Liebe Gemeinde,ich berichtete bereits über die Möglichkeiten der Fernwartung bzw. des Fernzugriffs auf entfernte Computer. Auch über einen FTP-Server auf dem heimischen PC habe ich schon berichtet. Neu ist der Datentunnel zur Verbindung von zwei Computern durch das Internet. Normaler Weise werden über Virtual Private Networks (VPNs) zwei oder mehr Computer(netze) miteinander verbunden. Natürlich kann man VPN auch dafür nutzen, um Freigaben eines entfernten Rechners zu nutzen. Windowsbordmittel reichen dafür aus. Am Ende des Artikels findet ihr ein Video, auf dem man die einzelnen Schritte zur Einrichtung nachvollziehen kann.
Eine wichtige Grundlage um ein solches VPN zu erstellen ist eine dauerhaft nachvollziehbare IP-Adresse. Entweder ist man glücklicher Besitzer eines Internetanschlusses mit fester IP oder benutzt einen kostenlosen DynDNS -Anbieter. In meiner Beschreibung nutze ich einen DynDNS-Anbieter. Weitere wichtige Details außerhalb der Konfiguration finden sich im Punkt Einschränkungen und Sicherheit.
Server-Konfiguration:
Beginnen wir auf dem Computer zu dem verbunden werden soll. Begeben wir uns zu den Netzwerkverbindungen und klicken als nächstes auf "Neue Verbindung erstellen". Ziel ist jetzt "Eine erweiterte Verbindung einrichten". Im Kleingedruckten steht nähmlich, dass über diesen Punkt andere Computer auf diesen Computer zugreifen könnten. Im nächsten Punkt kann jetzt nur "Eingehende Verbindung zulassen" gewählt werden. Auf der nun folgenden Seite stehen möglicher Weise ISDN-Karten zur Auswhahl. Bitte ignorieren Sie alles was sie hier sehen und klicken einfach auf weiter. Im nächsten Fenster des Assistenten wählen Sie bitte "VPN-Verbindungen zulassen".
Ab jetzt beginnt ein besonders wichtiger Abschnitt, da hier der VPN-Benutzer eingerichtet und das Passwort vergeben wird! Entweder wählt man nun einen vorhandenen Benutzer oder erstellt mit dem Knopf "Hinzufügen" einen Neuen. In meinem Beispiel fügen wir nun einen neuen Benutzer hinzu. Nun wird nach dem Benutzernamen (für die Einwahl wichtig!), dem vollständigen Namen (für das Protokoll später wichtig) und das Kennwort (sehr wichtig!) gefragt. Sobald diese Eintragungen abgeschlossen sind, gelangt man zurück in die Benutzerübersicht, nun aber mit eine Haken vor dem neuen Benutzer.
Klickt nun auf weiter und gelangt zu den Netzwerkeinstellungen. Hier müssen die Eigenschaften der TCP/IP-Verbindung bearbeitet werden. Es sollte ein Häkchen vor dem Punkt Netzwerkzugriff sein. Des weiteren sollten die TCP/IP-Adressen angeben und nicht automatisch bezogen werden. Die Adresse für die einwählenden Computer sollten unbedingt von den üblichen privaten Netzwerkadressen abweichen, da sonst keine Kommunikation zwischen den Netzen möglich wird. Diese Adressen hängen von eigenen Netzwerk ab und können nicht allgemein vorgegeben werden. Aber trotzdem ein Beispiel:
In meinem Netzwerk die Adressen 192.168.1.x vergeben. Damit die Kommunikation und Zuordnung des eingewählten Computers sauber funktioniert habe ich in die Felder den Adressbereich von 192.168.10.1 bis 192.168.10.2 vergeben. Damit erhält der eingewählte Computer eine Andere Adresse für diese VPN-Verbindung und kollidiert somit nicht mit meinen Netzwerkgeräten.
Der fast letzte Schritt auf der Serverseite ist nun der Knopf "Fertigstellen". Jetzt steht in der Übersicht eine neue Verbindung mit dem Namen "Eingehende Verbindung".
