Site-2-Site VPN von Securepoint 10 zu Windows SBS 2011

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Site-2-Site VPN von Securepoint 10 zu Windows SBS 2011

Beitrag von hurikhan77 »

Hallo!

Ich versuche seit Stunden, diese Konstellation zum Laufen zu bringen:

* Zweigstelle einer Firma mit Securepoint 10 direkt am DSL-Modem
* Hauptstelle der Firma mit Windows SBS 2011 hinter NAT-Gateway mit öffentlicher IP

Im RRAS vom SBS habe ich bereits IKEv2 aktiviert (und weitere, z.B. L2TP für die Client-Einwahl). Clients können sich problemlos per L2TP oder PPTP einwählen.

Allerdings soll auch die Zweigstelle per VPN über die Securepoint angebunden werden, als Site-2-Site-VPN. Hier scheint meine einzige Möglichkeit natives IPsec mit PSK und IKEv2 zu sein. Der Tunnel ist eingerichtet auf der Securepoint, aber:

Problem 1: Der Windows SBS scheint diese Verbindung nicht zu sehen. Die Securepoint meldet nur Retransmissions und gibt dann auf.
Problem 2: Ein Windows 7 Client per IKEv2 kommt auch nicht durch.
Problem 3: Windows scheint bei IKEv2 entweder ein Zertifikat oder Benutzername/Passwort zu verlangen, keinen PSK. Was zu Problem 4 führt:
Problem 4: Kann Windows Server überhaupt IKEv2 IPsec mit PSK als Server?

Sind die Implementierungen überhaupt kompatibel bevor ich mich jetzt totsuche, warum es zu Timeouts kommt?

Wenn das theoretisch geht, wäre eine Schritt für Schritt Anleitung praktisch. Ich habe leider keinen Einfluss auf die Anbindung des Servers hinter dem NAT - der steht da so im RZ wie er steht und ich kann ihn per RDP administrieren. Mir wurde aber versichert, man habe alle Ports und Protokolle durchgeleitet, die für IPsec IKEv2 benötigt werden (Port 500, 4500 und ESP, sowie weitere: siehe oben, Roadwarrior funktionieren, nur Site-2-Site nicht).

Pascal
Beiträge: 26
Registriert: Mi 04.08.2010, 08:50

Beitrag von Pascal »

Hallo,

meines Wissens ist natives Ipsec mit Windows nur via Zertifikat machbar.

Weitere Informationen zum einrichten eines funktionsfähigen IPsecs finden Sie hier
IPSec_-_Roadwarrior
VPN_Client_und_Zertifikatsverwaltung

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Im Rechenzentrum wurde nun noch ein Anpassung gemacht, so dass ich mit Windows als IKEv2-Client wenigstens bis "Benutzername und Kennwort werden überprüft" komme. Ich vermute, Protokoll 50 wurde nicht richtig durchgeleitet.

Wie ich das jetzt sehe, unterstützen die jeweiligen Geräte folgende Anmeldeverfahren:

1. Windows: Zertifikat oder Benutzername/Passwort
2. Securepoint: Zertifikat oder PSK

Die einzige Gemeinsamkeit ist das Zertifikat, also werde ich es wohl auf dem Weg versuchen müssen.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Proto 50 (ESP) sollte nur dann verwendet werden, wenn kein NAT im Spiel ist. Das erfordert, dass beide Seiten NAT-Traversal unterstützen.
Die SP tut das - wie sieht es auf Ihrem SBS aus?

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Das geht theoretisch per Registry-Patch... Der SBS soll ja quasi der Einwahl-Server werden, die SP sich dorthin verbinden. Dummerweise sitzt der SBS unabänderbar hinter einem NAT-GW. Die SP sitzt direkt auf dem DSL-Modem. NAT-T habe ich in der SP aktiviert.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Erik, funktioniert IPsec IKEv2 denn überhaupt ohne ESP?

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Von unserer Seite aus funktioniert das.

Antworten