L2TP-VPN Watchguard <=> Windows, Tipps und Tricks

Comment

L2TP Routing

Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:

  • L2TP verwendet Port 1701/UDP. Wenn man in einem Hotel sitzt, ist dieser Port möglicherweise nicht freigeschaltet. Dann hilft leider nur SSLVPN oder normales IPSec VPN oder eine UMTS/LTE Karte im Laptop bzw. der Hotspot im Handy.
  • L2TP verwendet normalerweise eine default route (0.0.0.0) durch den Tunnel. Damit geht der komplette Traffic einmal durch den Tunnel, was gewünscht sein kann, aber nicht muß

Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.

Finetuning der VPN-Connection mittels PowerShell

  • Abschalten der Default-Route durch Aktivierung von SplitTunneling:
    Set-VpnConnection NameDesVPNs -SplitTunneling $true
  • Hinzufügen von Routen in die Firma
    Add-VpnConnectionRoute NameDesVPNs 192.168.0.0/24
Add-VpnConnectionRoute NameDesVPNs 172.16.0.0/20

Automatisches Aufbauen des VPNs:

  • Triggern des VPNs durch eine Applikation, z.B. Ping. Sobald Ping ausgeführt wird, wird das VPN aufgebaut. Mittels Scheduler oder Autostart-Einträgen sind der Fantasie keine Grenzen gesetzt.
    Add-VpnConnectionTriggerApplication -ConnectionName "NameDesVPNs" -ApplicationID "C:\Windows\system32\PING.EXE"
  • Achtung: bei Windows 10 geht das anders, hier kann man über rasdial arbeiten und die Route manuell setzen:
    rasdial <profil> <user> <pass>
route add 192.168.0.0/24 mask 255.255.255.255 <ip-des-l2tp-gateways>

Anlegen des L2TP-VPNs mittels Powershell, Erhöhung der IPSec-Verschlüsselung

per Default wird eine relativ niedrige IPSec-Verschlüsselung im L2TP verwendet. Diese kann man jedoch erhöhen, allerdings muß man ggf. etwas suchen, bis man funktionierende Parameter konfiguriert hat. Mit folgenden Parametern konnte ich erfolgreich L2TP-VPNs einrichten:

AddVpnConnection -Name NameDesVPNs -ServerAddress 1.2.3.4 -AllUserConnection -AuthenticationMethod MSChapv2
     -EncryptionLevel Maximum -L2tpPsk "foobartest#1234" -RemeberCredential -TunnelType L2tp

SetVpnConnectionIPsecConfiguration -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 
     -ConnectionName VPN -DHGroup 2 -EncrayptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup 2

Das Setup der WatchGuard für IPSec ist dann auf Phase1 SHA2-256-AES256-DH2 und Phase2 ESP-SHA2-256-AES256-DH2 zu setzen. Die Veränderung der Verschlüsselungsparameter sowie das komplette Anlegen des L2TP-VPNs mittels Script wurde nur unter Windows 10 getestet. Aufgrund unterschiedlicher Versionen der PowerShell wird das vermutlich unter Windows 2008 so nicht funktionieren.

Optionial dazu wie oben beschrieben bei SplitTunneling:

Set-VpnConnection NameDesVPNs -SplitTunneling $true

Add-VpnConnectionRoute NameDesVPNs 192.168.0.0/24

Add-VpnConnectionRoute NameDesVPNs 172.16.0.0/20

 

Weitere Infos finden Sie in diesem >>> Knowledgebase-Artikel von WatchGuard.

Leave a Reply

Your email address will not be published. Required fields are marked *