Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec Konfiguration eines Windows Server 2008 R2 DataCenter Core (x64) Systems

Frage Microsoft Windows Netzwerk

Mitglied: FrEEzE2046

FrEEzE2046 (Level 1) - Jetzt verbinden

10.04.2011, aktualisiert 15:15 Uhr, 4828 Aufrufe, 1 Kommentar

Hallo an alle,
ich habe da ein Problem bei der IPSec Konfiguration per Kommando-Zeile.

Hintergrund ist folgender:

Ich habe eine virtuelle Maschine mit Windows Server 2008 R2 DataCenter Core (x64), welche einen proprietären Dienst im Internet verfügbar machen soll. Der Dienst selbst stellt seine Leistung über TCP/IP zur Verfügung.

Kommuniziert werden soll jedoch ausschließlich über eine gesicherte VPN-Verbindung. Als VPN-Protokoll soll IPSec mit NAT-T zum Einsatz kommen. Verwendet werden AH (SHA-1) und ESP (SHA-1, 3-DES).

Die Verwaltung wollte ich komplett über "netsh" vornehmen. Zu Testzwecken wollte ich die ICMP-Kommunikation zwischen der virtuellen Maschine und dem Host-System verschlüsseln.

Das Host-System hat die IPv4-Adresse 192.168.217.1
Der VPC hat die IPv4-Adrese 192.168.217.136

Hier meine bisherige Konfiguration:

01.
netsh advfirewall>set allprofiles firewallpolicy allowinbound,allowoutbound 
02.
netsh ipsec static>add filterlist name=diagnostics_list description="filters diagnostic packages" 
03.
netsh ipsec static>set filteraction name=negotiate_ah_sha1_esp_3des_sha1 qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="AH[SHA1]+ESP[3DES,SHA1]:20480k/3600s" 
04.
netsh ipsec static>add filter filterlist=diagnostics_list srcaddr=me dstaddr=192.168.217.1 description="me2host_bi_icmp" protocol=ICMP mirrored=yes srcmask=255.255.255.255 dstmask=255.255.255.255 
05.
netsh ipsec static>add policy name=diagnostics_policy description="settings for diagnostic packages" mmpfs=no qmpermm=0 mlifetime=480m activatedefaultrule=no pollinginterval=180m assign=yes mmsecmethods="3DES-SHA1-3" 
06.
netsh ipsec static>add rule name=diagnostics policy=diagnostics_policy filterlist=diagnostics_list filteraction=negotiate_ah_sha1_esp_3des_sha1 conntype=all activate=yes description="rule for diagnostic packages" kerberos=no psk="my diagnostic channel"
Das Ganze funktioniert auch ... irgendwie zumindest. Die gleiche Konfiguration habe ich auch auf dem Host-System vorgenommen (Source - Destination Dreher natürlich bedacht).

Es werden lediglich Packete über ICMP zwischen den beiden Rechnern zugelassen. Alles andere läuft unverschlüsselt. Problem dabei jedoch: Es wird der Transport- und nicht der gewünschte Tunnel-Modus verwendet. Außerdem möchte ich, dass ausschließlich ein- und ausgehende Packete über die definierten VPN-Packete zugelassen werden sollen.

Dafür habe ich zunächst alles Blocken wollen:
netsh advfirewall>set allprofiles firewallpolicy blockinbound,blockoutbound

Jetzt wird jedoch wirklich alles geblockt. Also wollte ich eine Ausnahme für meine ICMP-Kommunikation vornehmen:

01.
netsh advfirewall consec>add rule name=diagnostics endpoint1=192.168.217.136 endpoint2=192.168.217.1 action=requireinrequireout mode=tunnel enable=yes profile=any type=static localtunnelendpoint=192.168.217.126 remotetunnelendpoint=192.168.217.1 protocol=icmpv4 interfacetype=any auth1=computerpsk auth1psk="my diagnostic channel" qmpfs=mainmode qmsecmethods="ah:sha1+esp:sha1-3des+60min+20480kb" exemptipsecprotectedconnections=no applyauthz=yes
Hier erhalte ich jedoch die Fehlermeldung: "Es wurde ein ungültiges Protokoll angegeben."

"icmpv4" wird jedoch laut technet als Parameter für "protocol" akzeptiert.

Kann mir jemand weiterhelfen? Danke im Voraus!
Mitglied: FrEEzE2046
20.04.2011 um 05:56 Uhr
Kann mir niemand weiterhelfen? Wenn die Frage unklar definiert sein sollte, dann führe ich es auch gerne weiter aus.
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
gelöst Windows Server 2008 R2 Platte spiegeln - unterschiedliche Platten? (2)

Frage von imacer zum Thema Festplatten, SSD, Raid ...

Windows Server
gelöst MSSQL 2016 Express auf Windows Server 2008 R2 Standard? (2)

Frage von TiCar zum Thema Windows Server ...

Windows Server
Verknüpfungen über AD verteilen Windows Server 2008 R2 (7)

Frage von Vsadm07 zum Thema Windows Server ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
CMS
Lokales Wordpress im LAN - wie aufsetzen? (16)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Devolo DLAN 500 pro Wireless+ (13)

Frage von IceAge zum Thema LAN, WAN, Wireless ...