torben.ritter
Goto Top

VPN-Verbindung zwischen 2 Standorten

Einrichtung mit Dynamischen IP-Adressen mit Hilfe von DynDNS

Hallo zusammen,

mein Name ist Torben und ich bin neu hier. Ich habe ein (größeres) Problem bei der VPN-Einrichtung unter Windows Server 2003.

Wir haben das folgende Szenario :

Wir haben zwei Standorte, die jeweils einen DC (WinServer 2003) einsetzen. Beide Netzwerke sind per TDSL mit dynamsichen IP-Adressen an das Internet angeschlossen. Beide Router nutzen den DynDNS-Dienst. Bisher funktioniert der Zugriff auf den jeweiligen anderen Server ohne Probleme per Terminal Service.

Unser Ziel ist es, zwischen den beiden Servern eine VPN-Verbindung aufzubauen. Hierzu haben beide Server jeweils 2 Netzwerkkarten. Eine Netzwerkkarte geht in das LAN und die zweite Netzwerkkarte geht in die DMZ.

z.B. Client -----> Server NIC 1, Server NIC 2 ----> Router

Uns ist nun nicht ganz klar, wie der Server, der eine Verbindung aufbauen möchte, die aktuelle IP-Adresse des gegenüber erfährt. Bei der Konfiguration der IP-Routen haben wir nur die Möglichkeit, eine feste IP des gegenüber einzutragen. Gibt es hierbei noch andere Möglichkeiten ? Was müssen wir tun, dass beide Server wissen, wie sie den gegenüber erreichen können ?

Lässt sich dieses auch wirklich umsetzen..???

Für jede Hilfe wäre ich euch sehr dankbar....

Auch Litaratur - Tipps würden mir sehr, sehr helfen...

Viele Grüße

Torben

Content-Key: 8585

Url: https://administrator.de/contentid/8585

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Andre-81-HH
Andre-81-HH 26.03.2005 um 18:16:16 Uhr
Goto Top
Wo ist das Problem? Wenn die Win2000 Server eh in der DMZ stehen, kann doch auch über diese (mit dem Assistenten für neue Verbindungen) eine VPN-Verbindung aufgebaut werden, wobei dort auch z.B. die Dyndns-Adresse hinterlegt werden kann statt der IP, vielleicht hilft das weiter. Es ist nur alles andere als ?Sicher?...
Die Problemstellung ist zu allgemein...
Das Beispiel ist auf jeden Fall realisierbar!
Mitglied: torben.ritter
torben.ritter 26.03.2005 um 20:30:59 Uhr
Goto Top
Hallol,

das haben wir auch heraus gefunden...

Welche Alternativen gebe es denn... Es muss gewährleistet sein, dass die Server immer erreichbar sind.

Wieso wäre diese Lösung nicht die sicherste ? Wäre super, wenn Du mir dieses vielleicht noch erklären könntest... face-smile

Grüße
Torben
Mitglied: HalfMoon
HalfMoon 27.03.2005 um 09:15:19 Uhr
Goto Top
Hallo Torben,

vielleicht hilft Dir ja OpenVPN weiter. Die Software findest Du unter:
http://openvpn.net/
Mitglied: franzkat
franzkat 27.03.2005 um 11:21:44 Uhr
Goto Top
Ich habe zwar keine Erfahrung mit dem Windows VPN, weil das im Zusammenspiel mit Routern Probleme bereiten kann. Ich weiß aber von OpenVPN, dass es kein Problem ist, die direkte IP einzutragen, wenn an sich eine Internetverbindung über einen DynDNS-Dienst existiert. Die VPN-Verbindung wird dann getunnelt, so dass man das Gefühl hat, zwei Rechner würden in einerm LAN miteinander verbunden.
Mitglied: Andre-81-HH
Andre-81-HH 27.03.2005 um 17:55:09 Uhr
Goto Top
Hallo Torben,

1) VPN Verbindung
Viele Provider (z.B.: T-Online, 1&1) bieten als ?Zusatzleistung? eine fest zugewiesene IP-Adresse an. Dies hebt natürlich auch die Grundgebühr wieder etwas an. Aber es ist die Lösung und erspart viele Probleme, die man mit DynDns nun mal hat.
Weiß ja nicht, wo genau dein Problem ist, die Verbindung aufrecht zu halten. Lege doch einfach eine VPN über den Server an. Danach konfigurierst Du bei ?Routing und RAS? einfach, das er die Verbindung bei bedarf aufbauen soll. Dann würde er bei jeder Anfrage in dieses Netzwerk eine Verbindung herstellen. Dies könntest Du in beide Richtungen realisieren, oder?

