VPN Ersteinrichtung mit 1793VA

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

VPN Ersteinrichtung mit 1793VA

Beitrag von tar »

Hallo,

kann mir jemand helfen, wie ich VPN beim 1793VA sicher, aber ohne Hardware-Generator einrichten kann, so dass sich bestimmte Nutzer einwählen und eine feste IP-Adresse in einem bestimmten separaten VLAN erhalten?

Hintergrund ist, dass ich einen Unraid-Server habe, auf dem ein Windows Server als VM läuft. Zu diesem Windows Server (und nur zu diesem) möchte ich nun gerne 2 Bekannten RDP-Zugriff gewähren. Da man RDP aber nicht generell nach außen öffnen sollte, brauche nun eine VPN-Einwahlmöglichkeit für die 2 Bekannten, die nach Einwahl auch in einem separaten Netzwerkbereich (eigenes VLAN) verbleiben sollten.

VLANs sind an sich schon vorhanden - ich würde ein neues für diesen Zweck einrichten, aber zur VPN-Einrichtung habe ich noch keinerlei Erfahrung.

Vielen Dank!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von GrandDixence »

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden. In der VPN-Anleitung für Windows gibt es einen Abschnitt mit verlinkten Beiträge, welcher explizit auf die Einrichtung von RAS (Einwahlverbindung) für mehrere verschiedene Benutzer eingeht. Diese verlinkten Beiträge sollten beachtet werden! Oder direkt:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101708
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von tar »

GrandDixence hat geschrieben: 05 Mai 2022, 20:36 Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Joa, das hat mich etwas erschlagen.
GrandDixence hat geschrieben: 05 Mai 2022, 20:36anwenden. In der VPN-Anleitung für Windows gibt es einen Abschnitt mit verlinkten Beiträge, welcher explizit auf die Einrichtung von RAS (Einwahlverbindung) für mehrere verschiedene Benutzer eingeht. Diese verlinkten Beiträge sollten beachtet werden!
Der Windows Server selbst braucht doch kein VPN - einfach RDP vom LAN, fertig. Oder meinst du die PCs/Laptops mit Windows, von denen sich die 2 Bekannten einloggen? Aber die brauchen doch nur die VPN-Software und Zertifikate, gell?
GrandDixence hat geschrieben: 05 Mai 2022, 20:36Oder direkt:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101708
Mh, also ich habe keine feste öffentliche IP, aber nutze duckdns.org als dynamischen IP-"Provider".

Dann wäre es gut, wenn es einfach per VPN-Software ginge - also OpenVPN oder ShrewVPN oder was da sinnvoll und eben sicher wäre. Vorteil wäre meiner Ansicht nach, dass die 2 Bekannten nicht an ihren Standard-Netzwerkadaptern hantieren und auch keine sonstigen nerdigen Einstellungen vornehmen müssten. Die sollen einfach bei Bedarf "Einwählen" klicken und done.

Warum brauche ich zur VPN-Einwahl einen DNS und woher kommen die WAN-Pool-Adressen für diesen DNS-Eintrag? Wobei es /Setup/IP-Router/Tag-Tabelle bei mir gar nicht gibt.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von Dr.Einstein »

Führe einfach den VPN Client Wizard (nicht 1 Click) aus. Der fragt alle Daten ab inkl. ob alle IP-Bereiche oder nur bestimmte Netze erreichbar sein sollen.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von tar »

Dr.Einstein hat geschrieben: 05 Mai 2022, 21:50 Führe einfach den VPN Client Wizard (nicht 1 Click) aus. Der fragt alle Daten ab inkl. ob alle IP-Bereiche oder nur bestimmte Netze erreichbar sein sollen.
Funktioniert leider nicht.

Ich habe ein neues VLAN eingerichtet unter IPv4 -> Netzwerke:

Code: Alles auswählen

Name:          GUESTS_VPN
IP-Adresse:    192.168.20.1
Netzmaske:     255.255.255.0
Netzwerktyp:   Intranet
VLAN-ID:       11
Schnittstelle: LAN-1
Adressprüfung: Flexibel
Tag:           0
Dazu den DHCP wie bei den anderen Netzwerken aktiviert und in der Firewall den RDP-Port vom lokalen Netzwerk GUESTS_VPN zur Windows Server VM erlaubt. Rest wird wie gehabt blockiert.

Dann habe ich VPN aktiviert und und dort nur NAT-Traversal angehakt.

Dann, wie vorgeschlagen, den Assistent genutzt:
- Einwahl-Zugang bereitstellen (RAS, VPN)
- IKEv2
- LANCOM Advanced VPN Client for Windows ohne 1 Click
- ohne IPSec-over-HTTPs (da Port 443 bereits für eine Webseitenanzeige genutzt wird)

Dieser hat dann folgendes eingetragen:

VPN -> Allgemein -> Netzwerk-Regeln -> IPv4-Regeln:

Code: Alles auswählen

Name:                RAS-ACCESS-FOR-TAR_VPN
Lokale Netzwerke:    192.168.20.0/255.255.255.0
Entfernte Netzwerke: 0.0.0.0./32
VPN -> IKEv2/IPSec -> Verbindungsliste:

Code: Alles auswählen

Name der Verbindung:   TAR_VPN
Eintrag aktiv:         ja
Haltezeit:             0 Sekunden
Entferntes Gateway:    0.0.0.0
Routing-Tag:           0
Verschlüsselung:       DEFAULT
Authentifizierung:     TAR_VPN
Verbindungs-Parameter: DEFAULT
Gültigkeitsdauer:      DEFAULT
Regelerzeugung:        Manuell
IPv4-Regeln:           RAS-ACCESS-FOR-TAR_VPN
IKE-CFG:               Server
IPv4-Adress-Pool:      IPV4POOL_01
IPv6-Profil:           DEFAULT
Rest:                  %leer%
VPN -> IKEv2/IPSec -> Authentifizierung:

