6.12.2001

RAS und VPN

Für RAS werden hauptsächlich folgende Protokolle benutzt: PPP, SLIP, MS-RAS und ARAP. Diese setzen auf das jew. Transportprotokoll TCP/IP, IPX/SPX, AppleTalk oder NetBEUI. Als Hardware kommen auf dem RAS-Client wahlweise Modem, ISDN, DSL oder X.25. Der Server kann maximal 256 Verbindungen annehmen, vorrausgesetzt, es läuft W2k- oder NT4-Server und die nötige Hardware ist vorhanden. SLIP kommt nur noch zum Einsatz, wenn alte UNIX-Server benutzt werden. Mittlerweile beherrschen nur noch W2k-Clients dieses Protokoll. MS-RAS-Derivate kommen für NT 3.1, Windows für Workgroups (3.11) und bei Betriebssystemen, die mit dem LAN-Manager zusammenarbeiten. ARAP ist ein Protokoll, welches nur von Apple-Macintosh und W2k-Server benutzt wird.

Bei VPN ist auf dem Server und dem Client eine NIC vorhanden. Der Server muss mind. W2k-Server als System enthalten und man kann dann maximal 256 Verbindungen bereitstellen. Das Transportprotokoll ist TCP/IP mit dem Tunnelprotokollen wahlweise PPTP oder L2TP. Diese Pakete werden dann wahlweise weiter gepackt mit IP, ATM, FrameRelay oder X.25.

PPTP L2TP
-IP-basiertes Netz -IP, ATM, FrameRelay, X.25
-keine Header Komprimierung -L2TP, Headerkomprimierung (nur noch 4 Bytes gross)
-keine Tunnelauthentifizierung -Tunnelauthentifizierung
-eingebaute Verschlüsselung -Verschlüsselung über IPSec möglich

Die Installation und Konfiguration des RAS- oder VPN-Servers erfolgt in der Verwaltung unter Routing und RAS. Standardmässig ist das Routing deaktiviert. Mit der rechten Maustaste auf unseren Server findet sich der entsprechende Menüpunkt, mit dem ein Assistent gestartet wird:

Bei dem Internetverbindungsserver wird NAT eingerichtet und die Bindung der NIC's festgelegt. Der letzte Menüpunkt beinhaltet die manuelle Einrichtung, welchen wir nehmen.

Unter Allgemein wird der Router oder das RAS erstmal aktiviert. Die PPP-Seite hält die Mehrfachverbindungen mit oder ohne dynamische Bandbreitensteuerung (BAP) bereit. Hier erfolgt die generelle Aktivierung dieser. So kann man vom Server aus die dynamische An- und Abwahl von Ports einstellen. Definiertere Möglichkeiten wie die Anzahl der gleichzeitigen Verbindungen sind u.a. über Richtlinien des Profils möglich... LCP-Erweiterungen sind zum Beispiel die Rückrufoptionen.

Die Softwarekomprimierung auf MPPC (Microsoft Point-to-Point- Compression).

Die Karteikarte Sicherheit bietet einen Authentifizierungsanbieter mit entsprechenden Methoden und einen Kontoführungsanbieter. Standardmässig ist Windows dafür aktiviert, es ist aber auch RADIUS (Remote Access Dial-In User Service) möglich. Dabei sind mehrere Einwahlserver mit einer zentralen Steuerung und Überprüfung möglich. Die Einwahlserver übernehmen dann keine Überprüfung mehr und sind damit RADIUS-Client. Dazu später aber noch mehr.

Die Authentifizierungsmethoden sind dieselben wie bei dem DFÜ-Netzwerk: es sind die Authentifizierungsprotokolle wie PAP, Shiva, EAP u.a. wählbar. Zusätzlich ist hier noch eine Verbindung ohne Kennwort möglich.

