Pressmar 10 Geschrieben 6. September 2005 Melden Teilen Geschrieben 6. September 2005 Ich weiss es ist eher eine Anfänger Frage, aber ich komme leider nicht weiter und habe auch unter suchen im forum keine für mich sinnvolle antwort bekommen. Im Grunde gehts es darum eine funktionierende VPN Verbindung Client XP/ Server 2000 vom AH-Tunnelmodus auf den ESP-Tunnelmodus umzustellen. Dies wurde nötig da eine neuer Router auf der Clientseite zwar VPN IPSec-Passthrough unterstützt aber eben nicht die AH sondern nur die ESP Tunnelvariante zulässt (trifft auf AVM Fritz BOX 7050 und die Netgear Rangemax Router zu). Jetzt meine Frage wie kann ich von AH auf ESP umstellen und was ist dabei zu beachten. Wenn da jemand infos hätte wäre ich sehr dankbar. Vielen Dank schon mal im Voraus. Oliver Pressmar Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. September 2005 Melden Teilen Geschrieben 6. September 2005 Eigentlich ist es kein Problem, da die beiden IPSec-Partner anhand von Proposals entscheiden, ob eine Sicherheitszuordnung erfolgt oder nicht. Passe ich auf beiden Seiten die Proposals so an, dass eine Übereinkunft stattfinden kann, werden beide Seiten einer Verbindung zustimmen. Wenn Du jetzt die Proposals der Phase 2 so anpasst, dass Datenintegrität (AH) nicht mehr vorgeschlagen wird (auf beiden Seiten) sondern nur noch Vertraulichkeit (ESP mit Verschlüsselung), steht einer Verbindung ohne AH nichts mehr entgegen. Deine Frage war sehr allgemein gehalten, ich weiss natürlich nicht, was Du dort einsetzt und wie, mich wundert nur ein wenig, dass AH überhaupt eingesetzt wird, da AH über NAT nicht funktioniert und NAT in den allermeisten Fällen eingesetzt wird. Habt Ihr es eingesetzt, damit Eure Daten nicht verändert werden können oder in Verbindung mit ESP ? Kannst ja mal ein bisschen näher erklären, wie Ihr die Verbindung zwischen den beiden Geräten herstellt ... :) Zitieren Link zu diesem Kommentar
Pressmar 10 Geschrieben 6. September 2005 Autor Melden Teilen Geschrieben 6. September 2005 Wir haben zwei Internetserver die jeweils eine Internetseite und einen VPN Zugang ermöglichen sollen. Alle Geräte in den Netzwerken haben W2k und die Server sind auch die 2000er Version. Nun soll von aussen über das Internet auf die jeweiligen lokalen Netzwerke zugegriffen werden. Dazu wird an den Clients entweder W2K oder WXP die betriebssystemeigene VPN Verbindung aufgebaut. Auf der Serverseite wird auch die betriebssystemeigene VPN Lösung des 2K Servers benutzt. Wenn ich jetzt von aussen ohne Router eine Verbindung aufbau, erhalte ich folgende Details unter XP Gerätename: WAN-Miniport (PPTP) Gerätetyp: vpn Servertyp: PPP Übertragung: TCP/IP Authentifizierung: MS CHAP V2 Verschlüsselung: MPPE 128 Komprimierung: MPPC PPP-Multilinkframing: Inaktiv Jetzt ist es so, dass ich aber auch über andere Clients die über verschiedene Router (z.B. Netgear Rangemax) auf die lokalen Netzwerke zugreifen muss. Leider erlauben viele neue Router diese Art der VPN Verbindung nicht. Mir wurde gesagt, dass es daran liegt das die neuen Router keinen AH sondern nur ESP Tunnel erlauben. Jetzt meine Frage was muss ich Server wie clientseitig umstellen, dass ich eine VPN Verbindung auch durch diese Router hindurch etablieren kann. Entscheidend dabei ist ja noch zusätzlich (wenn ich das richtig verstehe), das ich das Protokoll von PPTP auf L2TP/IPSec umstellen muss, da die Router ja nur "IPsec Unterstützung: VPN Pass-Through" unterstützen. Ich weiß, dass das alles ein recht umfägliches problem ist, aber für Hilfe bin ich sehr dankbar. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. September 2005 Melden Teilen Geschrieben 6. September 2005 Im Moment baust Du einen PPTP-Tunnel auf, der mit IPSec, also auch mit AH und ESP überhaupt nichts zu tun hat. Deine Router werden sicher den TCP-Port 1723 (PPTP) nach innen leiten können. Was eventuell Probleme bereiten könnte ist GRE (IP-Protokoll 47), welches für die Kapselung der PPP-Rahmen benutzt wird. Überprüfe doch mal, zur Not mit Hilfe des Herstellers der Geräte, ob Deine Geräte sowas zulassen, bevor Du alles ummodelst. IPSec allerdings ist ohne Frage die bessere Lösung, die zwar komplizierter zu handhaben ist, aber,wenn es dann läuft, als sehr sehr sicher gilt. Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 7. September 2005 Melden Teilen Geschrieben 7. September 2005 Leider erlauben viele neue Router diese Art der VPN Verbindung nicht. Mir wurde gesagt, dass es daran liegt das die neuen Router keinen AH sondern nur ESP Tunnel erlauben. Bitte wendet euch bei solch sicherheitsrelevanten Fragen an Profis!! So eine Aussage zu treffen (bei deiner Ausgangslage) ist fast schon ne Frechheit :shock: m Moment baust Du einen PPTP-Tunnel auf, der mit IPSec, also auch mit AH und ESP überhaupt nichts zu tun hat. Deine Router werden sicher den TCP-Port 1723 (PPTP) nach innen leiten können. Was eventuell Probleme bereiten könnte ist GRE (IP-Protokoll 47), welches für die Kapselung der PPP-Rahmen benutzt wird. Überprüfe doch mal, zur Not mit Hilfe des Herstellers der Geräte, ob Deine Geräte sowas zulassen, bevor Du alles ummodelst. IPSec allerdings ist ohne Frage die bessere Lösung, die zwar komplizierter zu handhaben ist, aber,wenn es dann läuft, als sehr sehr sicher gilt. /signed Nochmal kurze Begriffsklärung IPSec: - AH bestätigt dir lediglich, dass deine Daten nicht modifiziert wurden! (daher nicht mit NAT verwendbar) - ESP sorgt für die Verschlüsselung deiner Daten. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. September 2005 Melden Teilen Geschrieben 7. September 2005 Recht hast Du :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.