Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

mwiederkehr

Site-to-Site-VPN mit Windows Server 2016

Empfohlene Beiträge

Hallo zusammen

 

Kennt jemand eine gute Anleitung für den Aufbau eines Site-to-Site-VPN mit IPSec zwischen einem Windows Server und einer Firewall?

 

Habe diese hier durchgearbeitet, leider ohne Erfolg: https://www.icttipsandtricks.nl/2017/01/16/sonicwall-site-to-site-vpn-tunnel-in-main-mode-server-2012r2/

 

Irgendwie scheint IKE nicht aktiviert zu sein. Versuche ich von der Firewall (ZyWALL) her eine Verbindung aufzubauen, heisst es "IKE no response". Baue ich die Verbindung vom Server her auf (durch Pingen eines Hosts im Remote Subnet), kommt nichts auf der Firewall an.

 

Habe es dann auch mit RRAS versucht (Demand-Dial Interface). Da kam dann auch tatsächlich etwas an und nach Umstellen der Proposals bin ich sogar bis Phase 2 gekommen, dann war aber Schluss.

 

Ziel wäre, dass die Firewall eine Verbindung zum (gehosteten) Server aufbaut und so das lokale Netzwerk mit dem Server verbindet. Die Thematik ist mir nicht fremd, bis jetzt hatte ich einfach immer Firewalls auf beiden Seiten im Einsatz oder dann waren es PPTP-Verbindungen von Clients. Wäre sehr dankbar für einen Link zu einer guten Anleitung. Finde erstaunlich wenig im Netz.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Firewall bei IPSec/IKEv2 Ports aufmachen bzw. weiterleiten. 4500, 500, 50, 51 (glaub ich für ipsec) dazu nehmen.... wenn du einen RRAS betreibst müssen die ports zu diesre IP geforwarded werden. Am Server müssen die ports auch offen sein.... sonst kommten die Verhandlungen über den Tunnel nicht zum Ende.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vor dem Server steht keine Firewall (es ist ein Testserver bei Azure ohne "Netzwerksicherheitsgruppe"). Testweise habe ich auf der Windows Firewall alles aufgemacht von der IP des zweiten Standorts her. Da sollte also alles durch gehen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke für den Link testperson!

 

Das Gateway ist mir bekannt. Es geht mir aber grundsätzlich nicht um Azure, habe dort nur den Testserver gemacht, weil das dank dem Guthaben vom Action Pack die schnellste und günstigste Möglichkeit war, für ein paar Tage einen externen Server zu mieten.

 

Die produktiven Server werden nicht alle bei Azure stehen, sondern bei einheimischen Dienstleistern. Diese bieten teilweise keine VPN-Dienste an oder nur zu einem hohen Preis. Deshalb dachte ich, ich probiere es mal ohne, da der Server 2016 ja IKEv2 unterstützt.

 

Wenn ich aber sehe, dass man keine Tutorials dazu findet, muss ich aber fast davon ausgehen, dass die Funktion nicht so häufig genutzt wird. Oder aber von Leuten, die keine Tutorials brauchen. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der Kunde vertreibt eine Branchenlösung für Autowerkstätten. Bei grösseren Werkstätten installiert man die auf dem Server vor Ort, bei mittelgrossen Firmen (so ab 5-7 Benutzern) hat man bis jetzt einen gehosteten virtuellen Server genommen mit VPN vom Provider. Da ging das auch mit den Kosten.

 

Das Problem sind die vielen kleinen Werkstätten, so in der Grösse 1-3 PC-Benutzer. Die habe ich bis jetzt jeweils knapp zu einem HPE ProLiant ML30 überreden können, damit "einen PC laufen lassen" wegfällt. Nur ist das auch keine so tolle Lösung. Backup vor Ort, weil Online Backup zu teuer (und "da bricht eh niemand ein"). Etc. etc...

 

Deshalb dachte ich, man könnte diese Werkstätten auf gehostete virtuelle Server migrieren. Von den Kosten her ginge das mittlerweile und SPLA können auch immer mehr Anbieter. Nur eben VPN wird benötigt, gemappte Drucker gehen nicht wegen Schachtsteuerung, Scan2Folder etc.

 

Es wäre schön, wenn man für so einfache Szenarien kein VPN-Gateway benötigen würde. Deswegen habe ich mich mal an einen Versuch mit der Terminierung des VPN auf dem Server gewagt und gehofft, dass jemand hier schon so etwas im Einsatz hat.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ggfs. wäre die Terra Cloud von Wortmann etwas? Da kannst du einzelne VMs inkl. Firewall für VPN mieten. Zumindest hostet eine andere Abteilung bei uns da für Kunden in deinem Bereich.

Ich habe bei uns für entsprechende Kunden in "unserem RZ" eine eigene ("recht spezielle") shared Umgebung in Betrieb genommen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke für den Tipp! Meine Kunden wollen die Daten aber in der Schweiz haben. :) Wobei es auch hier entsprechende Angebote gibt (einige Provider bieten sogar schon Azure Stack an), aber halt nur für den entsprechenden Preis. Für eine mittelgrosse Umgebung sind 50 Fr./Monat für einen VPN-Tunnel nicht zu viel, zumal man sich dann um nichts gross kümmern muss. Aber wenn es um ein oder zwei Benutzer geht wird es schwieriger.

 

Habe noch etwas getestet und es hinbekommen mit dem Server 2016. Falls es in Zukunft jemanden interessieren sollte:

 

Mit RRAS ("Demand-dial Interface") habe ich es nicht zum Laufen gebracht. Mit der Windows Firewall und einer "Connection Security Rule" ("Verbindungssicherheitsregel") läuft es. Mein Fehler war, dass ich auf der Firewall IKEv2 gewählt habe, weil RRAS nur das unterstützt. Die Windows Firewall nimmt aber immer IKEv1... Der Tunnel steht und Verkehr geht in beide Richtungen durch. Nicht hinbekommen habe ich Routing. Kann auch keine Route erstellen, da es für den Tunnel kein Interface gibt. Aber das ist nicht wichtig in so kleinen Umgebungen. Wenn man mehrere Server hat, kann man sich ein VPN beim Provider mieten oder eine Firewall-Appliance in einer VM laufen lassen.

 

Ist praktisch, eine solche Lösung mit Bordmitteln zu haben, aber ein Ersatz für eine richtige Firewall ist es natürlich nicht.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×