VPN (L2TP IPSec und PSK) ohne Zertifikat möglich?

[-Overlord-]

Hiho Leute

Bin gerade dabei testweise einen RAS/VPN Server zu installieren. PPTP Einwahl klappt ohne Probleme und da wollte ich einen Schritt weiter gehen und L2TP mit IPSec benutzen.

Weder Servern noch VPN Clients sind in einem AD. Ich wollte das nun ohne Zertifikat lösen mit einem PSK nur gibt der mir immer wieder zurück, dass das Benutzerkonto gesperrt ist.

Brauche ich trotzdem weiterhin ein Zertifikat? für L2TP?

Aso btw. der VPN Server ist unter 2003 installiert.

Greetz
Overlord

 

[systemkiller]

nein - kannst auch PSK nutzen.

Routingund Ras aufrufen - Eigenschaften des Servers - Sicherheit - "Benutzedefinierte IPSEC Richtlinie .... zulassen"

 

[-Overlord-]

Hab ich gemacht... Schlüssel ist auch drin. Nur ich kann mich halt nicht einwählen, er meint, dass das Benutzerkonto gesperrt ist.

 

[systemkiller]

Dann schau mal ins Benutzerkonto (auf dem Server), Standard ist, das Einwählen über RAS Richtlinie erlaubt ist - vieleicht dort das Häckchen falsch gesetzt und auf verbieten gesetzt.

Es muss natürlich eine RAS-Richtlinie für VPN-Einwahl exestierren !

 

[-Overlord-]

Existiert ja... also per PPTP hat es funktioniert. Bei der Umstellung auf L2TP hab ich dann nur noch eine Richtlinie für das L2TP Protokoll gemacht und das es erlaubt wird.

Kurze Frage noch... ich hab nun schon paar mal gelesen, dass L2TP mit IPSec mit einer NAT nicht funktioniert. Ist das immernoch aktuell? Sprich ich komm an meinen NAT Router hier zu Hause nicht drum rum und es klappt nicht?

 

[systemkiller]

Entweder Dein Router unterstützt IPSEC Pass Trough - oder die entsprechenden Ports müssen im Router frei sein ;
Port 1701 TCP und Port 500 UDP müssen im Router geforwarded werden
(Port 1723 ist für PPTP)

 

[-Overlord-]

Ah... also wenn die Ports Forwardet sind, klappts also ohne Probleme? Das gut...

... nun muss ich nur noch gucken warum das Benutzerkonto immer gesperrt ist xD

Aber Frage nebenbei... L2TP mit IPSec und PSK ist wohl mit eine der sichersten Methoden für ein VPN, oder? Also wenn man kein AD und keinen Zertifikatsserver hat, oder?

 

[systemkiller]

Yepp - Zertifikat basiert ist natürlcih besser (sicherer). Kannst auch Open VPN nutzen (mit Zertifikat). guggst Du hier : http://openvpn.net/

 

[-Overlord-]

Cool danke, klappt Ich hab wohl ne falsche Option gewählt mein erstellen des Servers. Gibt ja 2 Stück:

-RAS (DFÜ oder VPN)
-VPN-Zugriff und NAT

Ich hab immer das mit RAS genommen... damit hat es nicht funktioniert. Mit dem anderen geht es.

Komme mit L2TP und IPSec aus dem lokalen Netz auf den Server mit Handy und PC. Von außen durchs Internet komme ich mit PPTP drauf, mit L2TP und IPSec klappts noch nicht ganz... Port 1701 und 500 hab ich im Router frei gemacht (Fritzbox 7270).

 

[systemkiller]

schön das es soweit klappt - Port 500 ist UDP

 

[-Overlord-]

Mhh ich hab beide Ports als UDP offen. Nutze einen fritzisierten W920V (AVM 7270).

Lokal komme ich ins Netz, kein Problem... nur von aussen komme ich nicht per L2TP und Ipsec rein.

Fehler 768 Datenverschlüsselung fehlerhaft

Woran kann das liegen? oO

 

[steven08]

wenn du einen VPN Server eingerichtet hast, dann gibt es mehrere Authentifizierungsmöglichkeiten

der erste und älteste wäre PPTP da läuft die Authentifierung über Username+Passwort und eventuell Domäne falls du eine hast. zb. homserver.local und das läuft über Port 1723 TCP

die zweite wäre L2TP-IPSEC das wäre mit Zertifikatabfrage+Username+Passwort+Domäne
dazu muss man aber auch unter W2K3 den Ras und Routing Server aktivieren denn darüber musst du dann deine VPN-Clients konfigurieren und das Zertifikat zuweisen. was auf jeden VPN-Client installiert sein muss
und das läuft über den Port 1701 TCP + 500 UDP.