Microsoft.com
Willkommen Anmelden
Windows Client TechCenter
Per Mausklick bewerten und Feedback geben
TechNet
TechNet-Bibliothek
Windows
Windows Server
Windows Server 2003
Willkommen
Netzwerkdienste
Routing und RAS
Routing
Routing (Konzepte)
Verwenden von Routing
 Überlegungen für den Aufbau von Rou...

  Anzeige für geringe Bandbreite anschalten
Überlegungen für den Aufbau von Router-zu-Router-VPNs

Überlegungen für den Entwurf von Router-zu-Router-VPNs

Sie sollten vor dem Implementieren von Router-zu-Router-VPN-Verbindungen folgende Aspekte für den Aufbau berücksichtigen, um Problemen vorzubeugen.

  • PPTP-basierte oder L2TP/IPSec-Verbindungen
  • Installieren von Zertifikaten
  • Bei Bedarf herzustellende Verbindungen oder permanente Verbindungen
  • Beschränken der Initiierung einer bei Bedarf herzustellenden Verbindung
  • Unidirektional oder bidirektional initiierte Verbindungen
  • Anzahl der erforderlichen PPTP- oder L2TP-Ports
  • Konfigurieren der Firewallpaketfilter
  • Routing
  • Einzelhop über VPN-Verbindung
  • Erstellen einer RAS-Richtlinie für Router-zu-Router-VPN-Verbindungen

Weitere Informationen finden Sie unter Router-zu-Router-VPN-Verbindung.

PPTP-basierte oder L2TP/IPSec-Verbindungen

Ein VPN-Server, auf dem ein Betriebssystem der Windows Server 2003-Produktfamilie ausgeführt wird, stellt Unterstützung für das Point-to-Point-Tunneling-Protokoll (PPTP) und das Layer-Two-Tunneling-Protokoll (L2TP) bereit. Bei der Wahl zwischen PPTP-basierten und L2TP/IPSec-basierten Router-zu-Router-VPN-Lösungen sollte Folgendes berücksichtigt werden:

  • Für Router-zu-Router-VPN-Verbindungen können Sie PPTP für Router unter Windows NT Server 4.0 mit dem Routing- und RAS-Dienst (Routing and Remote Access Service, RRAS), unter Windows 2000 Server oder unter Betriebssystemen der Windows Server 2003-Produktfamilie verwenden. Für das Ausstellen von Computerzertifikaten ist bei Verwendung von PPTP keine Infrastruktur mit öffentlichem Schlüssel (Public Key Infrastructure, PKI) notwendig. Durch die Verschlüsselung bieten PPTP-basierte VPN-Verbindungen Datenschutz (abgefangene Pakete können ohne Verschlüsselungsschlüssel nicht interpretiert werden). PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität (Beleg, dass die Daten bei der Übertragung nicht geändert wurden) oder Datenursprungsauthentifizierung (Beleg, dass die Daten von einem autorisierten Benutzer gesendet wurden).
  • Die Verwendung von L2TP ist nur für Router unter Windows 2000 Server oder unter Betriebssystemen der Windows Server 2003-Produktfamilie möglich. Werden beide Routertypen verwendet, wird eine Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) zum Ausstellen von Computerzertifikaten für alle Router benötigt. Router unter Betriebssystemen der Windows Server 2003-Produktfamilie unterstützen zusätzlich einen einzelnen vorinstallierten Schlüssel auf dem antwortenden Router und allen anrufenden Routern. Wird IPSec (Internet Protocol Security) verwendet, so bieten L2TP/IPSec-VPN-Verbindungen Datensicherheit und -integrität sowie Datenursprungsauthentifizierung.

Installieren von Zertifikaten

Für die Verwendung der Zertifikatauthentifizierung für L2TP/IPSec-basierte Router-zu-Router-VPN-Verbindungen müssen Sie Computerzertifikate auf beiden Routern installieren. Weitere Informationen finden Sie unter Computerzertifikate für L2TP/IPSec-VPN-Verbindungen und Netzwerkzugriffsauthentifizierung und Zertifikate.

