Zum Erstellen einer L2TP/IPSec-basierten Router-zu-Router-VPN-Verbindung, über die vertrauliche Daten über das Internet gesendet werden sollen, führen Sie die folgenden Schritte aus:

1. Konfigurieren Sie den Router unter einem Betriebssystem der Windows Server 2003-Produktfamilie in der Unternehmenszentrale, um L2TP-Verbindungen von einem Zweigstellenrouter zu empfangen.
   
2. Konfigurieren Sie den Router unter einem Betriebssystem der Windows Server 2003-Produktfamilie in der Zweigstelle, um eine L2TP-Verbindung zur Unternehmenszentrale zu initiieren.
   
3. Initiieren Sie die L2TP-Verbindung vom Router in der Zweigstelle.
   

Hinweis

• Bei diesen Schritten wird vorausgesetzt, dass die L2TP/IPSec-basierte Router-zu-Router-VPN-Verbindung zwischen einer Unternehmenszentrale und einer Zweigstelle hergestellt wurde. Sie können diese Schritte auch für die VPN-Verbindung zwischen zwei Zentralen anwenden.
  

Wenn der Router unter einem Betriebssystem der Windows Server 2003-Produktfamilie in der Unternehmenszentrale mehrere L2TP-Verbindungen mit Zweigstellen unterstützt, führen Sie die folgenden Schritte aus:

• Konfigurieren Sie die Verbindung mit dem Internet.
  
• Konfigurieren Sie die Verbindung mit dem Intranet.
  
• Installieren Sie ein Computerzertifikat.
  
• Konfigurieren Sie den Router der Unternehmenszentrale.
  
• Konfigurieren Sie Schnittstellen für Wählen bei Bedarf.
  
• Konfigurieren Sie die Firewallpaketfilter.
  
• Konfigurieren Sie die RAS-Richtlinien.
  

In der folgenden Abbildung werden Elemente einer Router-zu-Router-VPN-Verbindung mit L2TP/IPSec auf einem Computer unter einem Betriebssystem der Windows Server 2003-Produktfamilie dargestellt.

Weitere Informationen finden Sie unter Router-zu-Router-VPN-Verbindung und Layer-Two-Tunneling-Protokoll.

Hinweis

• Zur Vereinfachung der Konfiguration wird die L2TP-Verbindung stets durch den Router in der Zweigstelle initiiert.
  

Bei der Verbindung mit dem Internet handelt es sich um eine dedizierte Verbindung, einen auf dem Computer installierten WAN-Adapter. Der WAN-Adapter ist in der Regel ein DDS-, T1-, Teil-T1- oder Frame Relay-Adapter. Wenden Sie sich an Ihre Telefongesellschaft, um die entsprechenden Kabel zu Ihrem Firmensitz verlegen zu lassen. Stellen Sie sicher, dass der WAN-Adapter mit den Betriebssystemen der Windows Server 2003-Produktfamilie kompatibel ist. Informationen zur Überprüfung der Kompatibilität finden Sie im Abschnitt "Kompatible Hardware und Software" unter Supportressourcen.

Der WAN-Adapter umfasst Treiber, die unter Betriebssystemen der Windows Server 2003-Produktfamilie installiert sind, sodass der Adapter als Netzwerkadapter angezeigt wird.

Konfigurieren Sie die folgenden TCP/IP-Einstellungen für den WAN-Adapter:

• Die vom InterNIC oder einem Internetdienstanbieter (Internet Service Provider, ISP) zugewiesene IP-Adresse und Subnetzmaske.
  
• Das Standardgateway des Routers des Internetdienstanbieters.
  

Bei der Verbindung mit dem Internet handelt es sich um einen auf dem Computer installierten LAN-Adapter. Stellen Sie sicher, dass der LAN-Adapter mit den Betriebssystemen der Windows Server 2003-Produktfamilie kompatibel ist. Informationen zur Überprüfung der Kompatibilität finden Sie im Abschnitt "Kompatible Hardware und Software" unter Supportressourcen.

Konfigurieren Sie die folgende TCP/IP-Einstellung für den LAN-Adapter:

• Die vom Netzwerkadministrator zugewiesene IP-Adresse und Subnetzmaske.
  

Wenn auf dem Router der Unternehmenszentrale Anwendungen ausgeführt werden, müssen Sie die folgende TCP/IP-Einstellung für den LAN-Adapter konfigurieren:

• Die DNS- und WINS-Namenserver der firmeneigenen Intranetnamenserver.
  

Da der Router in der Unternehmenszentrale für das Routing des Datenverkehrs zwischen der Unternehmenszentrale und der Zweigstelle zuständig ist, müssen Sie ihn mit statischen Routen oder Routingprotokollen so konfigurieren, dass alle Ziele im Netzwerk der Unternehmenszentrale vom Router der Unternehmenszentrale aus erreicht werden können.

