Site-2-Site VPN von Securepoint 10 zu Windows SBS 2011

hurikhan77 · Beitrag von **hurikhan77** » Mo 28.01.2013, 20:45

Hallo!

Ich versuche seit Stunden, diese Konstellation zum Laufen zu bringen:

* Zweigstelle einer Firma mit Securepoint 10 direkt am DSL-Modem
* Hauptstelle der Firma mit Windows SBS 2011 hinter NAT-Gateway mit öffentlicher IP

Im RRAS vom SBS habe ich bereits IKEv2 aktiviert (und weitere, z.B. L2TP für die Client-Einwahl). Clients können sich problemlos per L2TP oder PPTP einwählen.

Allerdings soll auch die Zweigstelle per VPN über die Securepoint angebunden werden, als Site-2-Site-VPN. Hier scheint meine einzige Möglichkeit natives IPsec mit PSK und IKEv2 zu sein. Der Tunnel ist eingerichtet auf der Securepoint, aber:

Problem 1: Der Windows SBS scheint diese Verbindung nicht zu sehen. Die Securepoint meldet nur Retransmissions und gibt dann auf.
Problem 2: Ein Windows 7 Client per IKEv2 kommt auch nicht durch.
Problem 3: Windows scheint bei IKEv2 entweder ein Zertifikat oder Benutzername/Passwort zu verlangen, keinen PSK. Was zu Problem 4 führt:
Problem 4: Kann Windows Server überhaupt IKEv2 IPsec mit PSK als Server?

Sind die Implementierungen überhaupt kompatibel bevor ich mich jetzt totsuche, warum es zu Timeouts kommt?

Wenn das theoretisch geht, wäre eine Schritt für Schritt Anleitung praktisch. Ich habe leider keinen Einfluss auf die Anbindung des Servers hinter dem NAT - der steht da so im RZ wie er steht und ich kann ihn per RDP administrieren. Mir wurde aber versichert, man habe alle Ports und Protokolle durchgeleitet, die für IPsec IKEv2 benötigt werden (Port 500, 4500 und ESP, sowie weitere: siehe oben, Roadwarrior funktionieren, nur Site-2-Site nicht).

Pascalk · Beitrag von **Pascalk** » Di 29.01.2013, 12:46

Hallo,

meines Wissens ist natives Ipsec mit Windows nur via Zertifikat machbar.

Weitere Informationen zum einrichten eines funktionsfähigen IPsecs finden Sie hier
IPSec_-_Roadwarrior
VPN_Client_und_Zertifikatsverwaltung

hurikhan77 · Beitrag von **hurikhan77** » Di 29.01.2013, 13:09

Im Rechenzentrum wurde nun noch ein Anpassung gemacht, so dass ich mit Windows als IKEv2-Client wenigstens bis "Benutzername und Kennwort werden überprüft" komme. Ich vermute, Protokoll 50 wurde nicht richtig durchgeleitet.

Wie ich das jetzt sehe, unterstützen die jeweiligen Geräte folgende Anmeldeverfahren:

1. Windows: Zertifikat oder Benutzername/Passwort
2. Securepoint: Zertifikat oder PSK

Die einzige Gemeinsamkeit ist das Zertifikat, also werde ich es wohl auf dem Weg versuchen müssen.

Beitrag von **Erik** » Di 29.01.2013, 13:23

Proto 50 (ESP) sollte nur dann verwendet werden, wenn kein NAT im Spiel ist. Das erfordert, dass beide Seiten NAT-Traversal unterstützen.
Die SP tut das - wie sieht es auf Ihrem SBS aus?

hurikhan77 · Beitrag von **hurikhan77** » Di 29.01.2013, 13:34

Das geht theoretisch per Registry-Patch... Der SBS soll ja quasi der Einwahl-Server werden, die SP sich dorthin verbinden. Dummerweise sitzt der SBS unabänderbar hinter einem NAT-GW. Die SP sitzt direkt auf dem DSL-Modem. NAT-T habe ich in der SP aktiviert.

hurikhan77 · Beitrag von **hurikhan77** » Di 29.01.2013, 15:59

Erik, funktioniert IPsec IKEv2 denn überhaupt ohne ESP?

Beitrag von **Erik** » Di 29.01.2013, 16:16

Von unserer Seite aus funktioniert das.