Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall-Interesse kollidiert mit OpenVN-Interesse

Mitglied: MaddinR

MaddinR (Level 1) - Jetzt verbinden

19.03.2010, aktualisiert 18.10.2012, 2882 Aufrufe, 3 Kommentare

Der geroutete Netzwerkzugang via Open-VPN erfordert genau die Maßnahmen, die eigentlich die Firewall verhindert.....

Hallo liebe Leute

Ich habe hier gerade ein kleines Problem mit meinem privaten Netzwerk, weniger
technischer Natur, dafür viel mehr konzeptioneller Natur. Installiert sind ein paar
PC's, angeschlossenen an einem als Web-Interface arbeitenden DSL-Router.
Einer der PC's ist als "kleiner" File-Server eingesetzt und dieser ist auch gleichzeitig
der OpenVPN-Server. Auf allen PC's ist Windows installiert, Vista und XP.

Über zwei portable PC (Web-Notebook und Laptop) greife ich von unterwegs via
UMTS über einen sicheren Tunnel auf mein Netz zu - und das klappt hervorragend.

Allerdings... und jetzt das Problem.... Der VPN-Server verlangt für das Setzen einer
dynamischen Route ins Netz Admin-Rechte. Ok, das könnte man wohl noch mit
einer statischen Route lösen. Denn normalerweise läuft der Server nur mit einem
Benutzer-Account.
Aber das grössere Problem (und genau da kollidieren die unterschiedlichen Interessen
von Firewall und VPN.) ist, dass ich beim Zugriff auf die Share's des Servers seitens
Windows abgewiesen werde... wegen fremdes Netz und so.

Um das zu lösen, gibts 2 Alternativen: Ich schalte die FW ganz ab, oder ich gebe den
SMB-Port 445 und die Ports 137-139 frei. Das gleiche bei den anderen Workstations,
die ich über IP-Forwarding ebenfalls von aussen erreichen kann. Aber da frag ich mich
doch, wenn ich das freigebe, wofür brauch ich denn dann überhaupt noch die FW?

Die Kernfragen sind also:
Wenn auf dem Server eigentlich keiner arbeitet, im wesentlichen auch keine Anwender-
Software installiert ist und lediglich die Auto-Updates für das Windows und den Antivir
laufen, und der Rechner zudem hinter einem Router steht, der nur die VPN-Port durch-
reicht, macht die Win-FW da überhaupt einen Sinn?

Wie kritisch ist es, wenn die Maschine im Listen-to-Port-Modus bzw. im LAN-eigenen
Betrieb ohne FW läuft.?

Und wie kritisch ist es, wenn er mit angemeldeten Admin-Account läuft?

Wie sind die Chancen oder Gefahren zur Kompromittierung... wenn eigentlich die eigene
Familie, die jeweils mit eigenem PC ins Web gehen, schon ziemlich verantwortungs-
bewusst ist... *hmmm*

Im Moment bin ich ein wenig verunsichert.... mich interessieren dabei eigentlich eher weniger
die rein theoretischen Gefahren, aber in viel grösserem Maße das, was als reale Gefahr
bekannt ist und wo Attacken auch häufig erfolgreich sind.

Danke im voraus für Eure Hilfe
vg, Maddin
Mitglied: dog
19.03.2010 um 22:00 Uhr
Bei OpenVPN gibt es zwei Modi:
  • Routing (tun)
  • Briding (tap)

Zweiteres ist schwerer zu konfigurieren, tut aber so als wäre der Host im selben Netzwerk.
Bitte warten ..
Mitglied: aqui
20.03.2010, aktualisiert 18.10.2012
Außerdem verteilt der OpenVPN Server ja eine durch die Config Datei vorgegeben IP Adresse an die Clients. Es reicht also auch in der Firewall nur dieses IP Netz freizugeben um recht sicher zu agieren.

Noch besser ist dein OpenVPN Server gleich auf deinem Router oder einer freien Router SW zu betreiben. Das erledigt dann alle deine o.a. Probleme im Handumdrehen und ist technisch die beste Lösung.
Wie man so etwas einfach und schnell umsetzt erklären dir dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: MaddinR
21.03.2010 um 16:21 Uhr
Danke für Eure Anregungen... ich weiss... ganz egal, was man tut, welchen Weg man
geht... es gibt immer alternativen oder bessere Wege...

...aber ich würde den angefangenen Weg gerne weitergehen und hoffe deshalb noch auf
ein paar Antworten, die mir helfen die Materie besser zu verstehen.

