Einrichten eines VPN Eingehende Verbindung mit Windows zum Tunneln des Internetverkehrs

19

Ich möchte ein VPN auf einem Remote-Server einrichten, um den gesamten Internetverkehr aus Datenschutzgründen weiterzuleiten. Ich kann eine eingehende Verbindung herstellen und erfolgreich eine Verbindung herstellen. Das Problem ist, dass ich nur den Remotecomputer sehen kann und keine anderen Websites geöffnet werden. Ich möchte, dass der Remote-Server sich wie ein NAT verhält. Wie kann ich das machen?

Beachten Sie, dass ich den Internetverkehr nicht aufteilen möchte. Eigentlich möchte ich den gesamten Datenverkehr an den Remote-Server senden , muss ihn jedoch so einrichten, dass er den Datenverkehr weiterleitet.

Mein Remoteserver ist Windows Web Server 2008, der keinen Routing- und RAS-Dienst hat.

Klärung

Ich interessiere mich hauptsächlich für die Serverkonfiguration. Ich habe keine Probleme, den Client zu konfigurieren. Übrigens scheint Windows Web Server 2008 über dieselben VPN-Funktionen zu verfügen, die in Client-Betriebssystemen (wie Vista) integriert sind, und enthält die RRAS-Konsole in MMC nicht. Ich bin auch offen für Vorschläge zu PPTP / L2TP-Daemons von Drittanbietern, sofern diese kostenlos sind.

xmm0
quelle
1
Auf geht's! Eine der ersten (oder wahrscheinlich auch ersten) Kopfgeldfragen bei ServerFault!
xmm0
Und wie hast du ein Kopfgeld im Wert von 100 eingerichtet, wenn du 63 hast?
Tim Post
Es ist After-Bounty-Ruf.
xmm0
Update: Während keine der Antworten das Problem löste, wird die akzeptierte Antwort zusammen mit dem Spielen routeauf dem Client und der Verwendung von ICS auf dem Server wahrscheinlich funktionieren. Ich versuche es, sobald ich Zeit habe, und poste eine Lösung, wenn ich eine finden könnte. In der Zwischenzeit werden neue Ideen sehr geschätzt.
xmm0
Nur um einige Informationen zu den Antworten hinzuzufügen: Ich habe es unter Windows 2008 Ultimate getestet, ohne RRAS zu installieren, und es hat auch nicht funktioniert. Wenn jemand eine Software kennt, die das integrierte RRAS ersetzt, um PPTP / L2TP einzurichten, wäre dies hilfreich
Alireza Rinan,

Antworten:

4

Sie konnten eine DFÜ-VPN-Verbindung zwischen Vista und Windows Web Server 2008 ohne die Network Policy Server-Rolle erstellen? Wenn ja, bin ich gespannt, wie das Subnetz / die IP in diesem Szenario für den Client aussah, als der Tunnel fertig war.

Wenn Sie ein VPN eingerichtet haben, haben Sie Ihre Problemdomäne von einem VPN auf ein Routing übertragen. Ich bin mir ziemlich sicher, dass Sie mithilfe der Web Edition Verbindungen überbrücken und auch die gemeinsame Nutzung der Internetverbindung nutzen können . Wenn nicht, gibt es günstige und möglicherweise kostenlose "Internet-Sharing" -Programme ( NAT32 ).

Dies setzt voraus, dass Ihr Client-Computer eine IP-Adresse im (internen?) Netzwerk des Servers hat.

Wenn Sie Internet-Datenverkehr sagen, kann Ihre Definition auch nur Datenverkehr enthalten, der Proxy-fähig ist. In diesem Fall können Sie die Domäne erneut vom Routing zum Proxy verschieben und einen freien Proxyserver verwenden, der an die IP am anderen Ende des Tunnels gebunden ist.

Mike Haboustak
quelle
NAT32 ist ein großartiger Vorschlag. Ich denke, ich sollte es mir ansehen. Die IP kann manuell eingestellt werden, das Problem liegt jedoch beim Standard-Gateway. Ich kann nicht herausfinden, wie das Standardgateway für die Verbindung festgelegt werden soll (oder wie der Server dem Client mitteilt). Ich denke, wenn ich das zusammen mit NAT32 kann, wird es funktionieren. +1
xmm0
Wie erhalten Sie einen PPTP / VPN-Server ohne den RRAS von NPS? Das könnte uns helfen, Lösungen für das Gateway und das ICS-Routing zu finden.
Mike Haboustak
Ich verwende die Funktion für eingehende Verbindungen, die auch in Client-Betriebssystemen verfügbar war. Es gibt keine RRAS-Konsole.
xmm0
10

Dies geschieht standardmäßig, wenn das VPN richtig konfiguriert ist.