2) Sicherheit
Weiß ja nicht wie euer Netzwerk genau aufgebaut ist, aber wenn die beiden Server, welche jeweils in der DMZ stehen, auch die Datenserver sind und sich dort empfindliche Daten befinden sollten, dann kann ich Dir nur sagen, das dies einer der unsichersten Lösungen ist. Dadurch das die Server (da hilft auch keine 2. Netzwerkkarte) direkt in der DMZ stehen, heißt das, das sie total ungeschützt sind und über alle ?Ports? angegriffen werden können. Somit sind Sicherheitslücken von Microsoft leicht auszunutzen. Ich würde nur die Ports im Router frei schalten, welche auch wirklich für die VPN benötigt werden. Des weiteren würde ich die Ports (sofern dies möglich ist) für die VPN auf einen anderen Wert setzen, damit dieser Standardport (und den kennen die Hacker ja nur) für VPN-Verbindungen nicht mehr angesprochen werden kann. Dafür nutz man dann den, den man fest gelegt hat. Bei besseren Routern kann man die Ports auch einer Festen IP im Netzwerk zuweisen. (Empfehlung: NetGear ProSafe IPSec) Des weiteren empfehle ich Dir eine Software-Firewall, einen IPSec-Schutz und eine verschlüsselte Verbindung, was das Abhören der Datenpakete nicht verhindert, aber das Entschlüsseln sehr schwierig macht. Es sollten mindestens 256bit, wenn nicht mehr sein.

LG André
Mitglied: franzkat
franzkat 27.03.2005 um 18:27:48 Uhr
Goto Top
Nochmal als Ergänzung die genauere Erläuterung, warum eine Kombination MS-VPN-Hardware-Router häufig problematisch ist :

Wer sein Heimnetzwerk über einen Hardware-Router mit dem Internet verbindet, kann leider oft keinen Windows XP-VPN-Server betreiben. Damit der Windows-Server hinter einem Router ist, muss der Router das VPN-Protokoll PPTP an den Server-Rechner weiterleiten können. Für den Datentransport verwendet PPTP jedoch nicht TCP oder UDP, sondern das exotische GRE. Nur wenige Router können dieses Protokoll für eintreffende PPTP-Verbindungen an den VPN-Server im lokalen Netz vermitteln. Alternative : Nimm nicht die XP-VPN-Funktion, sondern OpenVPN; das arbeitet auf UDP-Basis; da gibt es mit dem Router kein Problem, du mußt in diesem Fall nur den Port 5000 forwarden.
Mitglied: torben.ritter
torben.ritter 28.03.2005 um 14:31:17 Uhr
Goto Top
Hallo zusammen,

ich danke euch für die Antworten. Wir haben es bisher so eingerichtet, dass die Server bei Bedarf eine Verbindung aufbauen. Dieses klappt auch mit dem DNS-Dienst (DynDNS.org). Nun stellt sich für mich die Frage (um das Sicherheitsrisiko zu minimieren), ob ich mir nicht einen neuen Router mit Firewall/ VPN- Funktionalität zulege. Gedacht hatte ich da zum Beispiel an den Netgear FVS 318 GE.

Mit diesem sind laut Beschreibung auch Site-to-Site - Verbindungen möglich. Geht dieses auch, wenn die Verbindung mit einem Win Server 2003 aufgebaut werden soll. Oder geht es nur mit der Client-Software ?

Hat vielleicht jemand Erfahrung mit diesem Gerät ?

Für eure Hilfe danke ich euch...

Grüße
Torben
Mitglied: RB
RB 29.03.2005 um 01:28:11 Uhr
Goto Top
Hallo Torben,

ich habe mit VPN derzeit Verbindungen unter 20 Filialen aufgebaut, alle mit dynamischen IP´s.
Sehr gute Erfahrung machte ich mit Produkten der Firma AVM.
Habe sowohl die Hardware (B1 PCI/FritzcardDSL) als auch die Software (KEN!3/Access-Server) von AVM.
Läuft alles zuverlässig.

