15.05.2007 VPN Dokumentation - gilbertbrands.de file1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007 VPN Dokumentation . 2 Erstellt von: Jens Nintemann und Maik Straub

1

Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW

15.05.2007

VPN

Dokumentation

2



15.05.2007

Inhaltsverzeichnis

Thema Seite

1. Einleitung 3

2. Unsere Aufbaustruktur 3

3. Installation des Windows 2000 Servers 3

4. Konfiguration des DHCP Servers 4

5. Einrichtung des VPN Zugriffs über eingehende Verbindungen 5

6. Inbetriebnahme der Zertifizierungsstelle 8

6.1. Anfordern eines Zertifikates 10

6.2. Bestätigen eines Zertifikates 11

6.3. Installation des Zertifikates 12

6.4. Download und Installation des Zertifizierungsstellenzertifikats 13

7. Einrichten des VPN Windows XP Clients 15

7.1. Verbindung mit PPTP 15

7.2. Verbindung mit L2TP und IPsec 16

8. VPN Verbindung aufnehmen und einen Netzwerkdienst ausführen 16

9. Ausblick V-Lan 16

3



15.05.2007

1. Einleitung

Im Praktikum Protokolle war es unsere Aufgabe eine verschlüsselte VPN Lösung für einen

Aussendienstmitarbeiter zu realisieren. Dabei sollten auf Ressourcen in einen

Firmennetzwerk zugegriffen werden können. Die Vergabe der IP-Adressen sollte mittels

DHCP-Server dynamisch vorgenommen werden.

In den Gegebenheiten der FH war es uns nicht möglich eine VPN-Verbindung durch die

Firewall zu erstellen und haben es daher „eine Ebene runter gebrochen“. Also stelle das

physikalische Netz, welches bei VPN meist das Internet ist, das Labor S103 dar.

Zur Realisierung der Aufgabe haben wir ein Windows 2000 Server aufgesetzt. Der Server

hatte 2 Netzwerkkarten, war gleichzeitig DHCP-Server und Zertifizierungsstelle für die L2TP-

IPSec-Verbindung.

Die Firma visualisierten wir mit einem Switch bestehend aus zwei Clients auf der anderen

Seite des Servers.

2. Unsere Aufbaustruktur

3. Installation des Windows 2000 Servers

4



15.05.2007

Nach Auswahl eines geeigneten Rechners installierten wir eine Windows 2000 Server –

Version mit einer Lizenz von 25 Clients welche wir von Herrn Sanders gestellt bekommen

haben.

Während der Installation durchliefen mehrere Abfragefenster die wir wie folgt durchlaufen

sind:

- Arbeitsgruppe: Protokolle

- Benutzer: FHOOW-VPN

- Passwort: S103

- Lizenzeinstellung: 25 Clients

- Netzwerkkarte eins: 10.10.10.1 Subnetmask: 255.255.255.0

4. Konfiguration des DHCP Servers

Unser Server befindet sich im Labornetz und muss

daher von der Labornetzseite aus dynamisch die IP-

Adresse zugewiesen bekommen. Daher muss die

Zweite Netzwerkkarte die IP-Adresse automatisch

beziehen (siehe rechts).

Abb. 1: Eigenschaften TCP/IP

5



15.05.2007

Abb.2: Einrichtung des DHCP-Servers

6



15.05.2007

Abb.3: Eigenschaften des DHCP-Adresspools und Bindung an eine Netzwerkkarte unter

“Erweitert“

Wie auf den Screenshots zu sehen ist haben wir für die Clients des Firmennetzwerkes einen

Adressbereich von 10.10.10.30 bis 10.10.10.40 vorgesehen und eingestellt. Mitarbeiter,

welche sich über VPN eingewählt haben, wird der Bereich 10.10.10.41 bis 10.10.10.50

zugeteilt. Somit lässt sich schon anhand der IP-Adresse feststellen, ob es sich um einen

lokalen bzw. ob es sich um einen VPN Client handelt. Es stehen also maximal 11 IP-Adressen

für lokale Rechner zur Verfügung und 10 für VPN Clients. Zusätzlich haben wir eine

Gültigkeitsdauer von 8 Tagen für DHCP Leases konfiguriert. Zu guter letzt haben wir noch

eingestellt, dass der DHCP Server nur im internen Netzwerk IP-Adressen vergibt. Dies

geschieht durch die Bindung an die Netzwerkkarte 10.10.10.1. Somit wird verhindert, dass

Laborrechner eine Adresse von uns zugewiesen bekommen.