Wenn Sie über Windows CLIENT eine VPN-Verbindung herstellen, wird eine erweiterte Option aufgerufen, Use Default Gateway on Remote Networkdie standardmäßig aktiviert ist.

Zum Beispiel unter Windows XP:

  • Gehen Sie zu Netzwerkverbindungen
  • Klicken Sie mit der rechten Maustaste auf Ihre VPN-Verbindung
  • Wählen Sie Eigenschaften
  • Wechseln Sie zur Registerkarte Netzwerk
  • Wählen Sie Internet Protocol (TCP / IP) aus der Liste
  • Klicken Sie auf EIGENSCHAFTEN
  • Klicken Sie auf Erweitert
  • Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Use Default Gateway on Remote Network

Möglicherweise ist das Standard-Gateway auf Ihrem Remote-Server nicht richtig konfiguriert.

Joel Spolsky
quelle
Vielen Dank, Joel. Ich denke du hast recht und das Problem liegt auf dem Server, da ich einen VPN Server mit Win2k3 Std Ed richtig konfiguriert hatte. RRAS-Konsole und es hat gut funktioniert. Außerdem kann ich sehen, dass dem Client kein IPv4-Standardgateway zugewiesen wurde (im Verbindungsstatus). Das Problem ist, wie kann ich den Server konfigurieren, um dem Client das richtige Standardgateway zu geben? Scheint, als hätte Win2k8 Web nur eingehende XP / Vista-Verbindungen (Client-OS) und keine RRAS-Konsole. Irgendwelche Ideen?
xmm0
Ich habe noch nie die Win2k8-Web-Edition verwendet. Es gibt wahrscheinlich eine Problemumgehung, die ich leider nicht kenne, aber diese Version des Servers wurde NUR für die Bereitstellung von Webseiten entwickelt Möglicherweise fehlen die Routing-Funktionen, die dies ermöglichen würden.
Joel Spolsky
@Joel, macht sicherheitstechnisch Sinn. Wenn verhindert wird, dass ein Webserver auch nur als Router fungiert, ist er ein weniger nützliches Ziel für Angriffe.
saschabeaumont
1
Ich habe noch nie auf etwas über XP versucht, aber diese reg - Hack verwendet einzuschalten IP - Routing auch auf Nicht-Server - O support.microsoft.com/kb/315236 - könnte helfen, altho Ich glaube , Sie würden immer noch aktivieren müssen NAT irgendwie?
Schneebesen
1
Nur eine kleine Anmerkung - der VPN-Server verhält sich nicht wie NAT, der VPN-Client entnimmt eine IP von Ihrem DHCP-Server und geht dann über Ihr Standard-Gateway, das NAT verwendet. Wenn der Client eine Verbindung zu Ressourcen in Ihrem Netzwerk herstellt, wird diese nicht über die VPN-Serveradresse, sondern über diese DHCP-Adresse angezeigt. Das ist eine gute Sache.
Cawflands
4

Leider können Sie RRAS nicht auf Server 2008 Web Edition installieren, da dies keine zulässige Rolle ist. Sie müssten also eine Drittanbieteranwendung verwenden. Open VPN ist eine der am häufigsten verwendeten und eine, die ich auf Server 2003 bereits erfolgreich eingesetzt habe.

Sobald Sie dieses Setup haben, stellen Joels Ratschläge für das Client-Setup sicher, dass Ihr Webdatenverkehr über das VPN geleitet wird.

Sam Cogan
quelle
Unterstützt OpenVPN PPTP oder L2TP oder verwendet es ein eigenes Protokoll? Ich muss auch eine Verbindung mit meinem iPhone herstellen, damit kein Client erforderlich ist.
xmm0
Open VPN nutzt Ipsec, benötigt also einen eigenen Client, der für das iPhone nicht existiert. Leider ist die Auswahl an VPN-Servern für Windows etwas begrenzt.
Sam Cogan
1
OpenVPN verwendet kein IPSec, sondern SSL.
pc1oad1etter
1

Möglicherweise gibt es eine spezielle Stelle im Fegefeuer für UNIX-Benutzer, die Vorschläge in der folgenden Weise machen, aber ich habe diese für einen ähnlichen Zweck wie Sie verwendet (das sichere Abrufen von Daten mit eingeschränktem IP-Bereich nur für die USA von den USA nach Mexiko-Stadt):

Installieren Sie OpenSSH auf dem Server. Dies können Sie unter Vista / 2008 folgendermaßen tun: http://www.petri.co.il/setup-ssh-server-vista.htm (Ich habe festgestellt, dass dies eine .il-TLD ist. Wenn dies ein Problem aus dem Iran ist, versuchen Sie vielleicht, den Cache zu suchen, oder ich kann ihn erneut veröffentlichen, wenn Sie einen Kommentar hinterlassen.

