lepfa 10 Geschrieben 28. August 2005 Melden Teilen Geschrieben 28. August 2005 Warum ich frage? Weil ich eine VPN Verbindung von einem WINXP pro (SP2) Client zu einem WIN2k3 StandardServer herstellen möchte. Der Client soll aber nicht Domänmitglied sein! Der Win2k3 Server ist konfiguriert mit DNS, DHCP, RRAS (benutzerdefiniert VPN), Zertifizierungsstelle, IIS. Nun habe ich gelesen, dass es nicht möglich sei mit der Standardversion eine L2TP/IPSec Verbindung herzustellen mit Zertifikatverschlüsselung. Also bleibt L2TP/IPSec via PKI oder PPTP/TSL.. Was ist nun besser? Oder sicherer.. Falls mir nichts anderes bleibt.. Gruß lepfa Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. August 2005 Melden Teilen Geschrieben 28. August 2005 VPN hat nichts mit Domäne zu tun, rein gar nichts ;) Und L2TP kann man auch ohne Domäne mahen grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 28. August 2005 Autor Melden Teilen Geschrieben 28. August 2005 VPN nicht.. aber die Authentifizierung schon! Wenn ich im LAN / oder dyndns mit einem Client connecten möchte und ich möchte L2TP/IPSec verwenden mit Zertifikat, konnte ich auch aus dem Gespräch welches Du mit Dr.Kiffer http://www.mcseboard.de/showthread.php?t=48404&highlight=ipsec geführt hast entnehmen, dass es nur innerhalb einer EE Umgebung so funzt, dass der Client kein Domänmitglied sein soll. Oder verdrehe ich das jetzt einiges? Und deshalb meine Frage ob L2TP/IPsec via PKI, PPTP/TLS vorzuziehen ist bem Tunneln? der VPN server ist ein DC. bzw. im LAN wird eben eine Domäne verwendet und auf das LAN möchte ich von außen zugreifen. :) gruß lepfa Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. August 2005 Melden Teilen Geschrieben 28. August 2005 Hm, da hast du was nicht ganz korrekt interpretiert. Wenn man eine Unternehmenszertifizierungsstelle eingerichtet hat, das geht nur im AD ! - dann können nur Security Pricnipals der Domäne ein Zertifikat dieser CA beantragen. Wenn man aber eine eigenständige CA eingerichtet hat, ist man von einer AD-Domäne völlig losgelöst, man kann diese Standalone betrieben und alle möglichen Computer, Benutzer und Dienste lönnen von ihr ein Zertifikat beantragen. ;) L2TP mit Zertifikaten ist sicheres als PPTP, allerdings ist die Angriffsfläche für einen möglichen Angriff auf PPTP auch sehr gering und beschränkt sich auf die Übertragung des Passwort-Hashes. Wenn man ein sicheres, komplexes, zufällig gewähltes, lang genuges Passwort wählt, dann ist man da ziemlich auf der sicheren Seite. Dennoch, ein Zertifikat zu "faken" dürfte in den Bereich der Unmöglichkeit geraten. Wenn du es also einfacher haben möchtest, dann nimm PPTP mit gescheiten Kennwörtern, ansosnten eine Eigenständige CA einrichten. grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 28. August 2005 Autor Melden Teilen Geschrieben 28. August 2005 Wenn man eine Unternehmenszertifizierungsstelle eingerichtet hat, das geht nur im AD aha.. also dann ei de Auswahl der Zertifizierungsstelle eben nicht die für das Unternehmen wählen.. ich werde es probieren :-) thx lepfa Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.