VPN Server mit Windows XP - Version 2
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Ein Virtual Private Network - kurz VPN - verbindet externe Rechner mit dem lokalen Netzwerk und verschlüsselt hierbei auch die Daten. Das Internet dient dabei als Transportmedium. Ist man im VPN eingebunden, agiert man wie im lokalen Netz. Die Technik eignet sich daher zum Zugriff auf das eigene LAN oder Multiplayer-Spiele, die nur die Nutzung innerhalb eines LANs erlauben.
Der Artikel beschreibt in kurzen Zügen, wie man bei der Einrichtung eines VPN auf der Server- und Clientseite unter Windows XP vorgeht. Für andere Betriebssysteme gelten unter Umständen andere Verfahrensweisen. Hier lädt das Forum zum Diskutieren ein.
Die Technik
Wie bereits im Vorwort dargestellt, wird ein Rechner, der sich über VPN mit dem LAN verbindet, wie ein weiterer Rechner im lokalen LAN behandelt. Sofern Freigaben für den Nutzer vorhanden sind, kann man diese ebenso nutzen wie freigegebene Drucker etc. Nach der Einwahl erhält jeder VPN-Nutzer eine IP-Adresse aus dem Adressraum des lokalen Netzes. Damit sind nun auch Multiplayer-Spiele möglich, die eigentlich nur im lokalen LAN spielbar waren.
Das für die VPN-Verbindung notwendige VPN-Protokoll PPTP (Point to Point Tunneling Protocol) wird bei Windows XP direkt mitinstalliert. Auf Lösungen über L2TP over IPSec gehen wir hier nicht ein.
Auf Clientseite erfolgt die Einrichtung der Verbindung grundsätzlich wie jede andere DFÜ-Verbindung.
Auf der Serverseite (dort, wo man sich einwählen möchte) muss allerdings ein VPN-Server laufen. Windows 2000 sowie Windows XP Home und die Professional-Version bieten bereits einen eingebauten VPN-Server. Dieser erlaubt aber nur eine Verbindung gleichzeitig. Wer mehr benötigt, muss sich einen "echten" Server (Windows 2003) oder einen Router mit eingebautem VPN-Server zulegen. Beispielsweise vertreibt Draytek solche Geräte.
Für unseren Zweck reicht aber zunächst der Lieferumfang.
Sicherheit
VPN unter Windows XP nutzt per Default PPTP als Protokoll. Dieses bietet in der neuesten Version eine Verschlüsselung von 128 Bit und ist mit ausreichend langen Passwörtern auch ausreichend sicher. Das modernere Protokoll IPsec bietet zwar eine höhere Sicherheit, wird aber nicht von allen Betriebssystemen unterstützt.
Wer sich mit VPN unter Windows beschäftigen möchte, sollte einen Blick in das kostenlose Infobuch von Microsoft VPN mit Windows 2003 - ein Überblick werfen. Dieses Whitepaper bietet Ihnen einen Überblick über die von Windows Server 2003 und Windows XP unterstützten VPN-Technologien. Es beschreibt die Features der beiden Betriebssysteme, die Ihnen die Administration von VPN-Verbindungen in Unternehmensnetzwerken erleichtern, und gibt Hintergrundinformationen zu den beiden Industriestandards Point-to-Point-Tunneling-Protocol (PPTP) und Layer-Two-Tunneling-Protocol mit Internet-Protocol-Security (L2TP/IPSec).
Einrichtung auf Server-Seite
Widmen wir uns zunächst der Server-Seite, d.h. dem Rechner, auf dem die Einwahl erfolgt.
Zunächst muss man eine neue eingehende Verbindung einrichten. Hierzu geht man über die Systemsteuerung auf Netzwerkverbindungen und wählt hier "Neue Verbindung erstellen".
|
Ab.1 Neue Verbindung auf dem Server erstellen
Klick aufs Bild zum Vergrößern
|
Den folgenden Assistenten bestätigt man mit weiter und wählt dann "Eine erweiterte Verbindung einrichten".
|
Ab.2 Erweiterte Verbindung
Klick aufs Bild zum Vergrößern
|
Im Folgenden wählt man "Eingehende Verbindung zulassen".
|
Ab.3 Eingehende Verbindung
Klick aufs Bild zum Vergrößern
|
Die nun folgende Auswahl der Geräte muss man ignorieren, da die Einwahl bei einer bestehenden Onlineverbindung über die IP-Adresse oder einen Domänennamen erfolgt, der von Diensten wie http://www.dyndns.org/ auf den eigenen Rechner umgeleitet wird.
Wie man eine solche Umleitung automatisiert und einrichtet, hat Konrad Priemer in seinem Artikel „DYNAMISCHES DNS-UPDATE FÜR DIE LOKALE HOMEPAGE“ ausführlich beschrieben.
Der nächste Dialog will wissen, ob man VPN-Verbindungen zulassen möchte, was man über den Radio-Button aktiviert.
Damit dem von außen die VPN-Verbindung herstellenden User der Zugang zum lokalen Netz gewährt wird, muss er als Benutzer auf dem lokalen System bekannt sein. In unserem Beispiel fehlt der Nutzer noch.
|
Ab.5 Benutzer auswählen
Klick aufs Bild zum Vergrößern
|
Über die Schaltfläche "Hinzufügen" erstellt man daher einen neuen Nutzer.
|
Ab.6 Benutzer erstellen
Klick aufs Bild zum Vergrößern
|
Der Gast von außen muss sich später mit diesen Daten anmelden. Aus Sicherheitsgründen sollte man kein zu leichtes Passwort wählen.
|
Ab.7 Benutzer erstellen
Klick aufs Bild zum Vergrößern
|
Wir haben nun den VPNBenutzer (als Accountname) erstellt und aktiviert.
Im nun folgenden Schritt legt man die Einstellungen für das Netzwerk fest. Es müssen sowohl das TCP/IP-Protokoll wie auch der Client für Microsoft-Netzwerke und (falls gewünscht) die Datei- und Druckerfreigabe für Microsoft-Netzwerke aktiviert werden.
Der Eintrag Internetprotokoll (TCP/IP) bedarf dabei ggf. noch einer Anpassung unter "Eigenschaften".
|
Ab.9 Protokolle und IP-Adresse
Klick aufs Bild zum Vergrößern
|
Der Netzwerkzugriff (oben) ist per Default im Regelfall aktiviert.
Ob man nun die TCP/IP-Adresse des Gastrechners über DHCP automatisch vergeben lässt oder manuell selbst festlegt, hängt von den Vorgaben des lokalen Netzes ab. Wichtig ist vor allem, dass sich beide Rechner im gleichen Subnetz später befinden (also 192.168.X.Y, d.h. auf beiden Rechnern muss die IP-Adresse bis auf das Y identisch sein).
Sollten sich nach dem späteren Test beide Rechner nicht sehen, könnte genau hier die Fehlerquelle liegen. In diesem Fall gehen Sie in die Eingabeaufforderung (Start-> Ausführen ->CMD und prüfen dort mit IPCONFIG die IP-Adresse des Rechners. Lautet diese z.B. 192.168.1.X , können Sie auch manuell einen Adressbereich von 192.168.1.X bis 192.168.1.255 wählen.
Damit ist die Einrichtung auf der Serverseite bereits erledigt.
Ein neues Icon unter den Netzwerkverbindungen zeigt an, dass eingehende Verbindungen aktiviert sind. Stellt nun ein Rechner die Verbindung her, wird der Accountname genau hier angezeigt.
|
Ab.11 Eingehende Verbindung aktiviert
Klick aufs Bild zum Vergrößern
|
|