Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2012 R2 VPN, IPSec, Verzweiflung

Frage Microsoft Windows Netzwerk

Mitglied: mech01

mech01 (Level 1) - Jetzt verbinden

21.01.2014, aktualisiert 09:58 Uhr, 5138 Aufrufe, 10 Kommentare

Hallo ihr Profis,

ich versuche seit geraumer Zeit einen Tunnel aufzubauen - leider gelingt mir das nicht ;(

Ich habe hier einen Windows Server 2012 R2 Standard, welcher als Root-Server bei einem Hoster steht.

EDIT: Dieser Server soll beim Versuch bestimmte IP-Adressen zu erreichen (siehe unten) einen Tunnel aufbauen, es geht nicht darum, einen VPN-Server zu betreiben, sondern einen Tunnel zu einem anderen Server aufzubauen, welcher mit unten stehende Konfiguration vorgibt

Das sind die Vorgaben des Tunnels:

General
Tunnel Type:IPSec
Authentication Method:PSK (Pre-Shared-Key)
IKE (Phase 1)
Mode:Main Mode
Encryption Algorithm:AES-256
Hash Algorithm:SHA1
Diffie-Hellmann (DH) Group:Group 5
Lifetime:86400 sec
IKE keepalivesYes
IPSec (Phase 2)
ModeTunnel
ProtocolESP
Encryption Algorithm:AES-256
MAC-Algorithm for AuthenticationSHA1 (ESP-SHA-HMAC)
Perfect Forward Secrecy (PFS)Yes (DH Group 5)
SA Lifetime86400 sec
Tunnel Termination Endpoints123.123.123.123 & 234.234.234.234
Encryption Domains (SAs) (see following table)17x.xx.91.40 /29

und dann habe ich halt noch eine liste mit den bereichen:
descriptionIP-range (with mask)Type
Adr_17x-xx-1-90_M3217x.xx.1.90/32Address
Netz_17x-xx-22-192_M2617x.xx.22.192/26Network
Netz_17x-xx-37-0_M2417x.xx.37.0/24Network
Netz_17x-xx-39-192_M2617x.xx.39.192/26Network
Netz_17x-xx-44-0_M2417x.xx.44.0/24Network
Netz_17x-xx-45-0_M2417x.xx.45.0/24Network
Netz_17x-xx-46-0_M2417x.xx.46.0/24Network
Netz_17x-xx-58-0_M2417x.xx.58.0/24Network

Was habe ich bisher gemacht:
- natürlich gegoogelt
daraufhin habe ich mittels MMC in den IP-Sicherheitsrichtlinien versucht Richtlinien anzulegen, die meisten der Einstellungen habe ich sogar gefunden, einige nicht, habe die Richtlinie auch zugewiesen, aber leider hat es nicht gebracht ...

dann habe ich gelesen, dass man das auch in der Firewall einstellen kann, also in die Firewall, verbindungssicherheitsregeln, und versucht das dort zu konfigurieren, leider gescheitert ...

dann habe ich just4fun noch die Möglichkeit angesehen im Netzwerk & Freigabecenter eine neue VPN-Verbindung anzulegen, aber da scheine ich mich völlig auf dem falschen Dampfer zu befinden, schon allein deswegen, weil hier Benutzername und Passwort zwingend erforderlich sind ....

kann mir jemand sagen, wie man so was zu konfigurieren hat?

bei der ganzen konfiguriererei ist mir auch aufgefallen, dass ich nirgens die Hellmann-Group 5 auswählen kann, meist nur 1, 2, 14, etc ... könnte hier ein grundlegendes Problem bestehen?

UPDATE: die Vorgaben werden auf Hellmann-Group 14 geändert, in der Hoffnung, dass ich es mit eingerichtet bekomme ... auch Gruppe 2 wäre alternativ möglich

nach Möglichkeit würde ich das ganze gern mit boardmitteln lösen, zur not nehme ich aber auch gern Empfehlungen entgegen ;)

Vielen Dank schonmal für eure Mühen!
Mitglied: Chonta
21.01.2014 um 08:45 Uhr
Hallo,

wie schon immer bei MS-Servern die VPN-Server sein sollen, muss die Rolle/Funktion installiert, konfiguriert und aktiviert werden.

Schaust Du hier.

http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server ...

Gruß

Chonta
Bitte warten ..
Mitglied: mech01
21.01.2014 um 09:12 Uhr
Hallo Chonta,

sorry, was ich gerade eben erst gesehen habe, es geht auf meine Post nicht konkret hervor, was ich machen will, es soll nämlich kein VPN-Server eingerichtet werden, sondern ein Tunnel zu einem anderen Server eingerichtet werden

LG
Bitte warten ..
Mitglied: Deepsys
21.01.2014 um 10:45 Uhr
Hi,

nur als Idee:
hmm, kann ein Server 2012 R2 überhaupt ein VPN-Client sein?
Noch nie probiert ...

