1
Erstellt von: Jens Nintemann und Maik Straub
1 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
VPN
Dokumentation
2
Erstellt von: Jens Nintemann und Maik Straub
2 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Inhaltsverzeichnis
Thema Seite
1. Einleitung 3
2. Unsere Aufbaustruktur 3
3. Installation des Windows 2000 Servers 3
4. Konfiguration des DHCP Servers 4
5. Einrichtung des VPN Zugriffs über eingehende Verbindungen 5
6. Inbetriebnahme der Zertifizierungsstelle 8
6.1. Anfordern eines Zertifikates 10
6.2. Bestätigen eines Zertifikates 11
6.3. Installation des Zertifikates 12
6.4. Download und Installation des Zertifizierungsstellenzertifikats 13
7. Einrichten des VPN Windows XP Clients 15
7.1. Verbindung mit PPTP 15
7.2. Verbindung mit L2TP und IPsec 16
8. VPN Verbindung aufnehmen und einen Netzwerkdienst ausführen 16
9. Ausblick V-Lan 16
3
Erstellt von: Jens Nintemann und Maik Straub
3 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
1. Einleitung
Im Praktikum Protokolle war es unsere Aufgabe eine verschlüsselte VPN Lösung für einen
Aussendienstmitarbeiter zu realisieren. Dabei sollten auf Ressourcen in einen
Firmennetzwerk zugegriffen werden können. Die Vergabe der IP-Adressen sollte mittels
DHCP-Server dynamisch vorgenommen werden.
In den Gegebenheiten der FH war es uns nicht möglich eine VPN-Verbindung durch die
Firewall zu erstellen und haben es daher „eine Ebene runter gebrochen“. Also stelle das
physikalische Netz, welches bei VPN meist das Internet ist, das Labor S103 dar.
Zur Realisierung der Aufgabe haben wir ein Windows 2000 Server aufgesetzt. Der Server
hatte 2 Netzwerkkarten, war gleichzeitig DHCP-Server und Zertifizierungsstelle für die L2TP-
IPSec-Verbindung.
Die Firma visualisierten wir mit einem Switch bestehend aus zwei Clients auf der anderen
Seite des Servers.
2. Unsere Aufbaustruktur
3. Installation des Windows 2000 Servers
4
Erstellt von: Jens Nintemann und Maik Straub
4 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Nach Auswahl eines geeigneten Rechners installierten wir eine Windows 2000 Server –
Version mit einer Lizenz von 25 Clients welche wir von Herrn Sanders gestellt bekommen
haben.
Während der Installation durchliefen mehrere Abfragefenster die wir wie folgt durchlaufen
sind:
- Arbeitsgruppe: Protokolle
- Benutzer: FHOOW-VPN
- Passwort: S103
- Lizenzeinstellung: 25 Clients
- Netzwerkkarte eins: 10.10.10.1 Subnetmask: 255.255.255.0
4. Konfiguration des DHCP Servers
Unser Server befindet sich im Labornetz und muss
daher von der Labornetzseite aus dynamisch die IP-
Adresse zugewiesen bekommen. Daher muss die
Zweite Netzwerkkarte die IP-Adresse automatisch
beziehen (siehe rechts).
Abb. 1: Eigenschaften TCP/IP
5
Erstellt von: Jens Nintemann und Maik Straub
5 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.2: Einrichtung des DHCP-Servers
6
Erstellt von: Jens Nintemann und Maik Straub
6 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.3: Eigenschaften des DHCP-Adresspools und Bindung an eine Netzwerkkarte unter
“Erweitert“
Wie auf den Screenshots zu sehen ist haben wir für die Clients des Firmennetzwerkes einen
Adressbereich von 10.10.10.30 bis 10.10.10.40 vorgesehen und eingestellt. Mitarbeiter,
welche sich über VPN eingewählt haben, wird der Bereich 10.10.10.41 bis 10.10.10.50
zugeteilt. Somit lässt sich schon anhand der IP-Adresse feststellen, ob es sich um einen
lokalen bzw. ob es sich um einen VPN Client handelt. Es stehen also maximal 11 IP-Adressen
für lokale Rechner zur Verfügung und 10 für VPN Clients. Zusätzlich haben wir eine
Gültigkeitsdauer von 8 Tagen für DHCP Leases konfiguriert. Zu guter letzt haben wir noch
eingestellt, dass der DHCP Server nur im internen Netzwerk IP-Adressen vergibt. Dies
geschieht durch die Bindung an die Netzwerkkarte 10.10.10.1. Somit wird verhindert, dass
Laborrechner eine Adresse von uns zugewiesen bekommen.
