Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 L2TP Server mit Openswan IPSec VPN benutzen

Frage Microsoft Windows Netzwerk

Mitglied: martin2002

martin2002 (Level 1) - Jetzt verbinden

27.05.2009, aktualisiert 20:17 Uhr, 6807 Aufrufe, 4 Kommentare

Hi.

Ich benutze einen Openswan IPSec Server für eine Netz zu Netz Verbindung zwischen zwei Standorten. Die Autorisierung läuft über Zertifikate.
Zusätzlich muss ich jetzt noch VPNs für verschiedene Windows Clients zur Verfügung stellen. Ich habe mich entschieden die L2TP-IPSec Variante zu benutzen.
Der L2TP Server soll allerdings von einem Windows Server 2008 System gestellt werden, da ich so die Windows Benutzerautorisierung direkt verwenden kann... Der RAS Dienst ist darauf konfiguriert Verbindungen auf den L2TP Ports anzunehmen. Außerdem hab ich im Netzwerkrichtlinienserver eine Richtlinie hinzugefügt, die L2TP Verbindungen erlaubt.

Der Verschlüsselungsteil funktioniert. Openswan nimmt die Verbindung an, dann kommt das 1. L2TP Paket an. Dieses wird von der Firewall angenommen und via DNAT an den Windows Server geschickt - es kommt dort natürlich auch an. Allerdings beantwortet RAS dieses Paket nicht!
Ich habe festgestellt, dass der RAS Dienst den Port 1701 UDP gar nicht direkt abhört... Offenbar muss der Windows Server die Verbindung zuerst selbst via ESP Protokoll annehmen um das Paket dann intern an den RAS Dienst weiterzuleiten.

Lange Rede, kurzer Sinn... Wie kann ich das System so umkonfigurieren, dass die L2TP Pakete nicht per IPSec sondern direkt an den Server geschickt werden können? Bzw. ist das überhaupt möglich?

Greets,
Martin.
Mitglied: aqui
28.05.2009 um 09:57 Uhr
Du bringst da vermutlich was durcheinander.... L2TP hat keine Verschlüsselung mit an Bord, deshalb nutzt MS L2TP over IPsec in seiner L2TP Implementation.

http://technet.microsoft.com/en-us/library/cc977622.aspx

IPsec ist also IMMER zwingender Bestandteil von der MS L2TP Lösung und benutzt somit als Transporttunnel immer IPsec.

In sofern ist deine Frage oben also etwas unverständlich und verwirrend !!
Bitte warten ..
Mitglied: martin2002
28.05.2009 um 13:00 Uhr
Ne ich bringe nichts durcheinander. Natürlich hat L2TP keine Verschlüsselung...
Eventuell hab ich mir angewöhnt etwas zu viele Infos zu geben.

Also die Kernfrage:
Kann ich den RAS Dienst, bzw. irgend eine Richtlinie im Server 2008, so einstellen das ich L2TP ohne IPSec auf dem Windows Server nutzen kann? (Der IPSec teil wird von Openswan auf einem Linux Server realisiert)
Also so dass der RAS Dienst Pakete am Port 1701 annimmt...

Um es ganz deutlich zu machen:
IPSec soll nicht vom Windows Server übernommen werden. Der IPSec Teil soll über Openswan laufen und zwar mit L2TP vom RAS Dienst des Windows Servers. Also insgesamt natürlich L2TP over IPSec.

Greets,
Martin.
Bitte warten ..
Mitglied: aqui
29.05.2009 um 11:03 Uhr
Nein, das geht nicht, denn wie bereits oben erwähnt nutzt Windows in seiner L2TP Implementation fest den RFC 3193
http://tools.ietf.org/html/rfc3193

Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !

Die Frage ist warum du nicht dein OpenSwan IPsec auch für die Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft:
http://www.shrew.net/
oder Gate Protect:
http://www.gateprotect.com/de/vpn_download.php

Damit ersparst du dir doch die Frickelei ?!
Bitte warten ..
Mitglied: martin2002
29.05.2009 um 15:39 Uhr
Zitat von aqui:
Nein, das geht nicht [...]

Damit ist ein Entkoppeln der beiden Protokolle nicht möglich !

Aha. Das hab ich mir schon bald gedacht. Ist ja auch nicht schlimm.
Ich hab jetzt eine etwas andere Lösung gewählt:
Der L2TP Dienst läuft jetzt auch in Linux. Ich nutze OpenL2TP (http://www.openl2tp.org) via der pppol2tp Kernelerweiterung. Die Nutzerautorisierung mache ich über RADIUS am Windows Server (NPS). Das Funktioniert sehr gut. Bis auf zwei Dinge die mich ein wenig stören. Zum einen muss ich PAP benutzen, weil es sonst nicht geht (Für CHAP/MSCHAP müssten die Kennwörter wohl im Klartext auf dem Server liegen). Außerdem finde ich die Zuweisung von IPs nicht gut gelöst.
Eigentlich habe ich die OpenL2TP Dokumentation so verstanden, dass RADIUS auch die festzulegende IP Addresse an den Client sendet. Allerdings hat das nicht geklappt und ich musste noch einen zusätlichen IPPool Dienst installieren.

Die Frage ist warum du nicht dein OpenSwan IPsec auch für die
Clients nutzt mit einem freien IPsec Client wie z.B. Shrewsoft ...

Das ist allerdings eine sehr gute Frage... Wahrscheinlich, weil ich mich zu sehr auf die Nutzerautorisierung konzentriert hab und völlig vergaß das es ja für IPSec noch die XAUTH Erweiterung gibt.
Da kann ich dann ja vielleicht auch DHCP nutzen und die Autorisierung auch über RADIUS machen.

Greets,
Martin.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst GPOs für Windows 10 in Server 2008 R2: Erfahrungsberichte (8)

Frage von honeybee zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...