PPTP VPN

Aus Securepoint Wiki
Version vom 3. April 2017, 16:00 Uhr von Pascalm (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche
UMA20 AHB hinweispic.png Bei PPTP VPN handelt es nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.


PPTP-VPN Roadwarrior

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

  • Zielsetzung: Aufbau einer VPN-PPTP zwischen der Securepoint Appliance und einem Windows PPTP-Client.


Konfiguration der Appliance

Version 11.4 und höher: PPTP-VPN aktivieren

Der VPN Dienst PPTP ist bei Neuinstallationen Standardmässig ausgeblendet. Unter den erweiterten Einstellungen im WebInterface kann dieser manuell wieder aktiviert werden. Um in die erweiterten Einstellungen zu gelangen, drücken sie auf der Tastatur die Kombination <Strg><Alt>a (auf einer Apple Tastatur <crtl><alt>a). Unter dem Hauptpunkt Extras erscheint dann der Menü Punkt erweiterte Einstellungen.

PPTP-VPN Aktivieren


PPTP-Einstellungen vornehmen

  1. Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenü auf den Eintrag PPTP.
  2. Es erscheint der Dialog PPTP.
  3. Setzen Sie die IP-Adresse des PPTP Servers in das Feld Lokale IP.
  4. Der PPTP Adresspool befindet sich im Netz des PPTP Servers und wird im Feld Adressen-Pool eingetragen. Im linken Feld wird die Start IP-Adresse des Pools angegeben und im rechten Feld die letzte IP-Adresse des Pools. Hierbei wird nur die letzte Dreierkolonne eingegeben.
  5. Das Feld MTU (Maximum Transmission Unit) fragt die maximale Paketgröße ab und kann auf 1300 belassen werden.
  6. Wählen Sie im Feld Authentifizierung, ob sich die Benutzer gegen den Securepoint Authentifizierungs-Server (Default) oder gegen einen Radius-Server (Radius) authentifizieren soll.
  7. Klicken Sie auf Speichern.
PPTP Einstellungen


Optional können Sie bei der Einwahl auch DNS- und WINS-Server übergeben.

  1. Gehen Sie auf der Navigationsleiste auf den Punkt VPN und klicken Sie auf Globale VPN Einstellungen.
  2. Klicken sie auf Nameserver.
  3. In dem erscheinenden Dialog können nun DNS- sowie WINS-Server, die bei der Einwahl übergeben werden sollen, eingetragen werden.
  4. Klicken Sie auf Speichern.

Beachten Sie, diese Einstellung ist eine Systemweite und gilt für alle Roadwarrior(VPN-Clients) die sich per VPN einwählen.

DNS-Server angeben


Netzwerkobjekt anlegen

Dem PPTP-Nutzer wird bei der Verbindung mit der Appliance eine IP-Adresse aus dem definierten Adresspool zugewiesen. Für diesen Adresspool muss ein Netzwerkobjekt angelegt werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
  2. Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
  4. Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
  5. Wählen Sie als Typ den Eintrag VPN Netzwerk. (Soll dem User eine IP-Adresse direkt aus dem Pool zugewiesen werden muss als Typ VPN-Host ausgewählt werden.)
  6. Tragen Sie im Feld Adresse die PPTP-IP-Adresse des PPTP-Pools oder die direkte PPTP-IP-Adresse die der User bei der Einwahl zugewiesen bekommt, so wie die korrekte Subnetzmaske, ein.
  7. Stellen Sie im Feld Zone die Zone vpn-ppp ein.
  8. Das Feld Gruppe kann leer bleiben.
  9. Klicken Sie auf Speichern.
Netzwerkobjekt anlegen