Obwohl Sie entweder Computerzertifikate oder einen vorinstallierten Schlüssel verwenden können, um die Authentifizierung für IPSec-Sicherheitszuordnungen für eine L2TP/IPSec-Verbindung bereitzustellen, wird die Verwendung von Computerzertifikaten empfohlen. Sie müssen deshalb ein Computerzertifikat auf dem Router der Unternehmenszentrale installieren.

Weitere Informationen zur Installation eines Computerzertifikats auf dem Router der Unternehmenszentrale finden Sie unter Computerzertifikate für L2TP/IPSec-VPN-Verbindungen und Netzwerkzugriffsauthentifizierung und Zertifikate.

Aktivieren Sie den Router der Unternehmenszentrale durch Installieren des Routing- und RAS-Dienstes. Weitere Informationen finden Sie unter Aktivieren des Routing- und RAS-Dienstes.

Sie können mithilfe des Assistenten für eine Schnittstelle für Wählen bei Bedarf für jeden Zweigstellenrouter eine Schnittstelle für Wählen bei Bedarf erstellen. Legen Sie im Assistenten folgende Konfiguration fest:

• Schnittstellenname
  Geben Sie den Namen der Schnittstelle ein, die für die Verbindung mit der Zweigstelle steht. Geben Sie beispielsweise für den Router der Zweigstelle in München RouterMünchen ein.
  
• Verbindungstyp
  Klicken Sie auf Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen.
  
• VPN-Typ
  Klicken Sie auf Layer-2-Tunneling-Protokoll (L2TP).
  
• Zieladresse
  Die VPN-Verbindung wird nicht durch den Router der Unternehmenszentrale initiiert, sodass hier keine Adresse erforderlich ist.
  
• Protokolle und Sicherheit
  Wählen Sie die weiterzuleitenden Protokolle aus, und aktivieren Sie das Kontrollkästchen Benutzerkonto hinzufügen, über das sich ein Remoterouter einwählen kann.
  
• Konfigurieren von statischen Routen
  Sie müssen statische Routen hinzufügen, damit der Datenverkehr zur Zweigstelle über die entsprechende Schnittstelle für Wählen bei Bedarf weitergeleitet wird. Konfigurieren Sie für jede Zweigstellenroute die Schnittstelle, das Ziel, die Netzwerkmaske und die Metrik. Wählen Sie als Schnittstelle die der Zweigstelle entsprechende Schnittstelle für Wählen bei Bedarf aus.
  So lautet beispielsweise die der Zweigstelle München entsprechende Route 192.168.25.0 mit der Subnetzmaske 255.255.255.0. Mithilfe der folgenden Konfiguration wird daraus eine statische Route:
  
  • Schnittstelle: RouterMünchen
    
  • Ziel: 192.168.25.0
    
  • Netzwerkmaske: 255.255.255.0
    
  • Metrik: 1
    
• Anmeldeinformationen für Hinauswählen
  Die VPN-Verbindung wird nicht durch den Router der Unternehmenszentrale initiiert, Sie können hier also einen beliebigen Namen, eine Domäne und ein Kennwort eingeben.
  
• Anmeldeinformationen für Einwählen
  Geben Sie die Domäne und das Kennwort für das Konto ein, das für die Authentifizierung des Zweigstellenrouters verwendet werden soll. Der Assistent für eine Schnittstelle für Wählen bei Bedarf erstellt das Konto automatisch und legt für die RAS-Berechtigung die Einstellung Zugriff gestatten fest. Der Name des Kontos entspricht dem Namen der Schnittstelle für Wählen bei Bedarf. Die Bezeichnung des Kontos für den Router in der Zweigstelle in München lautet z. B. RouterMünchen.
  

Hinweis

• Da es sich bei der L2TP-Verbindung um eine Punkt-zu-Punkt-Verbindung handelt, kann die IP-Adresse für das Gateway nicht konfiguriert werden.
  

Weitere Informationen finden Sie unter Hinzufügen einer statischen Route.

Bei Verwendung eines Firewalls in der Unternehmenszentrale müssen Sie L2TP/IPSec-Paketfilter für den Firewall so konfigurieren, dass der L2TP/IPSec-Datenverkehr zwischen Zweigstellenroutern und dem Router in der Unternehmenszentrale zugelassen wird. Weitere Informationen finden Sie unter Konfiguration von VPN-Servern und Firewalls.

Mithilfe des Assistenten für eine Schnittstelle für Wählen bei Bedarf werden die Einwähleigenschaften von Benutzerkonten für den Zweigstellenrouter bereits so konfiguriert, dass RAS zugelassen ist.

