VPN#

Das IServ-VPN-Modul unterstützt zwei verschiedene Standards: IKEv2 und L2TP. IKEv2 entspricht dem aktuellen Stand der Technik und lässt sich einfach einrichten. Die Einstellungen sollten vom Betriebssystem automatisch erkannt werden. Der Benutzer muss nur Servername, Benutzername und Kennwort eingeben. Der Server wird über das vorhandene SSL-Zertifikat authentifiziert. Allerdings wird das Netzwerk nicht unter allen Systemen immer sauber konfiguriert, so dass nicht alle entfernten Subnetze erreichbar sind. L2TP einzurichten erfordert einen höheren Konfigurationsaufwand, kann aber die nötigen Netzwerkeinstellungen automatisch vornehmen.

Einstellungen im IServ#

  • Recht Verbindung über VPN herstellen: Gruppen die eine Verbindung über das VPN herstellen dürfen (Vorgabe: Admins).

  • Einstellung L2TP-IP-Adressbereich: Ansonsten ungenutzter IP-Adressbereich der L2TP-Clients zugewiesen wird.

  • Einstellung Gemeinsames L2TP-Kennwort: Das gemeinsame Kennwort (preshared secret), das zur Konfiguration von L2TP-Clients benötigt wird.

IKEv2#

Um eine Verbindung mit dem IKEv2-VPN herzustellen, müssen auf dem Client lediglich Servername, Benutzername und Kennwort eingestellt werden. Unter MacOS/iOS ist zusätzlich das Setzen der „Entfernten ID“ notwendig. Dort wird ebenfalls der Servername eingetragen. Die Verbindung wird dann vom Betriebssystem richtig konfiguriert.

L2TP#

Zur Einrichtung von L2TP muss zusätzlich noch das gemeinsame Kennwort eingetragen werden. Das gemeinsame Kennwort ist in den IServ-Einstellungen (iservcfg) hinterlegt und wird oft in den erweiterten Einstellungen der Verbindung konfiguriert. Windows-Benutzer beachten bitte den Beitrag von Microsoft: How to configure an L2TP/IPsec server behind a NAT-T device in Windows Vista and in Windows Server 2008.

Routing#

Beide VPN-Varianten unterstützen verschiedene Routingvarianten:

  • Standardroute über das VPN: Hierbei wird sämtlicher Verkehr (inkl. Zugriffe auf das Internet) über das VPN geleitet. Dies führt in der Regel dazu, dass die Bandbreite des IServs unnötig beansprucht wird. Daher raten wir davon ab.

  • Klassenbasierte Route einrichten: Hierbei wird annähernd eine Route eingerichtet, die den Zugriff auf das Schulnetz ermöglichen sollte. Die Konfiguration kann u.U. ungenau sein.

  • Keine Routen: Bei IKEv2 werden keine Routen eingerichtet. Bei L2TP werden die Routen trotzdem passend automatisch konfiguriert – das ist momentan die einzige zuverlässige Möglichkeit, Zugriff auf alle entfernten Netze erhalten zu können.