In dieser Karte wird nur der Benutzername und das Kennwort überprüft. Shiva ist eine reversible Verschlüsselung für Shiva-Clients. (Shiva ist ein Hardwarehersteller, der das in seine Clients integriert hatte.) CHAP verwendet einen Hash-Algorithmus (Herausforderung; Integrität, Authentifizierung und Verschlüsselung). Das wird meistens bei Nicht-MS-Clients verwendet, die CHAP können. Bei MS-CHAP werden die Daten in Kombination mit CHAP verschlüsselt (MPPE: Microsoft Point-to-Point Encryption) und es wird von NT4 und Win95-Clients benutzt. Bei MS-CHAP v2 erfolgt eine beidseitige Herausforderung der Hash-Werte. Genutzt wird dieses Protokoll von W2k, NT4 und Win98-Clients. Die letzteren Beiden können das Protokoll allerdings nur für VPN-Verbindungen, nicht für RAS. EAP arbeitet wahlweise mit dem MD5-Mechanismus oder mit SmartCards zusammen. Auf Letzterer befindet sich u.a. ein gespeichertes Zertifikat mit dem privaten Schlüssel. Der Vorteil liegt in der Erweiterbarkeit. Übrigens sind alle CHAP-Verfahren MD5-Verfahren (Message Digest / Integritätsüberprüfung).

Hat man nur TCP/IP für RAS konfiguriert, taucht auch nur die entsprechende Register-Karte auf. Bei Apple-Talk besteht nur die Möglichkeit der De- oder Aktivierung. Bei NetBEUI gibt es zus. zur Deaktivierung die Aktivierung für das gesamte, dahinterstehende Netzwerk. Bei IPX/SPX gibt es schon ein paar Häkchen mehr:

Hier ist ebenfalls wie bei NetBEUI die Aktivierung und das Erreichen des dahinter liegenden Netzes möglich. Zusätzlich aber kann man Netzwerknummern zuweisen: Entweder automatisch, aus einem Bereich, alle Dieselbe oder vom Client anforderbar.

Im Normalfall wird man TCP/IP für RAS benutzen:

Hier ist wieder die Aktivierung und die Einschränkung des Clients für das dahinterliegende Netz möglich. Ebenfalls kann man hier die Adresszuweisung einrichten: entweder von einem DHCP-Server (wir erinnern uns: der RAS-Server greift sich 10 IP-Adressen vom DHCP-Server...) oder von einem statischen Adresspool. In den Benutzereinstellungen für die Einwahl kann man den Clients die Adressen auch vorgeben lassen. Achja, bevor ichs vergesse: Wenn hier DHCP aktiviert ist, sich aber im Netz kein DHCP-Server befindet oder dieser keine gültigen Adressen mehr frei hat, nimmt sich der RAS-Server APIPA-Adressen. Der RAS-Server findet den DHCP-Server über normale Broadcast-Anforderungen und übernimmt dabei keine Optionen. Werden APIPA-Adressen an die Clients vergeben, routet der RAS-Server automatisch die Clients ins LAN. Er bekommt also das Standard-Gateway vom RAS-Server und das ist typischerweise genau dieser. An den Client sollte man, wenn nötig, noch DNS- und WINS-Server-Adressen zu übermitteln. Dafür ist die untere Einstellung gestaltet. Der Client holt sich nämlich normalerweise die Einstellungen der firmeninternen NIC des RAS-Servers, da dieser ja die Adressen besitzt, um im LAN zu kommunizieren. Falls der Client aber die Optionen vom DHCP-Server und nicht vom RAS-Server erhalten soll, richtet man auf diesem einen DHCP-Relay-Agent ein und stellen in diesem wiederum die Schnittstelle "intern" zur Verfügung. Der letztere Vorgang überschlägt die Einstellungen des RAS-Servers.

Für jede Karte eine Schnittstelle. In dem DHCP-Relay-Agent richten wir jetzt die passende Schnittstelle ein.

Jetzt bekommen die Clients die Daten des DHCP-Servers über dessen Relay-Agent. In dieser Konsole können wir unter "Ports" alle Verbindungsmöglichkeiten sehen. Ports von Geräten wie ISDN, Modem, seriell und parallel sind hardwareabhängig, während Ports wie PPTP oder L2TP softwaregesteuert sind. Zusätzlich können wir uns den Status der Ports ansehen oder sie in den gewünschten Status versetzen (aktiv/inaktiv). Die Konfigurationen der Ports erfolgen an dieser Stelle pro Typ, nicht getrennt.

Im ersten Fall können sich Benutzer über RAS einwählen. Im zweiten Fall ist die Ein- und Auswahl nur für Router vorgesehen. Wenn eine Rufnummer eingetragen ist, fragt ein BAP-fähiger Client nach der Nummer, bekommt sie und wählt sie an. Der Server gibt sequentiell immer nur einen Port mehr frei, solange, bis die Grenze erreicht. Da WAN MiniPorts hardwareunabhängig sind, kann man dort eine beliebige Anzahl einstellen. Allerdings gilt hier wieder die maximale Verbindungsanzahl.