Jump to content

IPSec Richtlinie zur Sicherung der Terminaldienste - über Internet nicht möglich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Auf einem Windows 2000 Server der sich über einen Lancom DSL/I-10 Router ins Internet einwählt sind die Terminaldienste aktiviert. In der Routerkonfiguration ist dazu Port 3389 auf die IP des Servers geforwardet. Der Zugriff auf den Server funktioniert so einwandfrei im Netzwerk und von aussen übers Internet. Doch nach der Sicherung der Terminaldienstekommunikation mit einer IPSec-Richtlinie (Schlüsselaustausch über Zeichenkette gewählt) auf dem Server (siehe Microsoft KB-Artikel: http://support.microsoft.com/default.aspx?scid=kb;de;315055) und das zusätzliche Forwarden des Ports 500 auf die IP des Servers ist der Terminalserver von aussen übers Internet nicht mehr erreichbar. Im Netzwerk selbst funktioniert der IPSec gesicherte Aufbau zum Terminalserver problemlos, d.h. eine Fehlkonfiguration ist eigentlich ausgeschlossen. Der Router blockiert also scheinbar irgendwelche IPSec Pakete, auch wenn die Firewall komplett abgeschaltet ist. Sind vielleicht weitere Ports in der zu forwarden ausser 3389 und 500? Der Router kann laut Datenblatt IPSec Pass-Through. Meine Frage: Hat jemand schon erfolgreich nach dieser Anleitung von Microsoft die Terminaldienstekommunikation per IPSec gesichert, sodass man noch übers Internet drauf zugreifen konnte? Oder hat jemand eine Idee wo ein Fehler sein könnte?

Link to comment

NAT-T ist mir schonmal in nem Microsoft Artikel über den Weg gelaufen. Aber ich dachte wenn mein Router IPSec Pass-Through kann und die IPSec Pakete 1:1 an den Server weiterleitet dann dürfte der keine Probs damit haben - scheinbar wohl doch wegen dem NAT. Kann ich dann überhaupt einen IPSec basierten VPN Tunnel von einem Client zum Win2k Server durch den Router durschschleifen? Oder muss ich mir gleich nen VPN Router kaufen? Ausserdem: Ein Router macht doch immer NAT - also wozu ist das Feature VPN Pass-Through dann gut - nur für die Clients?

Link to comment

Wenn du ein NAT-Gerät dazwischen hast, dann braucht man NAT-T., weil sonst der AH Header im Paket nicht mehr stimmt (PPTP dagegen hat diesen Header nicht und ist daher unkritisch bei NAT).

VPN Passthrough bedeutet nur, dass der Router die Pakete nicht verwirdft, weil ja kein TCP oder UDP Header mehr da, auf den Regeln angewendet werden könnten.

 

grizzly999

Link to comment

Vielen Dank für deine Antworten. Jetzt weiss ich endlich Bescheid. Noch eine kleine Frage zum Schluss: Ist es überhaupt sinnvoll, einen VPN Tunnel über PPTP vom Client zum Server herzustellen, um dann nur die Terminaldienstverbindung da drüber laufen zu lassen? Diesen Aufwand nur damit sich ein paar user Remote einwählen können? Hab mal gelesen der PPTP Tunnel lohnt sich nur bei Point-to-point Verbindungen, also Router-zu-Router. Die Terminalverbindung kann ich ja auch mit immerhin 128bit verschlüsseln.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...