Ein Virtuelles Privates Netzwerk (VPN) mit Windows Vista Bordmitteln einrichten
Ein sog. Virtuelles Privates Netzwerk, oder kurz VPN, ist eine überaus praktische Sache. Einmal eingerichtet erlaubt es die automatische Verbindung zweier entfernter Netzwerke um darüber Dateien oder Dienste auszutauschen, bzw. kommunizieren zu lassen. Sei es aus geschäftlichen Zwecken, weil man von entfernten Arbeitsplätzen auf Dateien zuhause oder im Büro zugreifen möchte, oder aus privaten Gründen, weil man bspw. eine Spiel über's Netzwerk und nicht über die Internetverbindung spielen möchte. Warum auf komplizierte oder teure Software zurückgreifen, wenn man auch die Windowsbordmittel zur Einrichtung eines VPNs nutzen kann? Nicht erst seit Windows Vista ist dies relativ einfach geworden.
Das nachfolgende Tutorial ist unter Windows Vista Business getestet. Für andere Versionen von Vista kann ich leider nichts sagen, es sollte aber eigentlich analog funktionieren.
Auch wenn ich einen Punkt vorwegnehme, sei auf eine Schwierigkeit  vor allem im Heimgebrauch eines VPNs mit Windows-Mitteln eingegangen. Windows nutzt das Protokoll PPTP (Point-to-Point Tunneling Protocol) zur sicheren Kommunikation zwischen den Netzwerk-Geräten. Eigentlich kein Problem, wenn da nicht eine Besonderheit zu beachten wäre, die dabei auftritt:
Nicht alle günstigen Router, die häufig in Heimnetzwerken eingesetzt werden, unterstützen das notwendige Tunneling-Protokoll GRE (Generic Routing Encapsulation), welches für PPTP genutzt wird. Es hat mich einige Nerven und kostbare Zeit gekostet bis ich herausgefunden habe, warum mein WLAN-Router von Netgear die Netzwerkverbindung nicht zustande bringt. Das ärgerliche daran war, dass die reine Verbindung funktionierte, allerdings die Antwort vom Server nie zurückkam.
Aus diesem Grund sollten Sie vor der Einrichtung des VPNs unter Windows prüfen, ob Ihr Router das GRE-Protokoll unterstützt. Sie sollten irgendwo in den Einstellungen zum "IP-Forwarding", bzw. der "Portweiterleitung" in den Einstellungen des Routers etwas zu GRE finden. Netgear und D-Link sind hier nicht gerade die optimalste Lösung, daher empfehle ich die FritzBox-Router. Ich habe nun seit einiger Zeit die FRITZ!Box WLAN 3170 im Einsatz, die sowohl das GRE-Protokoll unterstützt, als auch eine sehr stabile WLAN-Netzwerkumgebung aufrecht erhält:
Alternativ kann auch die etwas teurere, aber mit VoIP (Voice over IP: Internettelfonie) ausgestattete AVM FRITZ!Box Fon WLAN 7170 genommen werden:
Einrichtung des Netzwerks auf Serverseite
Ihr eingerichtetes VPN wird grundsätzlich zwei Perspektiven aufweisen: Ein Computer (Clientseite) baut die Verbindung zu einem entfernten Netzwerk auf (Serverseite). Die Serverseite muss also die Verbindungsanfrage annehmen, verarbeiten und eine Antwort an den Client schicken.
Auf Serverseite wird das Netzwerk in der Regel so aufgebaut sein, dass ein zentraler Router dieses verwaltet und ein Computer daran angeschlossen ist. Dieses Tutorial setzt voraus, dass dieser Computer ein Windows Vista Betriebssystem installiert hat.
 Zunächst gilt es herauszufinden, welche IP-Adresse dieser Computer (nachfolgend unser "Server") hat.
Melden Sie sich an dem Server an und öffnen Sie eine Konsole. Sie tun dies indem Sie auf Start klicken und dort "cmd" eintippen und Enter drücken.