Bei Bedarf herzustellende Verbindungen oder permanente Verbindungen

Sie müssen entscheiden, ob die Router-VPN-Verbindungen bei Bedarf hergestellt werden oder ständig bestehen sollen:

  • Bei Verbindungen für Wählen bei Bedarf muss der antwortende Router permanent mit dem Internet verbunden sein. Der anrufende Router stellt die Verbindung zum Internet über eine DFÜ-Verbindung, z. B. eine analoge Telefonleitung oder ISDN, her. Auf dem antwortenden Router müssen Sie eine einzelne Schnittstelle für Wählen bei Bedarf konfigurieren. Auf dem anrufenden Router müssen Sie zwei Schnittstellen für Wählen bei Bedarf konfigurieren: eine für die Verbindung mit dem lokalen Internetdienstanbieter (Internet Service Provider, ISP) und eine für die Router-zu-Router-VPN-Verbindung. Router-zu-Router-VPN-Verbindungen für Wählen bei Bedarf benötigen zudem eine zusätzliche Hostroute in der IP-Routingtabelle des anrufenden Routers. Weitere Informationen finden Sie unter DFÜ-basierte Router-zu-Router-VPN-Verbindungen.
  • Bei ständigen Verbindungen müssen beide Router über permanente WAN-Verbindungen mit dem Internet verbunden sein. Auf beiden Routern müssen Sie jeweils nur eine einzelne Schnittstelle für Wählen bei Bedarf konfigurieren. Permanente Verbindungen können initiiert und rund um die Uhr aufrecht erhalten werden.

Beschränken der Initiierung einer bei Bedarf herzustellenden Verbindung

Wenn der anrufende Router keine unnötigen Verbindungen herstellen soll, stehen Ihnen zwei Möglichkeiten zur Verfügung, den anrufenden Router am Initiieren von Router-zu-Router-VPN-Verbindungen für Wählen bei Bedarf zu hindern:

  • Filter für Wählen bei Bedarf
    Durch Filter für Wählen bei Bedarf können Sie die Arten von IP-Verkehr konfigurieren, für die keine Verbindung für Wählen bei Bedarf aufgebaut wird, sowie solche, für die eine Verbindung hergestellt werden muss. Weitere Informationen finden Sie unter Konfigurieren von Filtern für Wählen bei Bedarf.
  • Hinauswählzeiten
    Über die Hinauswählzeiten können Sie die Zeiten konfigurieren, in denen ein anrufender Router Router-zu-Router-VPN-Verbindungen herstellen oder nicht herstellen darf. Weitere Informationen finden Sie unter Konfigurieren von Hinauswählzeiten.

Unidirektional oder bidirektional initiierte Verbindungen

Sie müssen bestimmen, ob Ihre Router-zu-Router-VPN-Verbindungen nur von einem Router oder von beiden Routern initiiert werden:

  • Bei unidirektional initiierten Verbindungen stellt ein Router den VPN-Server und der andere den VPN-Client dar. Der VPN-Server nimmt die Verbindung an, und der VPN-Client initiiert die Verbindung. Unidirektional initiierte Verbindungen eignen sich gut für eine sternförmige Topologie bei permanenter Verbindung, bei der der Zweigstellenrouter der einzige Router ist, der die Verbindung herstellt. Bei unidirektional initiierten Verbindungen ist Folgendes erforderlich:
    • Der VPN-Server (der antwortende Router) ist als LAN-Router und als Router für Wählen bei Bedarf konfiguriert.
    • Für die Authentifizierungsinformationen des anrufenden Routers ist ein Benutzerkonto hinzugefügt, auf das der antwortende Router für die Bestätigung zugreift.
    • Auf dem antwortenden Router ist eine Schnittstelle für Wählen bei Bedarf konfiguriert, die denselben Namen trägt wie das Benutzerkonto, das vom anrufenden Router verwendet wird. Diese Schnittstelle für Wählen bei Bedarf wird nicht zum Hinauswählen verwendet. Daher werden weder der Hostname noch die IP-Adresse des anrufenden Routers oder gültige Anmeldeinformationen eingetragen.
    Weitere Informationen finden Sie unter Einseitig initiierte bedarfsweise hergestellte Verbindungen.
  • Bei bidirektional initiierten Verbindungen können beide Router als VPN-Server oder VPN-Client auftreten; dies ist abhängig davon, welcher Router die Verbindung initiiert. Beide Router müssen so konfiguriert sein, dass sie eine VPN-Verbindung sowohl initiieren als auch annehmen können. Sie können bidirektional initiierte Verbindungen verwenden, wenn die Router-zu-Router-VPN-Verbindung nicht rund um die Uhr besteht und der Aufbau der bei Bedarf herzustellenden Verbindung durch Datenverkehr von jeweils einem Router aus bewirkt wird. Bei bidirektional initiierten Router-zu-Router-VPN-Verbindungen ist Folgendes erforderlich:
    • Beide Router sind über eine permanente WAN-Verbindung mit dem Internet verbunden.
    • Beide Router sind als LAN-Router und als Router für Wählen bei Bedarf konfiguriert.
    • Für beide Router wurden Benutzerkonten hinzugefügt, sodass der antwortende Router auf die Authentifizierungsinformationen des anrufenden Routers zugreift und diese bestätigt.
    • Auf beiden Routern müssen Schnittstellen für Wählen bei Bedarf mit dem Namen des Benutzerkontos, das der anrufende Router verwendet, vollständig konfiguriert sein. Dazu zählen die Einstellungen für den Hostnamen oder die IP-Adresse des antwortenden Routers und die Benutzerkonteninformationen zur Authentifizierung des anrufenden Routers.

