Domänenzugang über VPN (IPSec)

[Ben1804]

Servus Leute,

würde gerne eine VPN Verbindung herstellen, um von unterwegs auf meine Domäne zugreifen zu können.
Als VPN-Typ hätte ich gerne IPSec.

Ist hier eine statische IP nötig oder kann ich es dynamisch umsetzen?

Habt ihr mit einer vergleichbaren Konfiguration Erfahrung und könntet mich beraten?

Server läuft mit Windows 2012R2 und der Client mit Windows 10.

Ich freue mich über jeden Tipp.

Mfg,
Ben

 

[killerpixel]

Grundsätzlich geht das, DynDNS lässt grüßen. Kommt halt bisschen drauf an, was vor dem Server als Gateway wohnt bzw. was der Tunnelendpunkt ist und über welche Software die Verbindung hergestellt wird.

Wenn verfügbar, ist SSL-VPN meist etwas weniger sperrig.

 

[TheBeastMaster]

Dyndns mit PSK geht. Allerdings würde ich in dem Use-Case auch zu einem SSL-VPN raten. Das ist weniger PITA und meiner Meinung nach weniger Fehler (und damit Security) anfällig für verbastelte configs.

 

[Ben1804]

Grundsätzlich geht das, DynDNS lässt grüßen. Kommt halt bisschen drauf an, was vor dem Server als Gateway wohnt bzw. was der Tunnelendpunkt ist und über welche Software die Verbindung hergestellt wird.

Wenn verfügbar, ist SSL-VPN meist etwas weniger sperrig.

Dyndns mit PSK geht. Allerdings würde ich in dem Use-Case auch zu einem SSL-VPN raten. Das ist weniger PITA und meiner Meinung nach weniger Fehler (und damit Security) anfällig für verbastelte configs.

Vielen Dank für die schnellen Antworten.

Aktuell habe ich noch keinerlei Software installiert.
Nach meinem momentanen Wissensstand muss ich zuerst einmal die Serverrolle "Remotezugriff" ausrollen, oder?

Kann man es Windows intern lösen oder bin ich definitiv auf Drittanbieter-Software angewiesen?

Kann ich am Server auslesen, welche Hardware verbaut ist oder muss ich selbst nachschauen?
(Ich meine es ist ein Router der Telekom)

Ergänzung (15. Oktober 2019)

Zum PSK, ist auch eine Smartcard möglich?

 

[killerpixel]

Yikes. Also komplett Windows basiert, ja? Da kann ich dir leider nicht mit Erfahrungswerten dienen, hab das bisher immer in Umgebungen mit Firewalls davor gemacht.

Sollte so aber auch gehen. Im Speedport einfach die entsprechenden Ports an den Server durchreichen und dort alles einrichten.

Authentifizierung sollte auch mit Karte gehen, je nachdem wie du das im Windows baust, aber da möcht ich mich nich festlegen.

 

[Ben1804]

Yikes. Also komplett Windows basiert, ja? Da kann ich dir leider nicht mit Erfahrungswerten dienen, hab das bisher immer in Umgebungen mit Firewalls davor gemacht.

Sollte so aber auch gehen. Im Speedport einfach die entsprechenden Ports an den Server durchreichen und dort alles einrichten.

Authentifizierung sollte auch mit Karte gehen, je nachdem wie du das im Windows baust, aber da möcht ich mich nich festlegen.

Was könntest du denn stattdessen für Software empfehlen?

 

[killerpixel]

Weniger Software als Hardware.

Sowas wird (zumindest hier bei mir) über Firewall-Appliances gelöst.

Aber wie gesagt, sollte auch mit der vorhandenen Umgebung funktionieren. Ich bin mir sicher, zum Einrichten des VPN-Servers findet man auch reichlich Anleitungen.

 

[Raijin]

Naja, Windows ist prinzipiell auch nur bedingt als VPN-Server, der ins lokale Netzwerk routen soll, geeignet. Es geht zwar, aber auch Windows Server hat nur rudimentäre Routing-Fähigkeiten. Sofern es nur um einen simplen Fernzugriff via VPN geht, ist das aber ausreichend.

 

[Ben1804]

Mir geht es primär darum, dass ich mich kurzzeitig aber geschützt einwählen kann, um die Anmeldungen in der Domäne zurücksetzen zu können.

Mein Ziel ist es, dass ich mich unbegrenzt mit meinem Domänenaccount anmelden kann.
Windows kann, wenn ich es richtig verstanden habe nämlich nur bis zu 50 Anmeldungen ohne Domäne ermöglichen.