5. Einrichtung des VPN Zugriffs über eingehende Verbindungen

Um eingehende Verbindungen zu erlauben um den Server für VPN zu konfigurieren muss

man zunächst Routing und RAS aktivieren. Es startet ein Assistent welcher „VPN-Server“ zur

Auswahl anbietet. In den folgenden Abbildungen ist detailliert geschildert welchen

Menüpunkt man anwählen muss.

7



15.05.2007

Abb.4: Routing und RAS

Abb.5: Assistent Routing und RAS

Abb. 6: Internetverbindung des Servers

Da die VPN-Verbindungen in unserem Fall nicht über das Internet aufgebaut werden,

sondern wir unser Projekt „eine Ebene runter gebrochen“ haben, müssen wir „keine

Internetverbindung“ wählen. Die VPN-Verbindungen können mit dieser Einstellung somit aus

dem Labornetz aufgebaut werden.

Wird der Server wirklich für VPN-Verbindungen aus dem Internet verwendet, muss hier die

Netzwerkkarte ausgewählt werden mit der die Verbindung zum Internet hergestellt werden

kann.

8



15.05.2007

Abb.7: Auswahl an welches Netzwerk die Clients angegliedert werden

Hier mussten wir nun die interne Netzwerkkarte auswählen um festzulegen in welches

Netzwerk die VPN-Clients eingegliedert werden sollen. Im nächsten Bild haben wir dann den

Adressbereich eingestellt.

Abb.8: Adressbereich einstellen

9



15.05.2007

Abb.9: Auswahl ob ein RADIUS-Server verwendet werden soll

Danach ist die Einrichtung des VPN Zugriffs über eingehende Verbindungen abgeschlossen.

6. Inbetriebnahme der Zertifizierungsstelle

Um eine Zertifizierungsstelle auf dem Windows 2000 Server in Betrieb zu nehmen, bedarf es

einer Nachinstallation von der originalen CD.

Abb.10: Nachinstallieren der Zertifikatsdienste in der Systemsteuerung

10



15.05.2007

Abb.11: Einstellungen für die Zertifizierungsstelle

Abb.12: Auswahl des Kryptografiedienstanbieter

11



15.05.2007

Nachdem wir die Kryptografieauswahl abgeschlossen haben, müssen wir noch den Namen

der Zertifizierungsstelle sowie den Gültigkeitszeitraum festlegen um die Installation der

Zertifizierungsstelle zu beenden.

6.1. Anfordern eines Zertifikates

Um eine gesicherte L2TP mit IPSec Verbindung aufzubauen, haben wir die zertifikatbasierte

Authentifizierung benutzt. Hierfür müssen alle Clients, welche eine VPN-Verbindung

aufbauen möchten, zunächst ein Zertifikat von der Zertifizierungsstelle anfordern.

Abb.13: Zertifikat vom Server über Browser anfordern

Abb.14: Anforderungstyp auswählen

Abb.15: Erweiterte Zertifizierungsanforderungen

12



15.05.2007

Abb.16: Identitätsangaben für das Zertifikat

Abb.17: Zertifikatsanforderungen abgesendet

Nachdem der Button „Absenden“ betätigt worden ist müssen wir noch auf die Ausstellung

des Zertifikates durch die Zertifizierungsstelle warten.

6.2. Bestätigen eines Zertifikates

13



15.05.2007

Abb.18: Auf dem Server kann nun das Zertifikat ausgestellt werden unter „Ausstehende

Anforderungen“

Bei der Zertifizierungsstelle sieht man nun die Anforderungen eines Zertifikates. Mit

rechtsklick auf das Zertifikat kann man dieses nun ausstellen oder verweigern.

6.3. Installation des Zertifikates

Nachdem der Server uns unser Zertifikat verifiziert hat, können wir dieses unter dem

Menüpunkt „Noch ausstehende Zertifikate“ installieren.

Abb.19: Ausstehendes Zertifikat installieren

Abb.20: Ausgestelltes Zertifikat anwählen und installieren

14



15.05.2007

6.4. Download und Installation des Zertifizierungsstellenzertifikats

Als letztes müssen wir jetzt noch die Zertifizierungsstelle vertrauenswürdig machen. Hierfür

laden wir uns das Zertifikat von der Zertifizierungsstelle runter und installieren es über die

MMC-Console auf unserem lokalen Rechner.

