2 x64
gelöst Frage von JuckieWindows Server4 Kommentare

Hallo zusammen, hat jemand von euch David 10 (Tobit Software) unter Windows Server 2008 R2 x64 im Einsatz? Falls ...

Windows Server
Windows Server 2012 R2 Datacenter - Servermanager-bug?
gelöst Frage von Huan90Windows Server2 Kommentare

Hallo liebe Forengemeinde, ich habe ein Problem mit einem Win-Server 2012 R2 Datacenter. Und zwar lässt sich die Anzeige ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless9 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...