Dort tippen Sie "ipconfig" ein und bestätigen Sie dies mit Enter. Sie sollten eine Liste mit Netzwerkgeräten sehen. Unterhalb dieser Netzwerkgeräte sind diverse Angaben zu finden. Die Angabe "IP-Adresse" ist für uns wichtig, da dies die Kennung des Servers innerhalb des Netzwerkes ist.
Gehen Sie in das Konfigurationsmenü Ihres Routers und suchen Sie nach einer Kategorie die "IP-Forwarding" , "Portfreigabe" oder "Portweiterleitung" lautet. Dort müssen Sie folgendes einstellen:
- Der Port 1723 muss zur IP Ihres Server weitergeleitet werden
- Das GRE-Protokoll muss ebenfalls zu Ihrer Server-IP weitergeleitet werden
In der Fritzbox sieht das folgendermaßen aus:
Der obere Eintrag ist übrigens interessant, wenn Sie eine Remote-Desktop-Verbindung ohne vorherigen Aufbau eines VPNs über das Internet nutzen möchten (TCP-Port 3389).
Wenn Sie den Server von extern, also über das Internet erreichen wollen, so müssen Sie entweder für jede Verbindung herausfinden, wie die externe IP Ihres Servers lautet, oder Sie registrieren sich bei einem Dienst wie dyndns.org. Dieser Anbieter stellt Ihnen eine eindeutige URL zur Verfügung ("ihreadresse.dyndns.org") die immer automatisch auf die IP Ihres Servers verweist.
Zum automatischen Updaten Ihrer URL müssen Sie entweder in Ihrem Routerkonfigurationsmenü eine Einstellung vornehmen, dass die IP im Falle einer Neuverbindung automatisch zu einem DynDNS-Anbieter übertragen werden soll, oder Sie laden sich das Tool von DynDNS.org herunter. Nachfolgend wird davon ausgegangen, dass Ihr Server übers Internet mittels dyndns erreichbar ist.
Einrichtung des Servers (Windows Vista)
Öffnen Sie die Netzwerkseinstellungen per Rechtsklick auf Netzwerkumgebung im Windows Explorer:
Im darauffolgenden Fenster wählen Sie "Netzwerkverbindungen verwalten" aus und im nun geöffneten Fenster im Menü auf "Datei --> Neue eingehende Verbindung...":
Hinweis: Je nachdem, wie Vista eingestellt ist, werden Sie nun von der Benutzerkontensteuerung aufgefordert, die Programmausführung zu bestätigen. Dies kann ruhig mit "Fortsetzen" bestätigt werden.
In diesem Schritt können Sie auswählen, welcher Windows-Benutzer Zugriff auf das interne Netzwerk erhalten soll. Wenn Sie Freunde oder Bekannte zulassen möchten, so können Sie speziell hierzu einen eigenen Benutzer einrichten. Hierzu gehen Sie auf "Benutzer hinzufügen...":
Hinweis: Geben Sie nicht dem Administrator Zugriff auf das Netzwerk! Auch wenn die VPN-Verbindungen unter Windows als relativ sicher gelten, könnte hier eine große Sicherheitslücke entstehen.
Im nächsten Fenster setzen Sie einen Haken bei "Über das Internet" um eine VPN-Verbindung darüber zuzulassen:
Wählen Sie im nächsten Bildschirm den Eintrag zu Internetprotokoll Version 4 (TCP/IPv4) aus und klicken Sie auf Eigenschaften unterhalb der Liste...
Hier legen Sie grundsätzliche Eigenschaften für Ihr VPN fest. Der erste Haken ist selbsterklärend und sollte gesetzt werden, da man sonst von extern nur Zugriff auf den Server hat.
Darunter kann man einen Bereich angeben, aus dem der spätere Client seine IP beziehen wird. Da manche Router ebenfalls eine automatische Adressvergabe (per DHCP) durchführen, muss man an dieser Stelle aufpassen dass es keine Überschneidungen gibt. In unserem Beispiel vergebe ich automatisch eine IP aus dem Bereich 192.168.1.50 - 192.168.1.100, demnach müsste mein Router so eingerichtet sein, aus einem anderen Bereich die IPs zu beziehen (z. Bsp. 192.168.1.101 - 192.168.1.200):
Wenn dieses Fenster mit "OK" geschlossenn wurde, kann man im Ausgangsfenster den Button "Zugriff zulassen" anwählen und der Server ist eingerichtet!