Mehr habe ich aktuell nicht mit dem VPN vor.

Hier die Erklärung der Sicherheitsrichtlinie:

Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)

Die Anmeldeinformationen jedes Benutzers werden lokal zwischengespeichert, damit sie sich anmelden können, wenn ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Die zwischengespeicherten Anmeldeinformationen werden aus der vorherigen Anmeldesitzung gespeichert. Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert sind, wird für den Benutzer die folgende Meldung angezeigt:

Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

Mit dieser Richtlinieneinstellung wird die Zwischenspeicherung der Anmeldeinformationen bei einem Wert von 0 deaktiviert. Bei jedem Wert über 50 werden nur 50 Anmeldeversuche zwischengespeichert. Windows unterstützt maximal 50 Cacheeinträge, und die Anzahl der pro Benutzer verbrauchten Einträge hängt von den Anmeldeinformationen ab. Beispielsweise können in einem Windows-basierten System maximal 50 Benutzerkonten mit eindeutigem Kennwort zwischengespeichert werden. Es können aber nur 25 Smartcard-Benutzerkonten zwischengespeichert werden, da sowohl die Smartcardinformationen als auch die Kennwortinformationen gespeichert werden. Wenn sich ein Benutzer, dessen Anmeldeinformationen zwischengespeichert wurden, erneut anmeldet, werden die für diesen Benutzer zwischengespeicherten Informationen ersetzt.

Ergänzung (15. Oktober 2019)

Vielleicht lässt es sich auch noch leichter lösen?

 

[snaxilian]

Ja, du kannst unter Windows den L2TP/IPsec Server nutzen. Ja, die Anmeldung kann auch mit einer Smartcard erfolgen. Ja, die Einrichtung ist nicht ganz trivial: https://docs.microsoft.com/de-de/security-updates/security/20072351 So auf die Schnelle gefunden, ich würde jedoch die englische Anleitung bevorzugen, da nicht maschinell übersetzt und so weniger Fehler drin

Bzgl. der Anmeldung: Beim Verbindungsaufbau wirst du ja deine Credentials Richtung VPN-Server, der dann den Domain Controller fragt ob die Credentials passen und du berechtigt bist (naja streng genommen gegen kerberos und der dann Richtung DC aber hey Details...). Von daher machst du ja keine Anmeldung mit Cached Credentials. Das ist eher der Fall wenn du dich lokal am Laptop anmeldest aber gerade irgendwo unterwegs bist und eben kein Anmeldeserver, sprich DC, erreichbar ist.

 

[Ben1804]

@snaxilian

Vielen Dank! Das hilft mir sehr.

Das ist eher der Fall wenn du dich lokal am Laptop anmeldest aber gerade irgendwo unterwegs bist und eben kein Anmeldeserver, sprich DC, erreichbar ist.

Genau das ist der Plan, aber da dies standardmäßig nur begrenzt möglich ist, suche ich nach einer Möglichkeit die 50 Anmeldungen resetten zu können.


Ich lese mich mal durch deine Anleitung durch. Danke!

 

[snaxilian]

Dann nimm halt DirectAccess damit baut jeder Client, der sich nicht im Firmennetz befindet bei Anmeldung ein VPN zum Firmennetz auf und verhält sich dann so als wäre er innerhalb des Firmennetzes. AD-Anmeldung, Clientmanagement per GPOs, Zugriff aufs Intranet, etc sind dann damit möglich.
Das oder ein VPN, alles andere ist Gefrickel. Ansonsten klingt das eher nach einem organisatorischen Problem und weniger nach einem technischen. Sollen sich halt die Anwender regelmäßig mit der Firma per VPN verbinden, dann hast du nicht das Problem. Alternativ Anbindung an AzureAD, dann kann man sich auch unterwegs gegen das eigene AD authentifizieren.

 

[Ben1804]

Guten Morgen snaxilian,

stimmt es, dass ich diese Funktion lediglich mit Enterprise nutzen kann?
Hört sich nahezu perfekt für mein Vorhaben an, aber leider ist auf den Clienten nur Windows 10 Pro... :\
Anhang anzeigen 831618

Dann nimm halt DirectAccess damit baut jeder Client, der sich nicht im Firmennetz befindet bei Anmeldung ein VPN zum Firmennetz auf und verhält sich dann so als wäre er innerhalb des Firmennetzes. AD-Anmeldung, Clientmanagement per GPOs, Zugriff aufs Intranet, etc sind dann damit möglich.
Das oder ein VPN, alles andere ist Gefrickel. Ansonsten klingt das eher nach einem organisatorischen Problem und weniger nach einem technischen. Sollen sich halt die Anwender regelmäßig mit der Firma per VPN verbinden, dann hast du nicht das Problem. Alternativ Anbindung an AzureAD, dann kann man sich auch unterwegs gegen das eigene AD authentifizieren.