OK, was habe ich bisher unternommen..?...:
Zuerst habe ich auf meinem WIN_XP-VPN-Server den Standardbenutzer, unter dessen
Account VPN läuft, in die Gruppe der Netzwerksadmins übernommen. Das Problem mit
dynamischen Netzwerkseinstellungen war gelöst.
Dann habe ich in der Firewall unter "Datei und Druckerfreigabe" den SMB-Port für den
Bereich 10.8.0.0/255.255.255.0,192.168.0.0/255.255.255.0 freigegeben. Zweites Problem
gelöst. Die FW läuft also auf der Maschine weiter.... alles klappt.

Nächstes und neues FW-Problem... mit einem Vista-Rechner im gleichen Subnet. Dieser
Rechner ist einfach nicht via VPN (also über den o.g. VPN-Server) zu erreichen... weder ein
Ping klappt, noch der Zugriff auf seine Share's. Seine FW verhindert jeglichen Zugriff.

Vorab bemerkt, wenn ich die Vista-FW deaktivere, antwortet der Ping und die Laufwerke
können problemlos gemappt werden. Lediglich mit aktiviert FW klappts nicht.

Ich habe die Ports 137-139 und 445 in den "Advanced Security" als Ausnahmen "Beliebig"
aktiviert... ohne Erfolg. Ich habe die Regeln für diese Ports komplett "Ausser Kraft gesetzt"...
...ohne Erfolg. Ich habe die FW mehrfach resettet und verschiedene Ausnahmen und
Kombinationen getestet... ohne Erfolg. Zwischenzeitlich habe ich die FW immer mal wieder
ganz deaktiviert, um zu gucken, ob der Connect überhaupt noch klappt... klappte
jedesmal perfekt.
Dann die FW wieder aktiviert... und fini... kein Ping, kein Connect... nothing....

OK, ganz zum Schluss war folgendes erfolgreich: Erneuter Reset der FW , und dann in der
normalen FW-Ansicht unter "Einstellungen ändern" --> "Erweitert" das Firewalling der Lan-
Verbindung deaktiviert.. Ergebnis: Ping antwortet, die Laufwerke sind verfügbar.

Nun zum Schluss die Frage, auf die es ankommt....:

Welche Konsequenzen hat diese Einstellung noch? Umfasst Lan-Verbindung alles, was
überhaupt über mein Netz (über die Ethernet-Adapter) fliesst? Also dürfen jetzt auch alle
Programme, egal welcher Art, die irgendwie irgendwas im Internet tun (wollen)? Z.B. der
autoupdater verschiedener Programme. Vorher hatte ich das einigen durchaus verboten,
einigen anderen aber erlaubt. Und die FW hat mich bislang informiert, wenn ein Programm
ins Netz wollte. Dabei konnte ich dann entscheiden, ob dauerhaft blocken oder dauerhaft erlauben.

Haben jetzt alle Programme einfach so und ungebremsten Zugang zum Web? Welche Neben-
effekt (unerwünschte natürlich) hat das deaktivieren der LAN-Verbindung in der FW?

vg, Maddin
Bitte warten ..
Ähnliche Inhalte
Humor (lol)

Interesse an einem Administrator.de-Usertreffen

Frage von BirdyBHumor (lol)176 Kommentare

Abstimmung zur Ortsfindung: Abstimmung wer kommt: Hallo zusammen, mal gerade so eine Schnapsidee von mir: Hättet Ihr nicht mal ...

Windows Netzwerk

Clientproblem, Kein Zugriff auf irgendwelche Netzwerkfreigaben, Verzweiflung, Interesse

Frage von gifoxWindows Netzwerk11 Kommentare

Hallo an alle! ich hab da ein kleines Problem, ich _will_ den Grund herausfinden, weil ich extremes persönliches Interesse ...

Off Topic

Homeserver bzw. Bastelserver auflösen - hat wer Interesse, Verlosung oder so?

Frage von win-dozerOff Topic10 Kommentare

Hallo Kollegen, aus Zeit und akutem Lustmangel löse ich gerade mein IT Equipment daheim weiter auf. Nachdem ich hier ...

Virtualisierung

VMs oder Seafile Server zu vermieten, jemand Interesse?

gelöst Frage von AngryDadVirtualisierung3 Kommentare

Hallo zusammen! Mein "Hosting Projekt" ist Fertig. Hätte jetzt VM´s und Seafile Server anzubieten. VM BS nach Wahl Anbindung ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 12 StundenServer-Hardware3 Kommentare

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 21 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 TagenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
OU an eine Variable übergeben
gelöst Frage von oesi1989Batch & Shell22 Kommentare

Hallo, ich würde gerne alle OUs an eine Variable übergeben und danach einen Teil per .remove entfernen. Das Anzeigen ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...