Dies geschieht wie auf den folgenden Abbildungen zu sehen:

Abb. 21: Zertifizierungsstelle vertrauenswürdig machen

Abb.22: Download des Zertifizierungsstellenzertifikats

Nach dem Download starten wir mittels dem Befehl unter „START“ > „Ausführen“ die

Konsole „MMC.exe“ und wählen dort unter „Datei“ > „Snap-In hinzufügen/entfernen…“ aus.

15



15.05.2007

Abb.23: Hinzufügen des Zertifikates auf dem lokalen Rechner

Abb. 24: Hinzufügen des Zertifikates auf dem lokalen Rechner II

Nun bekommt man die vertrauenswürdigen Zertifikate angezeigt und kann neue Zertifikate

importieren.

Abb.25: Neues Zertifikat importieren

16



15.05.2007

Das heruntergeladene Zertifikat kann nun ausgewählt werden und damit ist die

Zertifizierungsstelle vertrauenswürdig. Das Konsolenfenster kann ohne Speicherung

beendet werden.

7. Einrichten des VPN Windows XP Clients

Wenn wir einen VPN Windows XP Client einrichten wollen können wir dieses mit Hilfe des

Assistenten unter den Netzwerk-Eigenschaften.

Abb.26: Eine erweiterte Verbindung im Assistenten einrichten

Danach noch einen Name und die IP-Adresse des VPN-Servers angeben. Gegebenenfalls eine

Verbindung zum ISP (Internet Service Provider) zuvor auswählen. Da wir bereits im

Netzwerk sind, brauchen wir keine Verbindung zu einem ISP wählen.

7.1. Verbindung mit PPTP

Das Point-to-Point Tunneling Protocol ermöglicht das Tunneling des PPP durch ein IP-

Netzwerk, wobei die einzelnen PPP-Pakete wiederum in GRE-Pakete verpackt werden.

PPP steht für Point-to-Point Protocol. Es dient zum Verbindungsaufbau (Einwahl)

GRE steht für das Generic Routing Encapsulation Protokoll und kann andere Protokolle

einkapseln um diese über IP zu tunneln.

Standartmäßig ist keine Verschlüsselung, diese muss vorher schon von PPP durchgeführt

werden.

17



15.05.2007

7.2. Verbindung mit L2TP und IPsec

Kombination von Layer 2 Tunneling Protocol und Internet Protocol Security. Es vereint die

Vorteile von PPTP und L2F. IPSec wird zur Verschlüsselung benötigt und wir wählen

Zertifikatsbasierte Authentifizierung. Als Alternative würde das Preshared Key (PSK) Verfahren

zur Verfügung stehen.

Eine Auswahl der Verbindungsarten kann in der Verbindungseigenschaft unter „Netzwerk“

angegeben werden. Standardmäßig steht diese auf „Automatisch“.

Abb. 27: Auswahl der Verbindungsart

8. VPN Verbindung aufnehmen und einen Netzwerkdienst ausführen

Jetzt wo die VPN Verbindung eingerichtet ist, können wir uns mit Benutzername und Passwort

auf den Server einwählen. Wenn der VPN-Typ auf automatisch steht würde der Rechner, falls

Möglich eine L2TP Verbindung aufbauen. Nachdem wir verbunden sind können wir auf die

Netzwerkressourcen des LANs, wo wir eingewählt sind, zugreifen. Dies haben wir bei uns an

einer einfachen Dateifreigabe demonstriert und war problemlos möglich.

9. Ausblick V-Lan

Sinnvoll ist ein V-Lan bei einer „Site- to-Site“ Verbindung. Hier erfolgt die Verschlüsselung der

Daten erst ab dem VPN-Gateway eines Netzes. Dies stellt ein Sicherheitsrisiko bei

Betriebsspionage durch einen internen Mitarbeiter dar. Daher sollte sich der Chef durch ein V-

Lan getrennt von den Mitarbeitern befinden, damit die Daten nicht mitgesnifft werden können.

Documents

15.05.2007 VPN Dokumentation - gilbertbrands.de file1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007 VPN Dokumentation . 2 Erstellt von: Jens Nintemann und Maik Straub