 

[snaxilian]

Ja. Deine Anforderungen lassen darauf schließen, dass du es beruflich, sprich in einem Unternehmen nutzen willst. Ergo ist für die betroffenen Clients eine Enterprise notwendig, wenn du das Feature nutzen willst.

Ansonsten mal die Doku lesen nach Alternativen: https://docs.microsoft.com/de-de/windows-server/remote/remote-access/remote-access

 

[Ben1804]

Guten Morgen,
ist eine solche Konfiguration überhaupt mit meiner Hardware möglich?


Aktuell betreibe ich eine Offline Root-CA (MS Server 2012 R2)

Eine Sub-CA (MS Server 2012 R2),
welche gleichzeitig der Dreh- und Angelpunkt ist.

• Alle Festplatten
• DNS-Server
• AD

Router im Büro ist ein T-Online Speed-Port Hybrid

In- und extern sind mehrere Windows 10 Clienten in Betrieb.

Ich weiß, dass das nicht die sicherste und beste Kombination ist, aber nun die Frage:

Brauche ich für den VPN-Server nochmal einen dritten Server, da ich in jedem Tutorial und in jeder Grafik den VPN separat sehe?

Vielen Dank,
Bene

Ergänzung (17. Oktober 2019)

Das habe ich gefunden:
Erforderliche Komponenten
Wahrscheinlich verfügen Sie über die bereitgestellten Technologien, die Sie zum Bereitstellen Always on VPN verwenden können. Abgesehen von Ihren DC/DNS-Servern erfordert die Always on-VPN-Bereitstellung einen NPS-Server (RADIUS), einen Zertifizierungsstellen Server (ca) und einen RAS-Server (Routing/VPN). Nachdem Sie die Infrastruktur eingerichtet haben, müssen Sie Clients registrieren und die Clients dann mithilfe mehrerer Netzwerk Änderungen sicher mit Ihrem lokalen Standort verbinden.

DC/DNS-Server
NPS-Server
Zertifizierungsstellen Server
RAS-Server (Routing/VPN)
und Active Directory

sind auf meinem DC1 geplant

 

[snaxilian]

Du siehst dies in allen Grafiken, da Trennung von Diensten auf verschiedene Systeme, Netzwerksegmente und Sicherheitsanforderungen best practice bzw. je nach Regulatorien vorgeschrieben ist. Klar kannst du theoretisch alles auf einem System betreiben. Macht das Sinn? Nein. Ist es best practice? Nein. Ist es supported? Nein. Ist es wunderbar unsicher: ja

Alles auf einer Kiste bedeutet am Ende: Dein DC ist direkt aus dem Internet erreichbar.

 

[Ben1804]

Ich finde es auch sehr bedenklich, aber genau mit dieser Hardware, soll ich es auf die Beine stellen und bin deshalb etwas ratlos.

Ich habe es oben noch ergänzt. Der Router ist ein Speed-Port Hybrid von T-Online, falls es hilfreich oder damit ggf. gar nicht erst möglich ist.

 

[snaxilian]

Selbst mit nur einer Hardware nimmt man HyperV... Klar kann man es umsetzen aber Verantwortung für sicheren und stabilen Betrieb würde ich nicht übernehmen und mir das schriftlich versichern lassen...

Auf den ersten Blick sollten Portforwardings mit dem Hybrid klappen.

 

[Ben1804]

Okay, dann werde ich es auf dem DC1 versuchen.

Nur ist es aktuell noch etwas schwierig für mich, wie letztlich die Verbindung vom Clienten zum Server über VPN aufgebaut werden kann.

Ich würde es gerne über Zertifikate lösen. Alternativ gib es ja einen PSK . Wo würde ich diesen finden bzw. bestimmen können?

 

[Ben1804]

Guten Morgen zusammen,

ich hoffe, ihr habt noch ein paar Nerven für mich übrig

Vielleicht ist doch eine Hardwarelösung im Buget.

Was wäre denn eine kostengünstigste Variante, für einen separaten physischen VPN Server?
Reicht ein ausrangierter Laptop?
Hat jemand Erfahrungen mit einem Plug-&-Play-System ?