Reinhard Moosauer IT Beratung

Windows 2000 als IPSec VPN Client

Windows 2000 kann ohne weitere Software als IPSEC-Client verwendet werden.

Durch eine Erweiterung, die hier vorgestellt wird, ist kann die Konfiguration automatisiert werden. Gleichzeitig ermöglicht sie die Nutzung als VPN-Client für Nutzer mit variabler IP-Adresse. 


Vorbereitung:
=============
Für jeden Client muss ein Zertifikat erstellt werden. Dafür gibt es verschiedene Möglichkeiten.
Im folgenden gehe ich davon aus, dass sich das fertige Zertifikat (einschließlich
Private Key) in der Datei user.p12 befindet.

Das Programm "dyIPSecService.exe" muss in einem Verzeichnis auf der lokalen(!)
Festplatte abgelegt werden. Im gleichen Verzeichnis muss "dyIPSec.ini" liegen.
Die Datei ipsec.msc enthält eine vorkonfigurierte Management Console.

Download von dynIPSec.zip

Einrichtung:
============

1. Im Ordner "Einrichtung" "IPsec.msc" doppelklicken
   --> Management-Console öffnet sich.

2. "Zertifikate (lokaler Computer)" durch Klick auf [+] aufklappen.

3. Klick mit rechter Maustaste auf "Eigene Zertifikate":
   "Alle Tasks" --> "Importieren"

4. Zertifikat in Datei "user.p12" auswählen (Nicht mitgeliefert).
   -> Weiter
   Zertifikatspasswort eingeben
   -> Weiter
   "Zertifikatsspeicher automatisch auswählen (auf dem Zertifikatstyp basierend)" angeben
   -> Weiter -> Fertig stellen

5. DFÜ-Verbindung zuweisen
   In sys\dynipsec.ini den Namen der DFÜ-Verbindung angeben, die für VPN verwendet wird.
   z.B. CONN_NAME=company_vpn
   Am besten zu diesem Zweck extra eine DFÜ-Verbindung anlegen (oder kopieren)
   Für Dialer (wie T-Online) sollte das auch gehen.
   Oder auskommentieren (;CONN_NAME= ), dann wird jede Verbindung verwendet (nur zum Testen!)

6. Service installieren:
   Im Ordner "Einrichtung" die Verknüpfung "dynIPSec als Service installieren" ausführen.

7. Den Ordner "Einrichtung" löschen. Fertig

   Zertifikate nicht auf dem Rechner lassen!!!!


Einwahl in VPN:
===============

1. DFÜ-Verbindung, die mit VPN verbunden ist, starten
2. VPN benutzen

Hilfen für die Fehlersuche:
===========================
   0. CONN_NAME in sys\dynipsec.ini auskommentieren (;CONN_NAME= ).
      Dann wird jede Verbindung aktiviert. (Bitte nicht so lassen!)
   1. Zur Kontrolle "ipsecmon" starten. (Start->Ausführen)
      Zeigt aufgebaute Verbindungen an. Mit Paketzähler und Fehlerzähler.
   2. Über ipsec.msc kann man die IP-Policies ansehen.
      Solange das VPN aktiv ist, muss eine Policy namens "FreeSwan" exisitieren.
   3. Die Datei "c:\dynipsec.log" protokolliert alle Aktionen.
      Service bitte vorher stoppen!
   4. dynIPSecService im Application-Modus betreiben:
      a. Service stoppen
      b. Starten über Batch-Datei
      Funktion kann direkt am Ausgabefenster verfolgt werden.

Letzter Update: Tue Jul 01 14:24:27 CEST 2003

Copyright (c) 2002 Reinhard Moosauer IT Beratung, D-84028 Landshut.
Für die Richtigkeit der Inhalte auf diesen Seiten, sowie externe Inhalte, auf die von diesen Seiten verwiesen wird, wird keine Haftung übernommen.


News
NetMeeting over
Linux Firewall
Special NAT software
for Linux
www.m1b.de

x509, Zertifikate, CA
Kostenlose
Zertifikatsverwaltung
www.m1b.de

VPN for Linux
Die neueste Version
mit allen Patches
www.m1b.de

Home
Kontakt
Leistungen
Schlagworte
Testlabor
Know-How
Open Source
Links
Vorlesungen