Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit IPSec einrichten und verstehen

Frage Sicherheit Firewall

Mitglied: IT-Azad

IT-Azad (Level 1) - Jetzt verbinden

07.07.2012 um 18:12 Uhr, 19684 Aufrufe, 6 Kommentare

Hallo zusammen,

ich interessiere mich sehr für Sicherheitsthemen in der IT-Welt und jetzt
will ich mich in den Bereich VPN einarbeiten. Hoffe ich bin hier im richtigen
Bereich gelandet.

Ich habe als Testumgebung zu Hause die Möglichkeit mit einem Netgear FSM7328s,
einem Cisco Catalyst Express 500,
einer Fritzbox 7240,
2 Rechnern (Win7 Enterprise, Win7 Ultimate mit je 8GB RAM)
und VMware8.0 zu arbeiten.

Zusätzlich habe ich noch einen alten Netgear VPN FVS318,
den ich aber erst mal aussenvor lassen möchte, um mich in die Materie ohne Hardware
VPNs einzuarbeiten. Wenn irgendwann die Erfahrung größer ist besorge ich mir dann
einen gescheiten VPN Router (z.B Vigor2820?) zum testen.


Nun habe ich mir in der Theorie ausgemalt, dass ich von extern auch mal vom Laptop
oder Android Smartphone (Galaxy S Plus) per VPN Verbindung auf meinen Rechner daheim
möglichst sicher zugreifen kann.

Ich hatte an IPSec gedacht, nur habe ich folgenden Satz gelesen und der verwirrt mich
Laien etwas:
"Um einen IPSec-Tunnel zu einem Client aufzubauen, der sich hinter einem Router befindet,
muss dieser NAT-T unterstützen."


Mein Gedanke wie ich an das Ganze heran gehe war:

1. IPSec auf einem Win7 PC einrichten
2. FritzBox einrichten (FW mögliche fehlerquelle?)
3. Clients einrichten (evtl VMs?)

Möchte das ganze erst einmal verstehen (Theorie UND Praxis) und in der schlichtesten Form üben.
Also wenn möglich auch in meinem eigenen Heimnetz.Wenn ich von Außen auf meinen Server per VPN
zugreifen möchte, dann ist eine DynDNS zwingend notwendig, richtig?

Später möchte ich dann auch Zertifizierung per X.509, Radius fürs WLAN usw kennen lernen, aber
Schritt für Schritt.


Ist jemand von euch so nett und kann mich kritisieren, etwas anleiten oder aufklären?
Ich bin euch sehr dankbar.

Beste Grüße
Azad
Mitglied: transocean
07.07.2012 um 20:02 Uhr
Moin,

warum nicht die FritzeBox für VPN nehmen?

Alles Wissenswerte findest Du hier:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...


Gruß

Uwe
Bitte warten ..
Mitglied: spacyfreak
07.07.2012, aktualisiert um 20:22 Uhr
Ich hab da mal ne Anleitung geschrieben da das schon ein etwas komplizierteres Protokoll ist und ich mich da vor Jahren auch durchkämpfen musste..

http://www.administrator.de/wissen/IPSEC-Protokoll-Einsatz%2C-Aufbau%2C ...

Die NAT-T Thematik:

Zwischen 2 Standorten nimmt man in aller Regel Site-to-Site VPN.
Da wird IKE und ESP verwendet (IKE für Schlüsselaustausch, ESP für den Transport der eigentlichen Daten).

ESP ist ein Layer3 Protokoll und hat keine Ports.
Genau diese Eigenschaft macht ESP z. B. beim Zugriff von zu Hause aufs Firmennetz problematisch.

Wenn ich Remote Access VPN mache (kein Site-to-Site VPN) wird daher das ESP in UDP gekapselt, damit man
es über PAT Router (das ist so ziemlich jeder DSL Router den man daheim hat) "patten" kann.
Denn PAT (Port Address Translation) basiert darauf dass man PORTS benutzt.
Doch Ports gibts erst in OSI Layer4.