Wenn Sie den Remotezugriff für die L2TP/IPSec-Zweigstellenrouter auf der Grundlage der Gruppenmitgliedschaft erteilen möchten, führen Sie die folgenden Schritte aus:

1. Für einen eigenständigen Router, der nicht zu einer Domäne gehört, verwenden Sie Lokale Benutzer und Gruppen und legen die DFÜ-Eigenschaften für alle Benutzer auf Zugriff gestatten fest.
   
2. Für verzeichnisdienstbasierte Router verwenden Sie Active Directory-Benutzer und -Computer und legen die DFÜ-Eigenschaften für alle Benutzer auf Zugriff über RAS-Richtlinien steuern fest.
   
3. Erstellen Sie eine Active Directory-Gruppe unter einem Betriebssystem der Windows Server 2003-Produktfamilie, deren Mitglieder VPN-Verbindungen mit dem VPN-Server erstellen können. z B. Zweigstellenrouter.
   
4. Fügen Sie die Benutzerkonten zur Active Directory-Gruppe hinzu, die den von den Zweigstellenroutern verwendeten Konten entsprechen.
   
5. Erstellen Sie eine neue RAS-Richtlinie mit den folgenden Eigenschaften:
   
   • Legen Sie Richtlinienname als VPN-Zugriff für Zweigstellenrouter fest (Beispiel).
     
   • Legen Sie für die Bedingung Windows-Groups den Wert Zweigstellenrouter fest (Beispiel).
     
   • Legen Sie für die Bedingung NAS-Port-Type den Wert Virtuell (VPN) fest.
     
   • Legen Sie für die Bedingung Tunnel-Type den Wert Layer-Two-Tunneling-Protokoll fest.
     
   • Wählen Sie die Option RAS-Berechtigung erteilen aus.
     
6. Wenn dieser Computer lediglich zum Bereitstellen von Router-zu-Router-VPN-Verbindungen verwendet wird, müssen Sie die Standard-RAS-Richtlinien löschen. Verschieben Sie andernfalls die RAS-Standardrichtlinie so, dass sie als letzte ausgewertet wird.
   

Die Standard-Verschlüsselungseinstellungen ermöglichen keine Verschlüsselung und alle beliebigen Verschlüsselungsstärken. Damit die Verschlüsselung zwingend verwendet werden muss, deaktivieren Sie die Option Keine Verschlüsselung und legen die gewünschte Verschlüsselungsstärke auf der Registerkarte Verschlüsselung im Profil der RAS-Richtlinie fest, die von den anrufenden Routern genutzt wird.

Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung.

Wenn der Router unter einem Betriebssystem der Windows Server 2003-Produktfamilie in der Zweigstelle eine L2TP-Verbindung mit dem Router der Unternehmenszentrale initiieren soll, führen Sie die folgenden Schritte aus:

• Konfigurieren Sie die Verbindung mit dem Internet.
  
• Konfigurieren Sie die Verbindung mit dem Zweigstellennetzwerk.
  
• Installieren Sie ein Computerzertifikat.
  
• Konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf.
  
• Konfigurieren Sie statische Routen.
  
• Konfigurieren Sie die Firewallpaketfilter.
  

Hinweis

• Zur Vereinfachung der Konfiguration wird die L2TP-Verbindung stets durch den Router in der Zweigstelle initiiert.
  

Bei der Verbindung mit dem Internet handelt es sich um eine dedizierte Verbindung, einen auf dem Computer installierten WAN-Adapter. Der WAN-Adapter ist in der Regel ein DDS-, T1-, Teil-T1- oder Frame Relay-Adapter. Wenden Sie sich an Ihre Telefongesellschaft, um die entsprechenden Kabel zu Ihrem Firmensitz verlegen zu lassen. Stellen Sie sicher, dass der WAN-Adapter mit den Betriebssystemen der Windows Server 2003-Produktfamilie kompatibel ist. Informationen zur Überprüfung der Kompatibilität finden Sie im Abschnitt "Kompatible Hardware und Software" unter Supportressourcen.

Der WAN-Adapter umfasst Treiber, die unter Betriebssystemen der Windows Server 2003-Produktfamilie installiert sind, sodass der Adapter als Netzwerkadapter angezeigt wird.

Konfigurieren Sie die folgenden TCP/IP-Einstellungen für den WAN-Adapter:

• Die vom InterNIC oder einem Internetdienstanbieter zugewiesene IP-Adresse und Subnetzmaske.
  
• Das Standardgateway des Routers des Internetdienstanbieters.
  

Bei der Verbindung mit dem Zweigstellennetzwerk handelt es sich um einen LAN-Adapter, der auf dem Computer installiert ist. Stellen Sie sicher, dass der LAN-Adapter mit den Betriebssystemen der Windows Server 2003-Produktfamilie kompatibel ist. Informationen zur Überprüfung der Kompatibilität finden Sie im Abschnitt "Kompatible Hardware und Software" unter Supportressourcen.

