Site-2-Site VPN von Securepoint 10 zu Windows SBS 2011
Verfasst: Mo 28.01.2013, 20:45
Hallo!
Ich versuche seit Stunden, diese Konstellation zum Laufen zu bringen:
* Zweigstelle einer Firma mit Securepoint 10 direkt am DSL-Modem
* Hauptstelle der Firma mit Windows SBS 2011 hinter NAT-Gateway mit öffentlicher IP
Im RRAS vom SBS habe ich bereits IKEv2 aktiviert (und weitere, z.B. L2TP für die Client-Einwahl). Clients können sich problemlos per L2TP oder PPTP einwählen.
Allerdings soll auch die Zweigstelle per VPN über die Securepoint angebunden werden, als Site-2-Site-VPN. Hier scheint meine einzige Möglichkeit natives IPsec mit PSK und IKEv2 zu sein. Der Tunnel ist eingerichtet auf der Securepoint, aber:
Problem 1: Der Windows SBS scheint diese Verbindung nicht zu sehen. Die Securepoint meldet nur Retransmissions und gibt dann auf.
Problem 2: Ein Windows 7 Client per IKEv2 kommt auch nicht durch.
Problem 3: Windows scheint bei IKEv2 entweder ein Zertifikat oder Benutzername/Passwort zu verlangen, keinen PSK. Was zu Problem 4 führt:
Problem 4: Kann Windows Server überhaupt IKEv2 IPsec mit PSK als Server?
Sind die Implementierungen überhaupt kompatibel bevor ich mich jetzt totsuche, warum es zu Timeouts kommt?
Wenn das theoretisch geht, wäre eine Schritt für Schritt Anleitung praktisch. Ich habe leider keinen Einfluss auf die Anbindung des Servers hinter dem NAT - der steht da so im RZ wie er steht und ich kann ihn per RDP administrieren. Mir wurde aber versichert, man habe alle Ports und Protokolle durchgeleitet, die für IPsec IKEv2 benötigt werden (Port 500, 4500 und ESP, sowie weitere: siehe oben, Roadwarrior funktionieren, nur Site-2-Site nicht).
Ich versuche seit Stunden, diese Konstellation zum Laufen zu bringen:
* Zweigstelle einer Firma mit Securepoint 10 direkt am DSL-Modem
* Hauptstelle der Firma mit Windows SBS 2011 hinter NAT-Gateway mit öffentlicher IP
Im RRAS vom SBS habe ich bereits IKEv2 aktiviert (und weitere, z.B. L2TP für die Client-Einwahl). Clients können sich problemlos per L2TP oder PPTP einwählen.
Allerdings soll auch die Zweigstelle per VPN über die Securepoint angebunden werden, als Site-2-Site-VPN. Hier scheint meine einzige Möglichkeit natives IPsec mit PSK und IKEv2 zu sein. Der Tunnel ist eingerichtet auf der Securepoint, aber:
Problem 1: Der Windows SBS scheint diese Verbindung nicht zu sehen. Die Securepoint meldet nur Retransmissions und gibt dann auf.
Problem 2: Ein Windows 7 Client per IKEv2 kommt auch nicht durch.
Problem 3: Windows scheint bei IKEv2 entweder ein Zertifikat oder Benutzername/Passwort zu verlangen, keinen PSK. Was zu Problem 4 führt:
Problem 4: Kann Windows Server überhaupt IKEv2 IPsec mit PSK als Server?
Sind die Implementierungen überhaupt kompatibel bevor ich mich jetzt totsuche, warum es zu Timeouts kommt?
Wenn das theoretisch geht, wäre eine Schritt für Schritt Anleitung praktisch. Ich habe leider keinen Einfluss auf die Anbindung des Servers hinter dem NAT - der steht da so im RZ wie er steht und ich kann ihn per RDP administrieren. Mir wurde aber versichert, man habe alle Ports und Protokolle durchgeleitet, die für IPsec IKEv2 benötigt werden (Port 500, 4500 und ESP, sowie weitere: siehe oben, Roadwarrior funktionieren, nur Site-2-Site nicht).