Komponenten einer Router-zu-Router-VPN-Verbindung

Eine Router-zu-Router-VPN-Verbindung umfasst folgende Komponenten:

• LAN- und RAS-Protokolle
  LAN-Protokolle werden zur Übertragung von Informationen verwendet. RAS-Protokolle hingegen werden zur Aushandlung von Verbindungen verwendet und stellen Datenblöcke für LAN-Protokolldaten zur Verfügung. Routing und RAS unterstützt die Weiterleitung von TCP/IP-LAN-Protokollpaketen mithilfe des PPP-RAS-Protokolls über eine Router-zu-Router-VPN-Verbindung.

• Tunneling-Protokolle
  Tunneling-Protokolle werden von VPN-Clients und VPN-Servern zur Verwaltung von Tunneln und zum Senden von Tunneldaten verwendet. Routing und RAS unterstützt die Tunneling-Protokolle Point-to-Point-Tunneling-Protokoll (PPTP) und Layer-Two-Tunneling-Protokoll (L2TP). Windows NT Server 4.0 mit RRAS enthält nur das PPTP-Protokoll.

• WAN-Optionen
  VPN-Server werden normalerweise mithilfe einer WAN-Verbindung, z. B. T1 oder Frame Relay, mit dem Internet verbunden. VPN-Clients werden über permanente WAN-Verbindungen oder durch Einwahl bei einem lokalen Internetdienstanbieter (ISP), der Standardtelefonleistungen oder ISDN-Leitungen verwendet, mit dem Internet verbunden. Sobald die Verbindung zum Internet hergestellt ist, kann der VPN-Client eine Verbindung zum VPN-Server herstellen.

• Schnittstellen für das Wählen bei Bedarf
  

Der VPN-Client (der anrufende Router) muss über eine Schnittstelle für Wählen bei Bedarf verfügen, die für die folgenden Komponenten konfiguriert ist:

• Den Hostnamen oder die IP-Adresse der Schnittstelle des VPN-Servers im Internet.

• Einen PPTP-Anschluss (für eine PPTP-basierte VPN-Verbindung) oder einen L2TP-Anschluss (für eine L2TP-basierte Verbindung).

• Die Anmeldeinformationen (Benutzername, Domäne, Kennwort) für ein Benutzerkonto, die vom VPN-Server überprüft werden können.

• Ein gültiges Zertifikat für eine L2TP/IPSec-basierte Verbindung, das von einem VPN-Server bestätigt werden kann.

Der VPN-Server (der antwortende Router) muss eine Schnittstelle für Wählen bei Bedarf aufweisen, die denselben Namen wie das Benutzerkonto trägt, das vom VPN-Client (dem anrufenden Router) verwendet wird, damit die eingehende Verbindung als eine für bei Bedarf herzustellende Verbindung erkannt und akzeptiert wird.

• Benutzerkonten
  Für den anrufenden Router muss ein Benutzerkonto erstellt werden. Dieses Konto kann während des Ausführens von RRAS mit dem Setup-Assistenten für den Routing- und RAS-Server automatisch erstellt werden. Dieses Konto muss in den DFÜ-Eigenschaften des Benutzerkontos oder über die Richtlinien für den Remotezugriff über Einwählberechtigungen verfügen

• Statische Routen oder Routingprotokolle
  Damit jeder Router über die Router-zu-Router-VPN-Verbindung Pakete weiterleiten kann, müssen die Routingtabellen jedes Routers die entsprechenden Routen enthalten. Die Routen werden den Routingtabellen von beiden Routern entweder als statische Routen oder durch Aktivieren eines Routingprotokolls hinzugefügt. Das Routingprotokoll verwendet hierbei eine ständige Router-zu-Router-VPN-Verbindung.

• Sicherheitsoptionen
  Da die Router-zu-Router-VPN-Verbindung vom RRAS-Server bestätigt wird, können Sie alle Sicherheitsfunktionen der Windows Server 2003-Produktfamilie verwenden, einschließlich Domänensicherheit, Datenverschlüsselung, RADIUS (Remote Authentication Dial-In User Service), Smartcards und Rückruf

In der folgenden Abbildung sehen Sie die Komponenten einer Router-zu-Router-VPN-Verbindung.