Einrichtung des Netzwerks auf Clientseite
Nachdem nun der Server soweit ist, eine VPN-Verbindung anzunehmen und zu verarbeiten, kann der Client eingerichtet werden, bspw. Ihr Laptop oder Firmenrechner.
Hierzu gehen Sie wieder in die Eigenschaften der Netzwerkumgebung ...
... und daraufhin diesmal auf  "Eine Verbindung oder ein Netzwerk einrichten" um in der Liste den Eintrag "Eine Verbindung mit dem Arbeitsplatz herstellen" auszuwählen:
Im nächsten Fenster "Nein, eine neue Verbindung erstellen" und danach "Die Internetverbindung (VPN)" verwenden:
Nun muss noch die Internetadresse (URL) eingetragen werden, über die Ihr Server erreichbar ist (wird von dyndns.org zur Verfügung gestellt) und wie der Name der Verbindung lauten soll:
Nun müssen Sie noch die Benutzereinstellungen eingeben, also mit welchem Benutzer und dessen Passwort Sie sich zum Server verbinden wollen und wir sind fertig:
Besonderheiten, weitere Einstellungen, zusätzliche Infos...
Nachdem Sie nun eine erfolgreiche Verbindung zum Server via VPN-Bordmittel von Windows Vista aufgebaut haben, stellen sich einige Fragen dazu.
Wie erreiche ich denn nun den Server, um bspw. Dateien auszutauschen?
Prinzipiell können Sie nun den Namen des Servers einfach in der Netzwerkumgebung suchen, bzw. aus der Netzwerkliste aussuchen. Dies könnte aber eine Weile dauern, da Windows nicht immer korrekt die Gerätenamen innerhalb des Netzwerks aktualisiert. Besser ist es, wenn Sie den Server mittels seiner IP öffnen. Sie errinnern sich an die Einstellung, in der man einen IP-Adressbereich eingeben musste, aus dem sich die verbundenen Computer "bedienen"? Der Server hat die erste freie IP aus diesem Bereich. In unserem Beispiel ist das die IP 192.168.1.51.
Kann ich auch eine Remotedesktopverbindung zu meinem Server aufbauen, um Einstellungen nachträglich zu verändern ohne davor zu sein?
Ja. Gehen Sie auf dem Server zu Systemsteuerung\System und Wartung\System (Auch zu erreichen indem Sie im Windows-Explorer einen Rechtsklick auf "Computer" durchführen und im Kontextmenü auf "Eigenschaften" gehen) und in diesem Eigenschaftsfenster auf den Reiter "Remote". Dort können Sie unter dem Bereich "Remotedesktop" die Einstellung so ändern, dass Benutzer per Remotedesktop auf den Server zugreifen. Da Sie per VPN-Verbindung den Server erreichen werden, müssen Sie nichts weiter tun. Sollten Sie auch ohne VPN, übers reine Internet, diese Funktion nutzen wollen, so müssen Sie auf dem Router den TCP-Port 3389 weiterleiten.
Ich habe nur beschränkte Zugriffsrechte, bzw. jeder Benutzer kann sämtliche Freigaben öffnen und bearbeiten?
Prinzipiell können Sie dem VPN-Benutzer Rechte zum Zugriff auf einen Freigabeordner geben oder entziehen. Wenn Sie per Rechtsklick auf den Freigabeordner klicken und dort auf "Freigabe und Sicherheit", können Sie unter dem Reiter "Sicherheit" die entsprechenden Benutzer auswählen und Ihnen Rechte geben. Ein Tip: Wenn Sie hinter dem Freigabename des Ordners im Reiter "Freigabe" ein Dollarzeichen setzen (Bsp.: "privaterFreigabeOrdner$"), so ist diese Freigabe "versteckt" und kann in der normalen Freigabeansicht des Servers nicht gesehen werden.
Comments
Noch keine Kommentare.
Leider ist die Kommentarfunktion zur Zeit deaktiviert.