Code: Alles auswählen

Name:                        TAR_VPN
Lokale Authentifizierung:    PSK
Lokaler Identitätstyp:       E-Mail-Adresse (FQUN)
Lokale Identität:            vpn_user
Lokales Passwort:            testpasswort (natürlich ein anderes)
Entfernte Authentifizierung: PSK
Entfernter Identitätstyp:    E-Mail-Adresse (FQUN)
Entfernte Identität:         vpn_user
Entferntes Passwort:         testpasswort (natürlich ein anderes)
Weitere entf. Identitäten:   %leer%
Lokales Zertifikat:          %leer%
Entfernter Zert.-ID-Check:   Nein
OCSP-Überprüfung:            Nein
CRL Check:                   Ja
VPN -> IKEv2/IPSec -> IPv4-Adressen:

Code: Alles auswählen

Name:           IPV4POOL_01
Erste Adresse:  192.168.20.100
Letzte Adresse: 192.168.20.150
Erster DNS:     192.168.20.1
Zweiter DNS:    0.0.0.0
Sonst wurde (hftl.) nichts weiter eingetragen, was nicht schon zuvor da war.

Eine Test-VPN-Verbindung aus einer Windows-VM, die bereits in einem anderen VLAN hängt, ging nicht. Ich vermute, da kommt der Router komplett durcheinander, weil die VM ja schon im LAN ist.

Eine Test-Verbindung vom Handy (da zu Mobil-Provider verbunden) mit VPN per PPTP (mit und ohne MPPE) sowie L2TP ging aber leider auch nicht. Bei L2TP/IPSec PSK sowie IPSec XAuth PSK habe ich als IPSec-ID und -Schlüssel dieselben Daten wie für den Nutzer verwendet und dann zusätzlich beim Nutzer, ging aber auch nicht - dauert nur länger, bis "Nicht erfolgreich" angezeigt wird.

Selbst wenn es ginge, frage ich mich noch, wie sich so beide Nutzer parallel anmelden könnten, da ja bei der Authentifizierung nur 1 Nutzer je Verbindung hinterlegt werden kann. Heißt das, ich müsste für jeden einzelnen Nutzer eine eigene Authentifizierung (was ja okay wäre) UND eine eigene Verbindung (was ich schräg finde) anlegen?

Aber es geht ja an sich nicht. Von Zertifikaten noch ganz zu schweigen.
Ganzfix
Beiträge: 176
Registriert: 12 Sep 2005, 10:34
Wohnort: Darmstadt

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von Ganzfix »

tar hat geschrieben: 06 Mai 2022, 00:26 Selbst wenn es ginge, frage ich mich noch, wie sich so beide Nutzer parallel anmelden könnten, da ja bei der Authentifizierung nur 1 Nutzer je Verbindung hinterlegt werden kann. Heißt das, ich müsste für jeden einzelnen Nutzer eine eigene Authentifizierung (was ja okay wäre) UND eine eigene Verbindung (was ich schräg finde) anlegen?
Ja, Du musst für jeden Benutzer eine eigene Verbindung mit Authentifizierung anlegen.

Zum Testen den VPN Advanced Client nehmen, dort kannst Du die Einstellung vom Assistenten direkt importieren. Gibt es auch als 30 Tage Testversion. Falls der PC WLAN hat, dann am besten vom internen Netz abkoppeln und das VPN am Hotspot eines Handys testen.
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: VPN Ersteinrichtung mit 1793VA

Beitrag von tar »

Ganzfix hat geschrieben: 06 Mai 2022, 08:18Zum Testen den VPN Advanced Client nehmen, dort kannst Du die Einstellung vom Assistenten direkt importieren.
Ich kam die Nacht mit einem Kollegen zum Testen, was auch funktioniert hat. Dabei fiel mir folgendes auf:

1. Ich sehe im LAN-Monitor keinen Eintrag im VPN-Netz, obwohl er verbunden war und die korrekte IP-Adresse bezog. Liegt das daran, weil er die IP per IPv4-Routingtabelle bezieht? Gibt es eine Möglichkeit, eingeloggte VPN-Nutzer im LAN-Monitor anzuzeigen?

2. Er konnte aus dem VPN-Netz nicht auf das andere Netz zugreifen. Ich vermutete, weil man beim Wizard festlegt, welches Netz der VPN-Nutzer sehen darf, was ja das VPN-Netz war. Daher und weil ich eh keine bestehende Verbindung im LAN-Monitor sehe, habe ich die VPN-Konfiguration dann manuell so geändert, dass er direkt im VM-Netz landet. Hier konnte er nun aber immer noch nicht per RDP auf die VM zugreifen - trotz Allow-RDP-Regel auf die VM. Erst nach Allow-All-Regel auf VM und Router(!) im VM-Netz ging es.

Wir haben dann nicht weiter herumgetestet. Ich war froh, dass es überhaupt klappte, auch wenn wir am Ende zum Schluss kamen, dass wir es vorerst doch nicht verwenden werden.

Dabei kam mir aber ein Gedanke: gibt es die Möglichkeit, interne IP-Zuweisungen (statisch, per DHCP, IPv4-BOOTP, IPv4-Routingtabelle) und -dauer sowie eingeloggte und fehlgeschlagene VPN-Einwahlversuche explizit zu loggen?
Antworten