Erstellen Sie eine dynamische SSH-Verbindung mit Putty . Hier sind Anweisungen und eine Erklärung .

Zeigen Sie mit Ihrem Browser, E-Mail-Client usw. auf den lokalen Proxy. In der Tat tun Sie Folgendes: Sie öffnen eine dynamische SSH-Sitzung auf dem Remote-Host. Sie haben einen lokalen Proxy, an den diese Verbindung gebunden ist. Wenn Sie alle Anforderungen an diesen lokalen Proxy stellen, sendet der Proxy eine verschlüsselte Anforderung an den Server. Der Server ruft alle von Ihnen angeforderten Informationen von der Außenwelt über einen sicheren Tunnel an den lokalen Proxy und von dort an Ihre Anwendung zurück. Sie können bestätigen, dass es funktioniert, indem Sie eine Website öffnen, auf der die IP-Adressen geografisch lokalisiert werden. Ich bin sicher, dass es auch automatisiert werden kann. (Wenn dies auf einem Windows Server absolut abscheulich ist, lassen Sie es mich in den Kommentaren wissen.)

bvmou
quelle
0

Dies ist ein ziemlich alter Thread, aber ich habe auch nach einer Antwort auf genau diese Frage gesucht. Während meiner Recherche habe ich ein paar Dinge gefunden. Ich poste hier nur, um diese Informationen zu ergänzen. Falls jemand nach Antworten sucht, kann er diese hier finden.

Erstens gibt es auf www.itshidden.com einen kostenlosen Dienst, mit dem Sie eine Verbindung zu ihren VPN-Servern herstellen können. Sobald die Verbindung hergestellt ist, wird der gesamte Internetverkehr über diese VPN-Schnittstelle getunnelt. Die Ersteinrichtung und Verbindung ist einfach genug; In jeder modernen Windows-Installation von 2000 / XP / Vista und höher ist die VPN-Client-Software bereits integriert. Der einzige Nachteil ist, dass die Server in Europa stationiert sind und Ihre Pakete daher über einige Reisemöglichkeiten verfügen. Ich brauchte etwas näher zu Hause, um die Paketlatenz und den Ping zu verringern, und aus diesem Grund war dies nicht die ideale Lösung. Also habe ich weiter gesucht ...

Auf meiner weiteren Suche fand ich die dd-wrt Firmware. Das Erstellen eines VPN-Servers direkt auf dem Router selbst ist eine der netten Funktionen von dd-wrt. Die Einrichtung ist ziemlich einfach und unkompliziert: Stellen Sie die VPN-Server-IP des Routers, die möglichen IP-Bereiche für die Clients und die VPN-Client-Anmeldeinformationen ein. Dies wird alles von der Konfiguration des dd-wrt Routers über den Browser erledigt. Die Einrichtung des VPN-Clients erfolgt wie unter www.itshidden.com beschrieben, wobei die IP-Adresse des VPN-Servers natürlich unterschiedlich ist.

Schließlich habe ich auch versucht, einen der Computer zu einem VPN-Server zu machen, indem ich die Methode zum Akzeptieren eingehender Verbindungen wie das OP verwendet habe. Die VPN-Clients und der Server können sich gegenseitig anpingen, aber das Problem ist, dass ich den VPN-Server nicht dazu bringen konnte, den Internetverkehr von den Clients ordnungsgemäß weiterzuleiten. Ich habe versucht, an der Routentabelle auf Client- und Server-Seite herumzuspielen. Kurz gesagt, ich konnte es nicht voll zum Laufen bringen. Lokalisieren von LAN-Diensten funktioniert einwandfrei (z. B. FTP-Server auf einem LAN-Computer), aber ich habe den Internetverkehr nie richtig durchgeleitet - vielleicht hat jemand anderes mehr Glück.

Wenn Sie also einen Router haben, der dd-wrt unterstützt, ist dies einen Blick wert. Dies ist die Lösung, auf die ich mich festgelegt habe. Es war einfach, sich einzurichten und zu arbeiten.


quelle