Client-Konfiguration:
Der Client ist der Computer, der die Verbindung zum Server aufbauen möchte. Vorne Weg: Die Einstellungen für den Client sind deutlich leichter. Auch hier starten wir in der Ansicht der Netzwerkverbindungen und klicken auf "Neue Verbidnung erstellen". "Verbindung mit dem Netzwerk am Arbeitsplatz herstellen" ist die richtige Wahl. Im Kleingedruckten findet sich hier auch das Stichwort VPN. Im nächsten Fenster springt uns das Stichwort VPN direkt entgegen; wählen Sie also VPN-Verbindung aus. Als nächstes geben Sie den Wunschnamen für die Verbindung an, auch wenn hier Firmenname steht. Dieser Name kann später beliebig geändert werden. Es folgt die Nachfrage nach dem Ziel der Verbindung, dem Hostnamen bzw. der IP-Adresse. Die eigene DynDNS-Adresse gehört hier hinein; z.B. ihr-computer.homeip.net. Der letzte Knopf (Fertigstellen) beendet diesen Assistenten. Leider sind wir noch nicht fertig. Die Eigenschaften der Verbindung müssen noch angepasst werden (über rechtsklick). Im geöffneten Fenster wählt der Nutzer nun den Reiter Netzwerk und dort die TCP/IP-Eigenschaften. Unbedingt muss unter "Erweitert" der Haken bei "Standardgateway für das Remotenetzwerk verwenden" herausgenommen werden, da sonst zwar die Tunnelverbindung aufgebaut werden kann, aber das Surfen im Internet nicht mehr möglich ist. Alle offenen Fenster können jetzt über das windowstypische "ok" geschlossen werden. Ein Doppelklick auf die neue Verbindung stellt die Frage nach dem vorhin am Server eingestellten Benutzernamen und Kennwort. Falls die Verbindung nicht zustande kommt, hilft eventuell diese Seite von Microsoft mit der Fehlernummernbeschreibung weiter.
Routerkonfiguration für beide Seiten:
Damit eine Verbindung auch erfolgreich aufgebaut werden kann, müssen in den Routern und Firewalls des Clients und des Servers noch Ports freigegeben werden. Die freizugebenen TCP-Ports sind 1723 und 47. Manche Router unterstützen VPN-Passthrough, welches auch aktiviert werden sollte.
Einschränkungen und Sicherheit:
Zwischen WindowsXP und zwischen Windows 2000 Computern dürfen sich jeweils nur ein Computer mit einem anderen Computer verbinden. Um mehrere Verbindungen zu einem Computer aufzubauen muss eine Windows 2003 Server Edition installiert sein.
VPN gilt als "abhörsicherer" Tunnel für die darin befindlichen Daten. Voraussetzung für diese Sicherheit ist die Verschlüsselung der Daten und somit des Tunnels. WindowsXP verschlüsselt den Tunnel standardmäßig mit dem PPTP -Protokoll, welches eine 128-Bit Verschlüsselung nutzt. Nach meinen Recherchen ist diese Verschlüsselung in Verbindung mit einem starken Passwort für den Privatgebrauch hinreichend. Firmen, die meist über einen Server-Ausgabe von Windows verfügen, sollten aber eher L2TP/IPSec verwenden, da dies eine höhere Verschlüsselung bietet.
Gefallen einem die Windowsbordmitteln nicht oder möchte doch mit höherer Sicherheit arbeiten, kann auf OpenVPN zurückgreifen. Es ist wesentlich komplizierter in der Einrichtung und Konfiguration, arbeitet aber im Gegenzug mit deutlich höherer Sicherheit, da mit eigenen Zertifikaten arbeitet.
Video
Wer möchte kann sich das Video für die Einrichtung des Servers bzw. des Clients hier ansehen.
Viel Spaß beim Tunneln wünscht euch
Euer Niko
Diesen Artikel vom nik-o-mat Podcast jetzt anhören
Zuletzt aktualisiert am Sonntag, den 14. September 2008 um 10:34 Uhr
Kommentare
Alle Kommentare dieses Beitrages als RSS-Feed.