5. Einrichtung des VPN Zugriffs über eingehende Verbindungen
Um eingehende Verbindungen zu erlauben um den Server für VPN zu konfigurieren muss
man zunächst Routing und RAS aktivieren. Es startet ein Assistent welcher „VPN-Server“ zur
Auswahl anbietet. In den folgenden Abbildungen ist detailliert geschildert welchen
Menüpunkt man anwählen muss.
7
Erstellt von: Jens Nintemann und Maik Straub
7 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.4: Routing und RAS
Abb.5: Assistent Routing und RAS
Abb. 6: Internetverbindung des Servers
Da die VPN-Verbindungen in unserem Fall nicht über das Internet aufgebaut werden,
sondern wir unser Projekt „eine Ebene runter gebrochen“ haben, müssen wir „keine
Internetverbindung“ wählen. Die VPN-Verbindungen können mit dieser Einstellung somit aus
dem Labornetz aufgebaut werden.
Wird der Server wirklich für VPN-Verbindungen aus dem Internet verwendet, muss hier die
Netzwerkkarte ausgewählt werden mit der die Verbindung zum Internet hergestellt werden
kann.
8
Erstellt von: Jens Nintemann und Maik Straub
8 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.7: Auswahl an welches Netzwerk die Clients angegliedert werden
Hier mussten wir nun die interne Netzwerkkarte auswählen um festzulegen in welches
Netzwerk die VPN-Clients eingegliedert werden sollen. Im nächsten Bild haben wir dann den
Adressbereich eingestellt.
Abb.8: Adressbereich einstellen
9
Erstellt von: Jens Nintemann und Maik Straub
9 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.9: Auswahl ob ein RADIUS-Server verwendet werden soll
Danach ist die Einrichtung des VPN Zugriffs über eingehende Verbindungen abgeschlossen.
6. Inbetriebnahme der Zertifizierungsstelle
Um eine Zertifizierungsstelle auf dem Windows 2000 Server in Betrieb zu nehmen, bedarf es
einer Nachinstallation von der originalen CD.
Abb.10: Nachinstallieren der Zertifikatsdienste in der Systemsteuerung
10
Erstellt von: Jens Nintemann und Maik Straub
10 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.11: Einstellungen für die Zertifizierungsstelle
Abb.12: Auswahl des Kryptografiedienstanbieter
11
Erstellt von: Jens Nintemann und Maik Straub
11 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Nachdem wir die Kryptografieauswahl abgeschlossen haben, müssen wir noch den Namen
der Zertifizierungsstelle sowie den Gültigkeitszeitraum festlegen um die Installation der
Zertifizierungsstelle zu beenden.
6.1. Anfordern eines Zertifikates
Um eine gesicherte L2TP mit IPSec Verbindung aufzubauen, haben wir die zertifikatbasierte
Authentifizierung benutzt. Hierfür müssen alle Clients, welche eine VPN-Verbindung
aufbauen möchten, zunächst ein Zertifikat von der Zertifizierungsstelle anfordern.
Abb.13: Zertifikat vom Server über Browser anfordern
Abb.14: Anforderungstyp auswählen
Abb.15: Erweiterte Zertifizierungsanforderungen
12
Erstellt von: Jens Nintemann und Maik Straub
12 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.16: Identitätsangaben für das Zertifikat
Abb.17: Zertifikatsanforderungen abgesendet
Nachdem der Button „Absenden“ betätigt worden ist müssen wir noch auf die Ausstellung
des Zertifikates durch die Zertifizierungsstelle warten.
6.2. Bestätigen eines Zertifikates
13
Erstellt von: Jens Nintemann und Maik Straub
13 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.18: Auf dem Server kann nun das Zertifikat ausgestellt werden unter „Ausstehende
Anforderungen“
Bei der Zertifizierungsstelle sieht man nun die Anforderungen eines Zertifikates. Mit
rechtsklick auf das Zertifikat kann man dieses nun ausstellen oder verweigern.
6.3. Installation des Zertifikates
Nachdem der Server uns unser Zertifikat verifiziert hat, können wir dieses unter dem
Menüpunkt „Noch ausstehende Zertifikate“ installieren.
