edvlabor 10 Posted July 9, 2004 Report Share Posted July 9, 2004 Auf einem Windows 2000 Server der sich über einen Lancom DSL/I-10 Router ins Internet einwählt sind die Terminaldienste aktiviert. In der Routerkonfiguration ist dazu Port 3389 auf die IP des Servers geforwardet. Der Zugriff auf den Server funktioniert so einwandfrei im Netzwerk und von aussen übers Internet. Doch nach der Sicherung der Terminaldienstekommunikation mit einer IPSec-Richtlinie (Schlüsselaustausch über Zeichenkette gewählt) auf dem Server (siehe Microsoft KB-Artikel: http://support.microsoft.com/default.aspx?scid=kb;de;315055) und das zusätzliche Forwarden des Ports 500 auf die IP des Servers ist der Terminalserver von aussen übers Internet nicht mehr erreichbar. Im Netzwerk selbst funktioniert der IPSec gesicherte Aufbau zum Terminalserver problemlos, d.h. eine Fehlkonfiguration ist eigentlich ausgeschlossen. Der Router blockiert also scheinbar irgendwelche IPSec Pakete, auch wenn die Firewall komplett abgeschaltet ist. Sind vielleicht weitere Ports in der zu forwarden ausser 3389 und 500? Der Router kann laut Datenblatt IPSec Pass-Through. Meine Frage: Hat jemand schon erfolgreich nach dieser Anleitung von Microsoft die Terminaldienstekommunikation per IPSec gesichert, sodass man noch übers Internet drauf zugreifen konnte? Oder hat jemand eine Idee wo ein Fehler sein könnte? Quote Link to comment
grizzly999 11 Posted July 9, 2004 Report Share Posted July 9, 2004 Der Router macht nach hinten hin NAT?! Du wirst du mit W2k-Server schlechte Karten haben, denn dann brauchst du NAT-T, und das gibt's erst bei W2k3 grizzly999 Quote Link to comment
edvlabor 10 Posted July 9, 2004 Author Report Share Posted July 9, 2004 NAT-T ist mir schonmal in nem Microsoft Artikel über den Weg gelaufen. Aber ich dachte wenn mein Router IPSec Pass-Through kann und die IPSec Pakete 1:1 an den Server weiterleitet dann dürfte der keine Probs damit haben - scheinbar wohl doch wegen dem NAT. Kann ich dann überhaupt einen IPSec basierten VPN Tunnel von einem Client zum Win2k Server durch den Router durschschleifen? Oder muss ich mir gleich nen VPN Router kaufen? Ausserdem: Ein Router macht doch immer NAT - also wozu ist das Feature VPN Pass-Through dann gut - nur für die Clients? Quote Link to comment
grizzly999 11 Posted July 9, 2004 Report Share Posted July 9, 2004 Wenn du ein NAT-Gerät dazwischen hast, dann braucht man NAT-T., weil sonst der AH Header im Paket nicht mehr stimmt (PPTP dagegen hat diesen Header nicht und ist daher unkritisch bei NAT). VPN Passthrough bedeutet nur, dass der Router die Pakete nicht verwirdft, weil ja kein TCP oder UDP Header mehr da, auf den Regeln angewendet werden könnten. grizzly999 Quote Link to comment
edvlabor 10 Posted July 9, 2004 Author Report Share Posted July 9, 2004 Vielen Dank für deine Antworten. Jetzt weiss ich endlich Bescheid. Noch eine kleine Frage zum Schluss: Ist es überhaupt sinnvoll, einen VPN Tunnel über PPTP vom Client zum Server herzustellen, um dann nur die Terminaldienstverbindung da drüber laufen zu lassen? Diesen Aufwand nur damit sich ein paar user Remote einwählen können? Hab mal gelesen der PPTP Tunnel lohnt sich nur bei Point-to-point Verbindungen, also Router-zu-Router. Die Terminalverbindung kann ich ja auch mit immerhin 128bit verschlüsseln. Quote Link to comment
grizzly999 11 Posted July 9, 2004 Report Share Posted July 9, 2004 Also ich mache RDP Sessions auch über PPTP, trotz Verschlüsselung des RDP selber. Doppelt hält besser ;) Wenn man auf Sicherheit bedacht ist, sollte man bei PPTP aber lange und komplexe Kennwörter benutzen, denn das ist der Angriffspunkt auch für 128-Bit PPTP. grizzly999 Quote Link to comment
edvlabor 10 Posted July 12, 2004 Author Report Share Posted July 12, 2004 Wenn ich den VPN Tunnel über PPTP hergestellt habe - wie kann ich dann veranlassen, dass eine Terminalverbindung über diesen VPN Tunnel hergestellt wird? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.