Gruß

Rudi
Mitglied: Andre-81-HH
Andre-81-HH 29.03.2005 um 11:46:12 Uhr
Goto Top
Fritz ist auch eine "relativ sichere" Lösung wg. AccessServer... Das man mit Fritz kaum Probleme hat, ist in der Regel auch bekannt.

Bzgl. Router: Empfehlung Netgear "FR3285", unterstützt VPN, hohe Sicherheit!

Dennoch sollten die Daten, welche durch die Welt wandern, auch verschlüsselt werden, nicht das die "zufällig" von jemanden abgefangen werden und diese Person dann ungehindert diese Daten lesen kann.

Einerseits geht es um den Schutz, das Hacker nicht ins LAN kommen
Andererseits können aber auch die Datenpakete, welche bewusst durchs Netz wandern (zwischen den 2 Servern), ebenfalls abgefangen werden. Wenn diese nicht verschlüsselt sind,
ist es eine Kleinigkeit für einen Hacker diese Daten mit zu "lesen".... Somit könnten auch Passwörter "gelesen" werden und mit Passwort ist alles möglich...
Eine dritte ?Sicherheitsstufe? sollte auch noch erreicht werden, wenn ein Proxy-Server in Einsatz kommt, welcher ein Spam- und Wurmfilter hat und somit diese ?Mitlauscher? vernichtet, bevor diese die eigentliche Workstation erreichen kann.

Ich verweise sowohl auf ein sicheres ?Back-End? (Router mit sicherem Schutz) und einer verschlüsselten Verbindung, das eine verhindert leider nicht das andere...

Von daher verweise ich bei VPN auch immer auf Software, die diese Verschlüsselungen beherrschen.

Für weitere Fragen können Sie mich auch gerne ab 18:00 auf der im Profil hinterlegten Rufnummer direkt fragen, vielleicht nicht so müßig wie hier im Forum....

LG André Marquis
Mitglied: RB
RB 31.03.2005 um 19:25:12 Uhr
Goto Top
AVM Access-Server verschlüsselt die VPN-Daten mit bis zu 256 bit AES. Der Schlüssel wird alle 3 Minuten gewechselt. Ich wüsste noch niemanden der auch nur 128 bit in dieser Zeit knacken könnte.

LG

RB
Mitglied: sir-stephan
sir-stephan 16.03.2006 um 18:44:37 Uhr
Goto Top
Hallo zusammen,

ich habe auch schon einige VPN's aufgebaut. Ich nehme dazu nur noch Draytek Router. Ist echt ne sichere und gut konfigurierbare Sache.

Der Aufbau eines Tunnels erfolgt automatisch, sobald eine Adresse auf der anderen Seite des Tunnels angewählt wird. In Verbindung mit der DynDNS Funktion ist auch der Betrieb als VPN Server mit einer dynamischen IP-Adresse möglich.

Der Router kann als VPN Server und als VPN Client eingesetzt werden. Bis zu 32 VPN-Verbindungen können gleichzeitig aufgebaut werden. Die Leistungsfähigkeit der Datenübertragung ist jedoch auch von der Struktur der übertragenen Daten und der Internetanbindung abhängig.

Die VPN-Verbindung kann zwischen zwei Routern oder zwischen Vigor und PC/Mac mit kompatibler Software aufgebaut werden. Neben einem einfachen unverschlüsselten PPTP Tunnel bietet der Vigor auch die Möglichkeit, die Daten oder den Zugang zu verschlüsseln.

Für den sicheren Verbindungsaufbau verwendet Vigor IPSec oder L2TP, die optionale Verschlüsselung erfolgt dann wahlweise über DES, 3DES oder AES.

Die Verschlüsselung von DES bzw. 3DES erfolgt hardwareseitig und ist somit auf eine gute Leistungsfähigkeit ausgelegt.

Neben dem sog. "Main Mode" unterstützt der Vigor auch den VPN-Verbindungsaufbau im "Aggressive Mode", wie er von vielen VPN-Einwahl Systemen unterstützt wird.

Für die Verwendung von IPSec sind keine weiteren Lizenzen notwendig. Alle IPSec-Optionen sind ab Werk und ohne Aufpreis verfügbar.

LG

Stephan