Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec-VPN mit Windows 2003 CA, bintec rs232bw und FEC Secure Client

Tipp Netzwerke Router & Routing

Mitglied: lcer00

lcer00 (Level 1) - Jetzt verbinden

17.12.2011, aktualisiert 09.01.2012, 9345 Aufrufe, 8 Kommentare

Es folgt eine kurze Anleitung zur Konfiguration eines Funkwerk bintec rs232bw Routers als IPSec-VPN Endpunkt

Folgendes Szenario

Funkwerk bintec rs232bw V.7.10 Rev. 1 (Patch 5) IPSec from 2011/11/04 00:00:00 an zwei Standorten
Windows 2003 Enterprice mit Untergeordneter Organisations-Zertifizierungsstelle mit MSCEP
Windows 7 Client mit FEC Secure IPSec Client

Quellen:
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.andreas-buergel.com/kb/windows-server-2003/eigene-zertifikat ...
http://faq.funkwerk-ec.com/faq_bintec_201_ipsec_ncp_r3000_zertifikate_0 ...
01.
online-hilfe auf dem Server unter http:// Zertifizierungsstellenserver /certsrv/mscep/mscephlp.htm



Teil 0 Zertifikatvorlage ändern

Der FEC Secure IPSecClient prüft - im Gegensatz zum rs232bw - den Zweck des vom Router bereitgestellten Zertifikates auf "Serverauthentifizierung". MSCEP nutzt das Template "IPSec (Offlineanforderung)" das diesen Zweck nicht enhält. deshalb muss man:

ADSIEdit.msc: "CN=Configuration", "CN=Services", "CN=Public Key Services", "CN=Certificate Templates"
Das Template IPSECIntermediateOffline suchen.
msPKI-Template-Schema-Version ändern auf 2
certtmpl.msc öffnen
Die Vorlage IPSec (Offlineanforderung) bearbeiten: Erweiterungen:Anwendungsrichtlinien -> bearbeiten
Des Zweck Serverautentifizierung hinzufügen. bestätigen & schließen.
in ADSIEdit:
msPKI-Template-Schema-Version ändern auf 1
msPKI-Template-Minor-Revision ändern auf 1

Ohne diesen Teil funktioniert später die Einwahl mit dem FEC Client nicht.

Teil 1 MSCEP

Über MSCEP ein Zertifikat anfordern.


Teil 2 Verbindung der LANs an zwei Standorten:

In beiden rs232bw den Assistenten:VPN:LAN-zu-LAN-Verbindung ausführen. Es wird ein IPSec-VPN erstellt, das zunächst mit einem Preshared Key verschlüsselt wird.
ggf. die Firewalleinstellungen für ipsec anpassen.

Dann entsprechend des Workshops verfahren und die Zertifikate eintragen.
Eventuell mussen die Überprüfung der Stammzertifizerungsstellenzertifikate anhand einer Zertifikatsperrliste (CRL) sowie Vertrauenswürdigkeit des Zertifikats erzwingen gesetzt werden deaktiviert werden.

Teil 3 Verbindung mittels des FEC IPSEC Clients

Wieder im Assistenten eine IPSEC-Einwal verbindung generieren lassen. Am ende die Konfigurationsdatei exportieren und dann im FEC Client als neues Profil importieren.
in das Verzeichnis Programme\Funkwerk Secure IPSec Client\CaCerts das Zertifizierungsstellenztertifikat exportieren certmgr.msc oder InternetExplorer:Inhalte
Format: DER-Kodiert, Dateiendung cer
irgendwoanders hin das Benutzerzertifikat kopieren: als *.pfx Dieses Benutzerzertifikat umbenennen in *.p12 (ob das erforderlich ist, weiss ich nicht.
Im Client unter Konfiguration:Zertifikate das Benutzerzertifikat hinterlegen.
Dann wieder am Router die Zertifikate analog Workshop eintragen.
Im Client die analogen Einstellungen entsprechen Workshop vornehmen

Optional: damit der Client die Standartroute des PCs in Ruhe läßt, unter "Split Tunneling" das entfernte Netzwerk eintragen.

Viel Spaß ich habe einen ganzen Tag damit verbracht.

lcer
Mitglied: brammer
21.12.2011 um 15:26 Uhr
Hallo,

für mich gehört zu einer Anleitung aber nicht nur die Groben Schritte auflisten, wichtig wäre hier auf zu zeigen was man im einzelnen Einstellen muss.
Am besten Anhand einer Beispiel Konfiguration.

