Ein Kunde hat VDSL von der Telekom (Business-Vertrag mit fester IP) mit dem dazugehörigen Speedport W 921 V bekommen. Da dieser Router keine VPN-Funktionalität anbietet, habe ich auf dem MacOS 10.7 (Lion) Server beim Kunden den VPN-Dienst gestartet und im Router die erforderlichen Ports weitergeleitet.

Die Konfiguration des VPN-Dienstes am Lion Server mit dem Programm “Server”  ist selbsterklärend (L2TP wählen, “Shared Secret” festlegen, DHCP-Range für VPN außerhalb der normalen DHCP-Range festlegen, DNS festlegen). Zusätzlich müssen natürlich noch Benutzer mit Kennwort (auch im Programm “Server”) definiert sein. Am Speedport unter “Internet -> Portfreischaltung -> Port-Umleitungen und Port-Weiterleitungen -> UDP Umleitungen” die drei Ports 500 UDP, 1701 UDP und 4500 UDP auf den Lion Server weiterleiten. Da der Speedport bei der Definition der Weiterleitung eine Port-Range haben möchte, jeweils als Start- und Endport den gleichen Port eintragen.

Die Konfiguration am MacOS 10.8 (Mountain Lion) Client ist auch selbsterklärend: In der Systemeinstellung “Netzwerk” einen neuen Anschluß vom Typ VPN (L2TP über IPSec) erzeugen und dort die Serveradresse (IP-Adresse) und den Benutzernamen eintragen. Hinter dem Button “Authentifizierungseinstellungen” bei “Benutzer-Authentifizierung” das Kennwort und bei “Rechner-Authentifizierung” den Schlüssel (“Shared Secret”) eintragen. Fertig.

An einem Windows 8 Client waren einige Vorarbeiten erforderlich, wie Sie (für Windows 7) hier erklärt werden:

• Zuerst mit RegEdit in “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent” ein DWord “AssumeUDPEncapsulationContextOnSendRule” mit dem Wert 2 erzeugen
• Die nächste Einstellung könnte unter “Windows 8 Pro” mit dem Gruppenrichtlinien-Editor (secpol.msc) vorgenommen werden. Da auf meinem Rechner aber nur “Windows 8” installiert ist und in dieser Windows-Edition der Gruppenrichtlinien-Editor fehlt, mußte ich diese Einstellung auch mit RegEdit vornehmen: In “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” ein DWord “LmCompatibilityLevel” mit dem Wert 1 erzeugen.
• Danach den Rechner neu starten und im “Netzwerk- und Freigabecenter” eine neue Verbindung vom Typ VPN erzeugen. Dann im SysTray auf das Netzwerksymbol klicken und in der Verbindungsliste mit der rechten Maustaste auf die neue Verbindung klicken und “Verbindungseigenschaften anzeigen” wählen.
• Dort im Reiter “Sicherheit” den VPN-Typ “Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec)” wählen und hinter dem Button “Erweiterte Einstellungen” bei “Schlüssel” das “Shared Secret” eintragen und mit OK bestätigen. Dann bei “Datenverschlüsselung” die Option “Erforderlich (Verbindung trennen, falls Server dies ablehnt)” wählen. Die an dieser Stelle normalerweise gewählte Option “Maximale ….” ist nicht möglich! Schließlich bei “Authentifizerung” die Option “Folgende Protokolle zulassen” und darin nur “Microsoft CHAP, Version 2 (MS-CHAP v2)” wählen.
• Beim ersten Verbindungsaufbau wird der Benutzername und das Kennwort abgefragt. Fertig.