Abb.19: Ausstehendes Zertifikat installieren
Abb.20: Ausgestelltes Zertifikat anwählen und installieren
14
Erstellt von: Jens Nintemann und Maik Straub
14 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
6.4. Download und Installation des Zertifizierungsstellenzertifikats
Als letztes müssen wir jetzt noch die Zertifizierungsstelle vertrauenswürdig machen. Hierfür
laden wir uns das Zertifikat von der Zertifizierungsstelle runter und installieren es über die
MMC-Console auf unserem lokalen Rechner.
Dies geschieht wie auf den folgenden Abbildungen zu sehen:
Abb. 21: Zertifizierungsstelle vertrauenswürdig machen
Abb.22: Download des Zertifizierungsstellenzertifikats
Nach dem Download starten wir mittels dem Befehl unter „START“ > „Ausführen“ die
Konsole „MMC.exe“ und wählen dort unter „Datei“ > „Snap-In hinzufügen/entfernen…“ aus.
15
Erstellt von: Jens Nintemann und Maik Straub
15 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Abb.23: Hinzufügen des Zertifikates auf dem lokalen Rechner
Abb. 24: Hinzufügen des Zertifikates auf dem lokalen Rechner II
Nun bekommt man die vertrauenswürdigen Zertifikate angezeigt und kann neue Zertifikate
importieren.
Abb.25: Neues Zertifikat importieren
16
Erstellt von: Jens Nintemann und Maik Straub
16 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
Das heruntergeladene Zertifikat kann nun ausgewählt werden und damit ist die
Zertifizierungsstelle vertrauenswürdig. Das Konsolenfenster kann ohne Speicherung
beendet werden.
7. Einrichten des VPN Windows XP Clients
Wenn wir einen VPN Windows XP Client einrichten wollen können wir dieses mit Hilfe des
Assistenten unter den Netzwerk-Eigenschaften.
Abb.26: Eine erweiterte Verbindung im Assistenten einrichten
Danach noch einen Name und die IP-Adresse des VPN-Servers angeben. Gegebenenfalls eine
Verbindung zum ISP (Internet Service Provider) zuvor auswählen. Da wir bereits im
Netzwerk sind, brauchen wir keine Verbindung zu einem ISP wählen.
7.1. Verbindung mit PPTP
Das Point-to-Point Tunneling Protocol ermöglicht das Tunneling des PPP durch ein IP-
Netzwerk, wobei die einzelnen PPP-Pakete wiederum in GRE-Pakete verpackt werden.
PPP steht für Point-to-Point Protocol. Es dient zum Verbindungsaufbau (Einwahl)
GRE steht für das Generic Routing Encapsulation Protokoll und kann andere Protokolle
einkapseln um diese über IP zu tunneln.
Standartmäßig ist keine Verschlüsselung, diese muss vorher schon von PPP durchgeführt
werden.
17
Erstellt von: Jens Nintemann und Maik Straub
17 Praktikum Protokolle SS2007 Fachhochschule OOW
15.05.2007
7.2. Verbindung mit L2TP und IPsec
Kombination von Layer 2 Tunneling Protocol und Internet Protocol Security. Es vereint die
Vorteile von PPTP und L2F. IPSec wird zur Verschlüsselung benötigt und wir wählen
Zertifikatsbasierte Authentifizierung. Als Alternative würde das Preshared Key (PSK) Verfahren
zur Verfügung stehen.
Eine Auswahl der Verbindungsarten kann in der Verbindungseigenschaft unter „Netzwerk“
angegeben werden. Standardmäßig steht diese auf „Automatisch“.
Abb. 27: Auswahl der Verbindungsart
8. VPN Verbindung aufnehmen und einen Netzwerkdienst ausführen
Jetzt wo die VPN Verbindung eingerichtet ist, können wir uns mit Benutzername und Passwort
auf den Server einwählen. Wenn der VPN-Typ auf automatisch steht würde der Rechner, falls
Möglich eine L2TP Verbindung aufbauen. Nachdem wir verbunden sind können wir auf die
Netzwerkressourcen des LANs, wo wir eingewählt sind, zugreifen. Dies haben wir bei uns an
einer einfachen Dateifreigabe demonstriert und war problemlos möglich.
9. Ausblick V-Lan
Sinnvoll ist ein V-Lan bei einer „Site- to-Site“ Verbindung. Hier erfolgt die Verschlüsselung der
Daten erst ab dem VPN-Gateway eines Netzes. Dies stellt ein Sicherheitsrisiko bei
Betriebsspionage durch einen internen Mitarbeiter dar. Daher sollte sich der Chef durch ein V-
Lan getrennt von den Mitarbeitern befinden, damit die Daten nicht mitgesnifft werden können.