Sieh dir doch bitte mal die Anleitungen von aqui an

brammer
Bitte warten ..
Mitglied: lcer00
22.12.2011 um 16:56 Uhr
Hallo brammer,

Danke für den Hinweis,

Erstens hatte ich nicht die Zeit alles fein in Sätzen zu schreiben. Entschuldigung. ´
Zweitens sind die 90% der Konfigurationsschritten in den verlinkten "Workshops" der Funkwerk-Seite enthalten. Wer die Links angeklickt hätte, hätte das erkannt.
Die fehlenden 10% waren Punkte, die mich viel Zeit gekostet haben und die ich deshalb hier aufgeschrieben habe, damit andere etwas schneller sein werden.
Wenn es hier um gute Literatur geht, ziehe den Beitrag gerne zurück. Wenns um Informationen & Fakten geht, würde ich ihn auch drinlassen.

Grüße

lcer

OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg das Ziel.
Bitte warten ..
Mitglied: dog
05.01.2012 um 19:51 Uhr
Du könntest den Beitrag ja auch einfach auf "Tipp" ändern, dann passt das wieder.
Bitte warten ..
Mitglied: lcer00
09.01.2012 um 14:06 Uhr
wenns hilft. Dann ist es eben keine Anleitung, sondern ein Tipp. herjeh.
Bitte warten ..
Mitglied: wiesi200
10.01.2012 um 07:18 Uhr
Zitat von lcer00:
OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer
gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg
das Ziel.

Morgen,

nö hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte und das wird eben für eine Anleitung höher eingestuft als für einen Tipp. Deswegen wird da auch ein unterschied gemacht.
Wie schon geschrieben, vergleich mal die Anleitung von aqui und die von dir. Du wirst einen unterschied feststellen.
Ich bin ja schon beim meiner ersten Anleitung die ich die Tage reingestellt hab skeptisch ob’s eigentlich reicht.

Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
Bitte warten ..
Mitglied: lcer00
10.01.2012 um 08:53 Uhr
Hallo,
Zitat von wiesi200:
Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
ist doch auch ein Imperativ - oder? Und auch ein Lexikon lebt von Verweisen auf andere Lemma. Ich habe jedenfalls alle Schritte, die für das Einrichten erforderlich sind, der Reihenfolge nach benannt und entweder konkret ausgeführt oder mittels Verweis auf ausführliche Darstellungen versehen. Das ist dann doch etwas mehr als ein Tipp. Das der Nutzer der "Anleitung" lesen kann, habe ich vorausgesetzt. Ebenso, dass ihm das Navigieren auf andere Seiten möglich ist. Und Grundkenntnisse von VPN und Zertifikat-Infrastruktur sollten auch vorhanden sein. Oder muss ich die Browserbedienungsaneitung mitliefern? "Wenn Sie am unteren Rand des Textes angelangt sind, müssen Sie nach unten scrollen. Daszu gibt es folgende Möglichkeiten:" Wo soll denn die Grenze gezogen werden? Gehört die Hardwareinstallation dazu ("das gelbe Kabel kommt in die gelbe Buchse?") Muss man bei diesem Thema subnetmasken erklären? Oder Grundzüge des Routings? Oder darf ich das voraussetzen? Und wenn ich es voraussetze, wäre es dann erforderlich, einen Verweis auf auf eine Quelle wie "Routing für Einsteiger" zu setzen, oder nicht?

Zitat von wiesi200:
hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte
darf man denn auch einen gewissen Mindestintellekt und einen gewissen Mindestwissensstand voraussetzen?

Wie schon angedeutet, wer Prosa will, ist meiner Meinung nach bei Sachthemen fehl am Platze. Wozu dient unsere Sprache? Um Sachverhalte präzise zu bennenen. Man kann sich auch kurz fassen und gleichzeitig unzweideutig und konkret schreiben. Und wer nicht klarkommt, kann sachbezogen nachfragen.

Grüße

Christoph
Bitte warten ..
Mitglied: wiesi200
10.01.2012 um 09:11 Uhr
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges mehr.
Über das solltest du dir mal Gedanken machen.

Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu gebrauchen.
Bitte warten ..
Mitglied: lcer00
10.01.2012 um 12:26 Uhr
Zitat von wiesi200:
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges
mehr.
Über das solltest du dir mal Gedanken machen.

mach ich mir.

Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu
gebrauchen.

Vermutlich kannst Du die "Anleitung" nicht gebrauchen, weil Du keinen zertifikatabgesicherten IPSEC-Tunnel mit 2 bintec RS232bw Routern aufbauen willst. Insofern solltest Du Dir Gedanken machen, ob Du geeignet bist, den Inhalt dieses Tipps (habs übrigends schon vor 3 posts von "Anleitung" in "Tipp" geändert, was vermutlich dazu führte, dass Du hier überhaupt mitdiskutierst, da der Tipp im Portal unter "Neue Tipps" erschien) zu beurteilen.

Grüße

Christoph
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Utilities
Sipgate VPN (Windows ShrewSoft): Kein Standardgateway

Frage von jojoaction zum Thema Utilities ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...