Konfigurieren Sie die folgenden TCP/IP-Einstellungen für den LAN-Adapter:

• Die vom Netzwerkadministrator zugewiesene IP-Adresse und Subnetzmaske.
  
• Die DNS- und WINS-Namenserver der Namenserver der Zweigstelle.
  

Da der Router in der Zweigstelle für das Routing des Datenverkehrs zwischen Unternehmenszentrale und Zweigstelle zuständig ist, müssen Sie den Zweigstellenrouter mit statischen Routen oder mit Routingprotokollen so konfigurieren, dass alle Ziele im Zweigstellennetzwerk vom Zweigstellenrouter aus erreicht werden können.

Da der Router in der Unternehmenszentrale Computerzertifikate zur Authentifizierung der IPSec-Sicherheitszuordnung für die L2TP/IPSec-Verbindung verwendet, müssen Sie ein Computerzertifikat auf dem Zweigstellenrouter installieren, damit eine L2TP/IPSec-Verbindung hergestellt werden kann.

Weitere Informationen zur Installation eines Computerzertifikats auf dem Router der Zweigstelle finden Sie unter Computerzertifikate für L2TP/IPSec-VPN-Verbindungen und Netzwerkzugriffsauthentifizierung und Zertifikate.

Sie können mithilfe des Assistenten für eine Schnittstelle für Wählen bei Bedarf feine Schnittstelle für Wählen bei Bedarf erstellen. Legen Sie im Assistenten folgende Konfiguration fest:

• Schnittstellenname
  Geben Sie den Namen der Schnittstelle ein, der für die Verbindung mit der Unternehmenszentrale steht, z. B. Zentrale.
  
• Verbindungstyp
  Klicken Sie auf Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen.
  
• VPN-Typ
  Klicken Sie auf Layer-2-Tunneling-Protokoll (L2TP).
  
• Zieladresse
  Geben Sie die IP-Adresse oder den Hostnamen ein, der der Internetschnittstelle des Routers der Unternehmenszentrale zugewiesen ist. Stellen Sie bei der Eingabe des Hostnamens sicher, dass er zur korrekten IP-Adresse aufgelöst wird.
  
• Protokolle und Sicherheit
  Markieren Sie die Protokolle, die geroutet werden sollen.
  
• Anmeldeinformationen für Hinauswählen
  Geben Sie den Namen, Domänennamen und das Kennwort für das Benutzerkonto ein, das dem jeweiligen Zweigstellenrouter entspricht. Die Anmeldeinformationen sind mit denen identisch, die auf der Seite Anmeldeinformationen für Hinauswählen des Assistenten für eine Schnittstelle für Wählen bei Bedarf eingegeben wurden, als auf dem Router der Unternehmenszentrale die Schnittstelle für Wählen bei Bedarf für diese Zweigstelle erstellt wurde.
  

Sie müssen statische Routen hinzufügen, damit der Datenverkehr zur Unternehmenszentrale über die entsprechende Schnittstelle für Wählen bei Bedarf weitergeleitet wird. Konfigurieren Sie für jede Route der Unternehmenszentrale die Schnittstelle, das Ziel, die Netzwerkmaske und die Metrik. Wählen Sie als Schnittstelle die zuvor erstellte Schnittstelle für Wählen bei Bedarf aus, die der Unternehmenszentrale entspricht.

So lautet beispielsweise die der Unternehmenszentrale entsprechende Route 10.0.00 mit der Subnetzmaske 255.0.0.0. Mithilfe der folgenden Konfiguration wird daraus eine statische Route:

• Schnittstelle: Zentrale
  
• Ziel: 10.0.0.0
  
• Netzwerkmaske: 255.0.0.0
  
• Metrik: 1
  

Hinweis

• Da es sich bei der L2TP-Verbindung um eine Punkt-zu-Punkt-Verbindung handelt, kann die IP-Adresse für das Gateway nicht konfiguriert werden.
  

Weitere Informationen finden Sie unter Hinzufügen einer statischen Route.

Bei Verwendung eines Firewalls in der Zweigstelle müssen Sie L2TP/IPSec-Paketfilter für den Firewall so konfigurieren, dass der L2TP/IPSec-Datenverkehr zwischen dem Router in der Unternehmenszentrale und dem Zweigstellenrouter zugelassen wird. Weitere Informationen finden Sie unter Konfiguration von VPN-Servern und Firewalls.

Um den Zweigstellenrouter mit dem Router der Unternehmenszentrale zu verbinden, klicken Sie unter Routing und RAS mit der rechten Maustaste auf die Schnittstelle für Wählen bei Bedarf, mit der die Verbindung zur Unternehmenszentrale hergestellt wird, und klicken Sie dann auf Verbinden.

Weitere Informationen zur Problembehandlung von Router-zu-Router-VPN-Verbindungen finden Sie unter Problembehandlung bei Router-zu-Router-VPNs.