Sichere VPN Verbindung

[Landsucher 10]

Hallo Leute

 

Für meine IHK Projektarbeit habe ich das Thema "VPN"gewählt.

Ich habe dafür einen Windows 2000 Server und einen DSL

Anschluß genommen.RRAS nach Anleitungen konfiguriert

und die Verbindungen zwischen einem Host und dem Server

funktionieren auch.Jetz bin ich mir aber nicht sicher ob überhaupt

eine gesicherte PPTP Verbindung aufgebaut wird, weil ich

gelesen habe das es auch VPN verbindungen ohne PPTP gibt

In den Eigenschaften der ertellten VPN Verbindung steht zwar als Gerätename WAN Miniport(PPTP)

aber als Gerätetyp und Servertyp PPP.

Vieleicht könnte das mir einer erläutern.

 

Besten Dank

[grizzly999 11]

VPN bei Microsoft geht nur über PPTP oder L2TP. Allerdings ist PPTP nur eine "Erweiterung" von PPP. Ein Protokoll der untersten Ebene wird auch bei VPN benötigt, bei PPTP ist das PPP. Dass die Daten wirklich verschlüsselt übers Netz gehen, kannst du mit dem Netzwerkmonitor (auf dem Server) oder mit dem freeware Programm etheral (http://www.ethereal.com) überprüfen. Bei PPTP findest du neben etlichen PPP-Paketen auch die verschlüsselten PPTP Pakete und GRE-Pakete (ebenfalls verschlüsselt).

 

grizzly999

[codi2302 10]

Hallo,

 

also zum Thema VPN gibt es da eine Superlösung von Com2

 

Schau mal unter http://www.com2-net.de

 

Gruss René

[deubi 10]

VPN mit IPSec zusammen ist schon "dicht"

[zuschauer 10]

Hi !

Ich schließ mich Deubi an. Wollte nur hinzufügen, daß Du nicht den PPTP-Client sondern einen L2TP-Client benutzten solltest.

Ich glaub, die IPSec-Richtlinien greifen auch nicht bei einem PPTP-Client.

Den verschlüsselten Trafic und die aufgebauten Verbindungen kannst Du dann mit ipsecmon kontrollieren.

[grizzly999 11]

L2TP hat nur einen kleine Nachteil (bei MS): man braucht IPSec-Zertifikate für die zwei Computer und natürlich entsprechende CA's. Wenn man das aber eingeichtet hat, ist L2TP besser, weil performanter und besser zu konfigurieren (naja PPTP ist ja gar nicht groß konfigurierbar).

 

grizzly999

[zuschauer 10]

Hi !

Man kann auch mit MS / L2TP mit "preshared secret" fahren. Reicht sicherlich auch für Landsuchers Projektarbeit und seine Testumgebung.

Vor 2 Jahren hatte MS eine kostenlose Zertifizierungsstelle für solche Tests eingerichtet. Find leider den Link nicht mehr und weiß auch nicht, ob der Server überhaupt noch läuft.

 

Gruß Nino

[grizzly999 11]

hallo zuschauer, das mit dem Ppeshared key geht nur bei reinem IPSec, also ohne L2TP.

Für L2TP geschieht die Tunnelendpunktauthentifizierung nur über Zertifikate ;-)

 

MS-original:

 

Authentication

The authentication of VPN clients by the VPN server is a vital security concern. Authentication takes place at two levels:

 

Machine-level authentication

When Internet Protocol security (IPSec) is used for a L2TP over IPSec VPN connection, machine-level authentication is performed through the exchange of machine certificates during the establishment of the IPSec security association. For more information, see IPSec security negotiation.

 

 

grizzly999

[zuschauer 10]

Oh, tut mir leid, hier irgendwelche Fehlinformationen zu geben.

Ich hatte das mit dem "preshared secret" auch nur in den Richtlinien gesehen und nicht getestet....

Ja, ja, denken und nicht wissen ist ....

 

Danke für die Info. :)

 

Nino

 

PS: Vielleicht find ich den Link zu diesem MS-Server noch. Dann häng ich den noch ran.

[grizzly999 11]

Nein,nein, dafür ist dieses Board ja da, um Informationen auszutauschen. Auch ich lerne immer wieder was dazu in diesem Board

 

grizzly999

[zuschauer 10]

Ich denk mal, deshalb sind wir alle hier an Bord, um was dazu zulernen. :)

[Resist 10]

Hallo zusammen,

 

hiermit sollte es auch ohne Zertifikate gehen...

 

 

Im Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

 

folgenden Registrierungswert hinzufügen:

Name: ProhibitIpSec

Typ : REG_DWORD

Wert: 1

 

 

Nachzulesen unter: :suspect:

http://support.microsoft.com/?kbid=240262

 

Fröhliche Weihnachten :D

[grizzly999 11]

Hallo Resist, und Willkommem im Board :)

 

tja, nett der Artikel, nur leider taugt die Lösung nur in äußerst beschränktem Umfang. So steht es auch drin:

 

In diesem Artikel wird beschrieben, wie Sie zwei RRAS-Server auf Windows 2000-Basis einrichten können, die über ein lokales Netzwerk mit einander verbunden sind und eine L2TP/IPSec-Verbindung mit Authentifizierung über einen vorinstallierten Schlüssel verwenden

 

Client-SRV-VPN ist damit nicht!

 

Aber trotzdem fröhliche Weihnachten :D

Nein, natürlich hoffe ich, man leist sich vorher noch ;)

 

grizzly999

[Resist 10]

Danke, für die freundliche Aufnahme in eure Mitte! :)

 

Korrekter Hinweis, danke!!! Ich habe mich da nicht gerade mit Ausführlichkeit und 100%igem Themenbezug gerühmt :wink2: sorry.

 

Vielleicht hilft es trotzdem jemanden, der verzweifelt in ähnlich lautenden Themen sucht (so wie ich teilweise) :rolleyes:

...oder etwas improvisieren muß.

 

Daran halte ich mich jetzt mal fest ...

 

 

Resist :)