Konfigurieren der Firewallpaketfilter

Bei Verwendung eines Firewalls müssen Sie Paketfilter auf dem Firewall konfigurieren, um den Datenverkehr zwischen dem VPN-Router und den Routern im Internet zu ermöglichen. Weitere Informationen finden Sie unter Konfiguration von VPN-Servern und Firewalls.

Routing

Bei einer Router-zu-Router-VPN-Verbindung müssen in den Routingtabellen beider Router die entsprechenden Routen angegeben sein, damit der Datenverkehr über die Verbindung weitergeleitet werden kann. Es gibt statische und dynamische Routen. Sie können der Routingtabelle statische Routen über einen manuellen Eintrag oder über autostatische Aktualisierungen hinzufügen. Sie können der Routingtabelle dynamische Routen hinzufügen, indem Sie die Schnittstelle für Wählen bei Bedarf für die VPN-Verbindung einem Routingprotokoll hinzufügen. Ein Routingprotokoll sollte jedoch nur dann auf der Schnittstelle für Wählen bei Bedarf für die VPN-Verbindung aktiviert werden, wenn diese Schnittstelle ständig verbunden ist.

Hinweis

  • Im Unterschied zum Routing für Wählen bei Bedarf mit direkten Verbindungen können Sie bei der VPN-Schnittstelle für Wählen bei Bedarf keine IP-Standardroute verwenden, um alle Routen der Unternehmenszentrale zusammenzufassen. Da der Zweigstellenrouter mit dem Internet verbunden ist, muss die Standardroute verwendet werden, um alle Routen des Internets zusammenzufassen. Diese muss für die Verwendung der Schnittstelle konfiguriert werden, die den Router mit dem Internet verbindet.

Einzelhop über VPN-Verbindung

Wenn Sie eine geroutete Infrastruktur entwerfen möchten, können Sie die Router-zu-Router-VPN-Verbindung als einen einzelnen Hop (Abschnitt) betrachten, unabhängig davon, über wie viele Router hinweg die gekapselten Daten im Internet gesendet werden.

Erstellen einer RAS-Richtlinie für Router-zu-Router-VPN-Verbindungen

Wenn Sie mit RAS-Richtlinien arbeiten, können Sie eine Richtlinie erstellen, die für Router-zu-Router-VPN-Verbindungen eine bestimmte Authentifizierungsmethode und Verschlüsselungsstärke vorschreibt.

Sie können z. B. eine Active Directory-Gruppe mit der Bezeichnung VPN-Router erstellen, deren Mitglieder die Benutzerkonten sind, die von anrufenden Routern beim Herstellen einer Router-zu-Router-VPN-Verbindung verwendet werden. Erstellen Sie dann eine Richtlinie mit zwei Bedingungen: NAS-Porttyp wird auf Virtuell (VPN) festgelegt, und Windows-Gruppe wird auf VPN-Router. Konfigurieren Sie schließlich das Profil für die Richtlinie so, dass eine bestimmte Authentifizierungsmethode und eine bestimmte Verschlüsselungsstärke ausgewählt wird.

Mit der Bedingung Tunnel-Type können Sie auch getrennte RAS-Richtlinien für PPTP- und L2TP-Verbindungen erstellen. Um beispielsweise eine bestimmte Authentifizierungsmethode und Verschlüsselungsstärke für PPTP-Verbindungen festzulegen, legen Sie die Bedingung Tunnel-Type auf Point-to-Point-Tunneling-Protokoll fest.

Communityinhalt   Was ist Community Content?
Neuen Inhalt hinzufügen RSS  Anmerkungen
© 2009 Microsoft Corporation. Alle Rechte vorbehalten. Nutzungsbedingungen | Markenzeichen | Informationen zur Datensicherheit
Page view tracker