Firewall-Regeln anlegen

Damit externe Nutzer per PPTP auf die Firewall zugreifen können und mit dem internen Netz kommunizieren dürfen, müssen zwei Netzwerkregeln angelegt werden. Dabei ist die Regel für den Zugriff auf das externe Interface mit dem Dienst PPTP schon ab Werk, unter Firewall -> Implizite Regeln -> VPN, vorkonfiguriert und muss nicht extra im Portfilter angelegt werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
  2. Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
  3. Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
  4. Wählen Sie in der linken Liste als Quelle ihr angelegtes PPTP Netzwerkobjekt und in der mittleren Liste internal-network.
  5. Als Dienst wählen Sie in der rechten Liste den/die Dienst/Dienstgruppe die freigegeben werden soll.
  6. Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
  7. Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.
Regel anlegen

PPTP-Gruppe anlegen

In der Version 11 werden die User-Berechtigungen über Gruppen vergeben. Deswegen muss vor dem Anlegen eines Benutzers zuerst die Gruppe mit der entsprechenden Berechtigung angelegt werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Authentifizierung und klicken Sie auf Benutzer.
  2. Im erscheinenden Dialog wechseln Sie auf die Registrierkarte Gruppen und klicken auf Gruppe hinzufügen.
  3. Unter Allgemein, Gruppenname geben Sie der Gruppe zunächst einen Namen.
  4. Bei Berechtigungen haken sie das Kästchen neben VPN-PPTP an.
  5. Klicken Sie auf Speichern.
Gruppe anlegen


PPTP-Benutzer anlegen

Anschließend wird für die Verbindung ein Benutzer angelegt. In der Benutzerverwaltung können Sie dem Benutzer eine IP-Adresse aus dem Adresspool fest zuordnen.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Authentifizierung und klicken Sie im Dropdownmenü auf den Eintrag Benutzer.
  2. Es öffnet sich der Dialog Benutzer, welcher eine Liste aller angelegten Benutzer anzeigt.
  3. Klicken Sie auf den Button Benutzer hinzufügen.
  4. Geben Sie im Feld Anmeldename den Namen des Benutzers an, der für den Login benutzt werden soll.
  5. Vergeben Sie ein Kennwort im Feld Passwort und bestätigen Sie dieses durch wiederholte Eingabe im Feld Passwort bestätigen.
  6. Gehen sie auf die Registrierkarte Gruppen und klicken sie auf die angelegte PPTP-Gruppe um den Benutzer dieser zuzuordnen.
  7. Wechseln Sie auf die Registerkarte VPN.
  8. Hier können Sie im Feld VPN-PPTP IP-Adresse eine IP-Adresse aus dem PPTP-Adresspool eintragen, die dem Benutzer bei jeder Einwahl zugewiesen wird. (Dieser Eintrag ist optional.)
  9. Auf der Registrierkarte Passwort kann dem Benutzer noch die Änderung des eigenen Passwortes gestattet werden sowie die Richtlinien bestimmt werden die das Passwort betreffen.
  10. Klicken Sie auf Speichern.
Benutzer anlegen
Gruppe zuweisen
Optionale IP angeben

PPTP-Server starten

Abschließend muss der PPTP-Server gestartet werden oder neu gestartet werden, damit die Änderungen übernommen werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken Sie im Dropdownmenü auf den Eintrag Anwendungsstatus.
  2. Der öffnende Dialog zeigt den Status aller verfügbaren Anwendungen.
  3. Klicken Sie in der Spalte PPTP-VPN auf die Schaltfläche Starten, wenn diese grau ist.
  4. Klicken Sie in der Spalte PPTP-VPN auf die Schaltfläche Neustarten, wenn die Schaltfläche grün ist.
  5. Der Server wird gestartet bzw. neu gestartet.
  6. Klicken Sie auf Schließen.
Dienste Übersicht
  • Damit ist die Einrichtung abgeschlossen.

Client unter Microsoft Windows 7 einrichten

Microsoft Windows verfügt über einen integrierten PPTP Client. Zur Einrichtung des VPN Clients unter Windows 7 nutzen Sie bitte diese Anleitung.


Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.