Es würde es eher über die "neue VPN-Verbindung" oder einen VPN-Client wie ShrewSoft versuchen, aber ob das dann automatisch den Tunnel aufbaut???

VG
Deepsys
Bitte warten ..
Mitglied: Chonta
21.01.2014 um 11:21 Uhr
Hallo,

wenn ein VPN zwischen 2 Servern aufgebaut ist der Server ja auch automatisch ein Client .
Habe gerade keinen Server 2012 bereit zum testen.
Um die Routing und Ras Rolle wirst Du nicht drum rumkommen.

Gruß

Chonta
Bitte warten ..
Mitglied: mech01
21.01.2014 um 12:38 Uhr
Huhu,

als Start würde es mir schon helfen, wenn ich wüsste an welcher stelle ich das konfigurieren muss:

Firewall - Verbindungssicherheitsregeln
IP-Sicherheitsrichtlinien
oder über VPN-Einwahl

oder mehreres?

ich verstehe die ersten beiden punkte so: wenn versucht wird eine Verbindung zu IP xxx.xxx.xxx.xxx aufzubauen, und diese in der liste enthalten ist, dann versuche diese IP über folgende Regeln zu erreichen, eben indem IP xy (Tunnelendpunkt) kontaktiert wird, ein Tunnel aufgebaut wird, und die IP durch den Tunnel versucht anzusprechen

LG und danke schonmal für die Anteilnahme ;)
Bitte warten ..
Mitglied: goscho
21.01.2014 um 19:58 Uhr
Hi mech01,

dein Vorhaben kann nicht funktionieren, da der Windows-Server kein IPSEC-VPN v1 unterstützt und IPSEC v2 wird wohl die Gegenstelle nicht wollen.
Die Idee mit dem Shrew-Client ist wohl die einfachste und beste Lösung.
Unter Windows 8 läuft Shrew, wird dann unter Server 2012 auch gehen.
Bitte warten ..
Mitglied: mech01
22.01.2014 um 07:13 Uhr
Hallo goscho,

ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?

ich hab mittlerweile mal ein wenig weiter geforscht, und von den einstellungsmöglichkeiten scheint mir die Windows Firewall der richtige anlaufpunkt zu sein

in den grundeigenschaften der Firewall im letzten Reiter "IPSec" kann man die verwendeten verschlüsselungen und hash-algos festlegen, dann kann man in der Firewall - verbinsungssicherheitsregeln entsprechend regeln erstellen, für welche ip-adressen er einen tunnel aufbauen soll ...

ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber hinaus) bin ich natürlich für jeden tipp dankbar ;)
Bitte warten ..
Mitglied: goscho
22.01.2014 um 09:44 Uhr
Zitat von mech01:

Hallo goscho,
Moin
ich hab nirgends in Windows was von IPSec V2 gelesen .... auch Google spuckt mir recht wenig dazu aus - meinst du IKEv2?
Natürlich meinte ich das, sorry.

ich vermute, dass ich da auf dem richtigen weg bin - zumindest wenn ich nun versuche eine IP aus dem adresspool des VPN an zu
pingen, dann wird laut processviewer versucht eine Verbindung zum tunnelendpunkt2 auf zu bauen, und nicht direkt zur
spezifizierten IP-Adresse ... mal schauen wann der Tunnel auf der gegenseite auch funktioniert, bis dahin ( und darüber
hinaus) bin ich natürlich für jeden tipp dankbar ;)
Ich lasse dich weiter rumprobieren, denke jedoch, dass es nicht zum Erfolg führen wird.
Bitte warten ..
Mitglied: mech01
22.01.2014 um 20:51 Uhr
huhu goscho

also laut http://technet.microsoft.com/de-de/library/hh831807.aspx:

For example, in Windows Server 2012, IKEv2 does the following:
[...]
Coexists with existing policies that deploy AuthIP/IKEv1
[...]

ich habe auch verschiedene Einstellungen gefunden, wo explizit IKEv2 steht, aber nirgens habe ich bisher gefunden, dass win 2012 KEIN IKEv1 unterstützt ...

es ist aber gut zu wissen, dass diese Möglichkeit bestehen könnte, ich hoffe jedoch, dass du unrecht hast ;)
habe heute leider noch keine rückmeldung bekommen, dass der tunnelserver auf der Gegenseite fertig konfiguriert ist, daher konnte ich es heute leider noch nicht testen ;(

aber ich halte dich / euch auf dem laufenden ;)
Bitte warten ..
Mitglied: goscho
23.01.2014 um 14:58 Uhr
Hi,
ich wünsche dir viel Glück dabei.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN von ZyXEL USG zu Windows Server 2012 R2 (13)

Frage von itschloegl zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch (3)

Frage von onkel87 zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...