Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerksicherheit Grundkurs

IPSec/NAT-Traversale Verbindung aufbauen

Testen Sie unsere 2015 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Eine IPSec/NAT-Traversale Verbindung kann durch die Beschreibung verschiedener Weiterleitungsregeln für L2TP/IPSec in unterschiedlichen Modi sowie das Anpassen der Windows-Registrierung aufgebaut werden.

Transkript

In diesem Video möchte ich zum Schluss noch auflösen, warum wir hier zwei Regeln haben, die grau meliert sind. Zum einen haben wir die Regel, die sich da nennt L2TP, und zum anderen haben wir eine Regel, die etwas anders ausschaut. Normalerweise hatten wir hier ja immer Regeln: hier UDP oder TCP. Da hatten wir hier dementsprechend die Port-Informationen. Hier haben wir ESP. ESP ist in dem Fall ein eigenständiges Protokoll, was hier durchgereicht werden muss. In unserem Fall aber nicht. Warum muss ESP nicht durchgereicht werden? Das liegt daran, dass ESP verkapselt wird, denn wir haben ja hier diese Traversalvariante und dann wird ESP in dem Fall verkapselt und über die Firewall transferiert und dann wieder auseinander gebaut. Daher wird ESP als Freigabe hier nicht benutzt. Wenn wir kein Traversal hätten, dann wäre es vonnöten, dann könnte man unter Umständen auch noch das AH hinzufügen für die Überprüfung der Echtheit. Wir haben wie gesagt in unserem Fall diese Traversal-Mechanismen und dann reichen hier in unserem Falle 500 mit ISAKMP und 4500 mit IPsec NAT-Traversal vollständig aus. 1701 - der Port, den wir hier sehen, der wäre wirklich nur dann interessant, wenn wir nackt das L2TP haben. Da wir ja kein nacktes L2TP haben, L2TP tritt ja nirgends auf, das ist ja komplett verschlüsselt und verkapselt, sodass wir und die Firewall das gar nicht mitbekommen, dass da L2TP am Start ist. Demnach müssen wir es auch nicht freigeben. Ich habe es einfach nur mal dargestellt, weil man sieht immer sehr gerne, wenn da steht: "Wenn Sie L2TP mit IP-Security benötigen, dann brauchen Sie das." Wie gesagt, wenn alles verkapselt ist, oder wenn wir über NAT-Traversal gehen, reichen in dem Fall die zwei Komponenten hier aus. Damit sind Sie in der Lage, diese Informationen über die Firewall, über die NAT-Firewall zu transferieren. Der letzten Punkt, den ich ansprechen möchte, ist der, der mir am meisten Zeit gekostet hat. Wie ich das erste Mal so eine Installation durchgeführt habe, wollte Windows 2008 in dem Fall partout nicht hergehen und die Verbindung zulassen. Nach einigem Arbeiten haben wir dann den Punkt gefunden, woran es lag. Es liegt daran, dass Windows - in diesem Fall 2008 - kein Traversal im Normalzustand unterstützt. Das heißt, man muss in der Registrierung eine Veränderung vornehmen. Erst, wenn diese Registrierung durchgeführt worden ist, dann akzeptiert er das. Und dann funktioniert das dann auch so, wie wir das eben gesehen haben. Welcher Punkt das ist und wo man das machen muss, das zeige ich Ihnen jetzt. Ich habe das Ganze schon mal vorbereitet. Wir sind hier unter HighKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/ services/PolicyAgent. Da gibt es so einen Monsterschlüssel: AssumeUDPEncapsulationContextOnSendRule. Der ist normalerweise nicht da und er steht auf Null. Null wäre in dem Fall kein NAT-Traversal, den müssen Sie erzeugen. Das ist ein REG_DWORD 32Bit und tragen Sie dort bitte die Eins ein. Dann unterstützt er diese Information. Wichtig ist in diesem Falle auch: Starten Sie den Computer neu und danach sollten Sie in der Lage sein, unser Beispiel, das wir Ihnen gezeigt haben, durchführen zu können. Wir haben Ihnen gezeigt, wie Sie in der Lage sind, zwischen einem Client und einem Server eine L2TP-IPSecurity Verbindung herzustellen. Das Ganze ein wenig erschwert dadurch, dass wir eine NAT-Firewall hatten, über die Sie die Pakete transferieren mussten.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!