Sammlung der wichtigsten Punkte für Site-to-Site IPSEC VPNs

  • Symmetrische Encryption Domains
Heisst:
Wenn z. B. Standort1 in Dortmund mit Standort2 in Berlin VPN machen will, und Dortmund hat im LAN 10.20.30.0/24, und Berlin hat im LAN 192.168.10.0/24, muss auf beiden Seiten der VPN Verbindung die so genannte "Encryption Domain" konfiguriert werden. Die Netze müssen dabei exakt stimmen.
Ich kann auf dem Dortmunder VPN Server nicht als gegenüberliegendes Netz z. B. 192.168.0.0/16 konfigurieren, wenn in der Encryption Domain auf dem VPN Server in Berlin "192.168.10.0/24" konfiguriert ist. Die Netze die man über die VPN Verbindung erreichen möchte, müssen auf beiden Seiten gleich konfiguriert sein.
Ausserdem kann man nicht einen VPN Tunnel aufbauen zum selben Netz, z. B. wenn in Dortmund 10.10.10.0/24 und in Berlin ebenfalls 10.10.10.0/24 benutzt wird, geht das schon routingtechnisch nicht, da der Daten absendende Client ja davon ausgehen muss (nach TCP/IP-Protokoll) dass der Zielserver z. B. 10.10.10.20 im LOKALEN LAN existiert - das Ethernetframe wird also nichtmal zum lokalen VPN Server geroutet sondern bleibt in der Broadcastdomäne.

  • VPN-GW IP
Jeder VPN Teilnehmer muss natürlich die IP-Adresse des gegenüberliegenden VPN-Servers mit dem man die VPN Verbindung aufbauen will, kennen.
Da gibts jedoch auch Ausnahmen, z. B. bei DMVPN "wählt" sich der Remote Router beim zentralen VPN Server ein, und kann auch eine dynamische DSL IP haben.
Normalerweise haben jedoch idealerweise beide VPN Seiten eine feste öffentliche IP Adresse.

  • IKE/IPSEC Parameter
Auf beiden Seiten sollten die VPN Parameter übereinstimmen.
Wähle ich in Dortmund z. B. für IKE Phase 1 3DES/MD5/86400Sekunden/DH-Group5, und in Berlin AES256/MD5/5000Sekunden/DH-Group2, dann kann keine VPN Verbindung aufgebaut werden da sich beide VPN Server nicht auf passende Parameter einigen können

  • Port / Protokollfreischaltungen
Damit die VPN VErbindung aufgebaut werden kann, muss an einer Firewall die eventuell vor dem VPN Server steht, einiges geöffnet werden.
IKE (UDP500), ESP (IP-Protokoll 50), NAT-T (UDP4500 wenn man ESP in UDP kapselt) sind die wichtigsten Ports für IPSEC VPN.
Bitte warten ..
Mitglied: IT-Azad
07.07.2012 um 21:12 Uhr
Vielen herzlichen Dank für deine Mühen!!! Hast mir sehr geholfen!
Nun kann ich mir ein besseres Bild von der Thematik machen.
Auch danke für deinen Link!

Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Bitte warten ..
Mitglied: 104286
07.07.2012 um 21:35 Uhr
Hallo Azrad,

offenbar bist du noch sehr unerfahren, was IT-Foren angeht. Du wirst hier keinen finden, der dir IPSec erklärt. Die meisten haben selber keine Ahnung und den wenigen, die es können, ist es zu mühselig.

Also versuche es im Selbststudium.

Um IPsec zu üben und zu verstehen brauchst du übrigens nur einen PC und Internet. Also kauf dir nicht vorschnell neue Technik. Wenn du mal durchblickst, wirst du dich sonst ärgern.

Viel Grüße
leo
Bitte warten ..
Mitglied: aqui
08.07.2012, aktualisiert um 12:32 Uhr
Wieso ? Das oben zitierte Tutorial vom Kollegen spacyfreak erklärt es doch auch für Laien recht leicht und verständlich !
Ein weiteres Tutorial hier was das Thema mehr praxisbezogen beleuchtet findest du hier:
http://www.administrator.de/contentid/115798
Außer IPsec gäbe es noch SSL basierte VPNs wie das sehr verbreitete OpenVPN. Auch dazu findest du ein praxisbezogenes Tutorial hier:
http://www.administrator.de/contentid/123285
Ebenso zu PPTP basierten VPNs.

Damit ist es eigentlich ein Leichtes das schnell und einfach umzusetzen !
Bitte warten ..
Mitglied: spacyfreak
08.07.2012 um 20:00 Uhr
Zitat von IT-Azad:


Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?

Mit DynDNS kann man einen Server, dessen IP-Adresse sich gelegentlich ändert, mit DNS-Namen erreichen.
Sobald der Server mal wieder dynamisch eine andere IP-Adresse erhält, meldet die DynDNS Software an den DynDNS Server die neue IP-Adresse und läuft. Ist aber eher eine private Lösung.

Soweit ich dein Vorhaben verstehe willst du Remote Access VPN machen, also Windows7 IPSEC-Client soll eine VPN Verbindung mit VPN Server zb von Netgear aufbauen.
Dazu einfach die Anleitungen lesen vom Hersteller, das dürfte nicht schwierig sein sich da durchzuklicken.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...