Tipps zu IP-Tunnel-Konfigurationsanleitungen
IP-Tunnel auf Windows: Sicherheitsvorkehrungen

Artikel 81497

Stand 24.02.2022, 12:51:26

Version 6217713e

Falls Sie einen IP-Tunnel direkt auf einem Windows-Server einrichten, muss sich die Windows-Firewall um die Filterung des eingehenden Traffics kümmern. Diese Art der Konfiguration wird nur für erfahrene Windows-Administratoren empfohlen.

Zielgruppe:
Nutzer, die einen IP-Tunnel direkt auf einem Windows-Betriebssystem einrichten und für diesen Zweck einen VPN-Client (OpenVPN, L2TP, PPTP...) direkt auf dem Windows-Betriebssystem konfigurieren.

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Prüfen, ob sich das VPN-Interface in der Zone “Öffentlich” (“Public”) befindet

Prüfen Sie im Netzwerk- und Freigabecenter oder mittels Powershell:

  • Powershell öffen
  • Get-NetConnectionProfile eingeben

In der Liste taucht die VPN-Verbindung auf wie z.B.:

Name             : Netzwerk  3
InterfaceAlias   : LAN-Verbindung
InterfaceIndex   : 9
NetworkCategory  : Public
IPv4Connectivity : LocalNetwork
IPv6Connectivity : LocalNetwork

Wichtig ist, dass als NetworkCategory Public eingestellt ist. Nur wenn als NetworkCategory Public eingestellt ist, greifen die entsprechenden Regeln aus der Windows-Firewall, die in der Zone Öffentlich (= Public) viel restriktiver sind, als in der Zone Private.

Ob es sich dabei wirklich um das VPN-Interface handelt ist aus den Adaptereinstellungen ersichtlich, z.B. bei virtuellen Netzwerkadaptern des OpenVPN-Clients sind diese so bezeichnet:

LAN-Verbindung; Netzwerk 3; TAP-Windows Adapter V9

Firewall-Zone ändern

Falls sich das VPN-Interface nicht in der Firewall-Zone “Öffentlich” bzw. “Public” befindet, kann das Profil mit diesem Powershell-Befehl geändert werden (Achtung: Die Powershell muss als Administrator ausgeführt werden):

Set-NetConnectionProfile -InterfaceIndex 9 -NetworkCategory Public

-InterfaceIndex muss durch die Zahl aus dem Befehl “Get-NetConnectionProfile” ersetzt werden.

Firewall-Einstellungen prüfen / aktivieren

Nachdem Sie sichergestellt haben, dass sich der TAP-Windows Adapter V9 in der Firewall-Zone Öffentlich befindet muss noch geprüft werden, ob die Windows-Firewall für die Zone Öffentlich auch aktiviert ist.

  1. Öffnen Sie die Systemsteuerung.
  2. Wählen Sie oben rechts die Ansicht Kleine Symbole aus.
  3. Klicken Sie auf Windows Firewall bzw. Windows Defender Firewall
  4. Klicken Sie links auf Erweiterte Einstellungen
  5. Klicken Sie im linken Fensterbereich auf Windows Defender Firewall mit erweiterter Sicherheit auf Lokaler Computer
  6. Prüfen Sie, ob im Bereich Öffentliches Profil diese Einstellungen aktiv sind:
    • Die Windows Defender Firewall ist aktiviert
    • Eingehende Verbindungen, für die es keine Regel gibt, werden blockiert.
    • Ausgehende Verbindungen, für die es keine Regel gibt, werden zugelassen.
      • Für mehr Sicherheit können Sie diese Einstellung auf “blockiert” ändern und alle ausgehenden Verbindungen manuell erlauben.

NetBIOS deaktivieren

Um NetBIOS-Pakete auf dem TAP-Interface zu deaktivieren, muss folgendes getan werden:

In den Adaptereinstellungen:

  1. Rechtsklick auf LAN-Verbindung (kann auch anders lauten, es steht in hellgrau aber “TAP-Windows Adapter V9” darunter)
  2. Eigenschaften
  3. Internetprotokoll Version 4 (TCP/IPv4) anklicken
  4. Eigenschaften
  5. Unten Erweitert…
  6. Reiter WINS
  7. LMHOSTS-Abfrage aktivieren: Kontrollkästchen deaktivieren
  8. NetBIOS-Einstellung: NetBIOS über TCP/IP deaktivieren

Erstellt
14.05.2020, 13:28:29
Zuletzt geändert
24.02.2022, 12:51:26
Version
6217713e
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2022@internet-xs.de topf-white2022@internet-xs.de topf2022@internet-xs.com topf-white2022@internet-xs.com