3
Firewall-Interesse kollidiert mit OpenVN-Interesse
Der geroutete Netzwerkzugang via Open-VPN erfordert genau die Maßnahmen, die eigentlich die Firewall verhindert.....
Hallo liebe Leute
Ich habe hier gerade ein kleines Problem mit meinem privaten Netzwerk, weniger
technischer Natur, dafür viel mehr konzeptioneller Natur. Installiert sind ein paar
PC's, angeschlossenen an einem als Web-Interface arbeitenden DSL-Router.
Einer der PC's ist als "kleiner" File-Server eingesetzt und dieser ist auch gleichzeitig
der OpenVPN-Server. Auf allen PC's ist Windows installiert, Vista und XP.
Über zwei portable PC (Web-Notebook und Laptop) greife ich von unterwegs via
UMTS über einen sicheren Tunnel auf mein Netz zu - und das klappt hervorragend.
Allerdings... und jetzt das Problem.... Der VPN-Server verlangt für das Setzen einer
dynamischen Route ins Netz Admin-Rechte. Ok, das könnte man wohl noch mit
einer statischen Route lösen. Denn normalerweise läuft der Server nur mit einem
Benutzer-Account.
Aber das grössere Problem (und genau da kollidieren die unterschiedlichen Interessen
von Firewall und VPN.) ist, dass ich beim Zugriff auf die Share's des Servers seitens
Windows abgewiesen werde... wegen fremdes Netz und so.
Um das zu lösen, gibts 2 Alternativen: Ich schalte die FW ganz ab, oder ich gebe den
SMB-Port 445 und die Ports 137-139 frei. Das gleiche bei den anderen Workstations,
die ich über IP-Forwarding ebenfalls von aussen erreichen kann. Aber da frag ich mich
doch, wenn ich das freigebe, wofür brauch ich denn dann überhaupt noch die FW?
Die Kernfragen sind also:
Wenn auf dem Server eigentlich keiner arbeitet, im wesentlichen auch keine Anwender-
Software installiert ist und lediglich die Auto-Updates für das Windows und den Antivir
laufen, und der Rechner zudem hinter einem Router steht, der nur die VPN-Port durch-
reicht, macht die Win-FW da überhaupt einen Sinn?
Wie kritisch ist es, wenn die Maschine im Listen-to-Port-Modus bzw. im LAN-eigenen
Betrieb ohne FW läuft.?
Und wie kritisch ist es, wenn er mit angemeldeten Admin-Account läuft?
Wie sind die Chancen oder Gefahren zur Kompromittierung... wenn eigentlich die eigene
Familie, die jeweils mit eigenem PC ins Web gehen, schon ziemlich verantwortungs-
bewusst ist... *hmmm*
Im Moment bin ich ein wenig verunsichert.... mich interessieren dabei eigentlich eher weniger
die rein theoretischen Gefahren, aber in viel grösserem Maße das, was als reale Gefahr
bekannt ist und wo Attacken auch häufig erfolgreich sind.
Danke im voraus für Eure Hilfe
vg, Maddin
Ich habe hier gerade ein kleines Problem mit meinem privaten Netzwerk, weniger
technischer Natur, dafür viel mehr konzeptioneller Natur. Installiert sind ein paar
PC's, angeschlossenen an einem als Web-Interface arbeitenden DSL-Router.
Einer der PC's ist als "kleiner" File-Server eingesetzt und dieser ist auch gleichzeitig
der OpenVPN-Server. Auf allen PC's ist Windows installiert, Vista und XP.
Über zwei portable PC (Web-Notebook und Laptop) greife ich von unterwegs via
UMTS über einen sicheren Tunnel auf mein Netz zu - und das klappt hervorragend.
Allerdings... und jetzt das Problem.... Der VPN-Server verlangt für das Setzen einer
dynamischen Route ins Netz Admin-Rechte. Ok, das könnte man wohl noch mit
einer statischen Route lösen. Denn normalerweise läuft der Server nur mit einem
Benutzer-Account.
Aber das grössere Problem (und genau da kollidieren die unterschiedlichen Interessen
von Firewall und VPN.) ist, dass ich beim Zugriff auf die Share's des Servers seitens
Windows abgewiesen werde... wegen fremdes Netz und so.
Um das zu lösen, gibts 2 Alternativen: Ich schalte die FW ganz ab, oder ich gebe den
SMB-Port 445 und die Ports 137-139 frei. Das gleiche bei den anderen Workstations,
die ich über IP-Forwarding ebenfalls von aussen erreichen kann. Aber da frag ich mich
doch, wenn ich das freigebe, wofür brauch ich denn dann überhaupt noch die FW?
Die Kernfragen sind also:
Wenn auf dem Server eigentlich keiner arbeitet, im wesentlichen auch keine Anwender-
Software installiert ist und lediglich die Auto-Updates für das Windows und den Antivir
laufen, und der Rechner zudem hinter einem Router steht, der nur die VPN-Port durch-
reicht, macht die Win-FW da überhaupt einen Sinn?
Wie kritisch ist es, wenn die Maschine im Listen-to-Port-Modus bzw. im LAN-eigenen
Betrieb ohne FW läuft.?
Und wie kritisch ist es, wenn er mit angemeldeten Admin-Account läuft?
Wie sind die Chancen oder Gefahren zur Kompromittierung... wenn eigentlich die eigene
Familie, die jeweils mit eigenem PC ins Web gehen, schon ziemlich verantwortungs-
bewusst ist... *hmmm*
Im Moment bin ich ein wenig verunsichert.... mich interessieren dabei eigentlich eher weniger
die rein theoretischen Gefahren, aber in viel grösserem Maße das, was als reale Gefahr
bekannt ist und wo Attacken auch häufig erfolgreich sind.
Danke im voraus für Eure Hilfe
vg, Maddin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138692
Url: https://administrator.de/contentid/138692
Printed on: April 16, 2024 at 12:04 o'clock
3 Comments
Latest comment
Bei OpenVPN gibt es zwei Modi:
Zweiteres ist schwerer zu konfigurieren, tut aber so als wäre der Host im selben Netzwerk.
- Routing (tun)
- Briding (tap)
Zweiteres ist schwerer zu konfigurieren, tut aber so als wäre der Host im selben Netzwerk.
Außerdem verteilt der OpenVPN Server ja eine durch die Config Datei vorgegeben IP Adresse an die Clients. Es reicht also auch in der Firewall nur dieses IP Netz freizugeben um recht sicher zu agieren.
Noch besser ist dein OpenVPN Server gleich auf deinem Router oder einer freien Router SW zu betreiben. Das erledigt dann alle deine o.a. Probleme im Handumdrehen und ist technisch die beste Lösung.
Wie man so etwas einfach und schnell umsetzt erklären dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Noch besser ist dein OpenVPN Server gleich auf deinem Router oder einer freien Router SW zu betreiben. Das erledigt dann alle deine o.a. Probleme im Handumdrehen und ist technisch die beste Lösung.
Wie man so etwas einfach und schnell umsetzt erklären dir dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Danke für Eure Anregungen... ich weiss... ganz egal, was man tut, welchen Weg man
geht... es gibt immer alternativen oder bessere Wege...
...aber ich würde den angefangenen Weg gerne weitergehen und hoffe deshalb noch auf
ein paar Antworten, die mir helfen die Materie besser zu verstehen.
OK, was habe ich bisher unternommen..?...:
Zuerst habe ich auf meinem WIN_XP-VPN-Server den Standardbenutzer, unter dessen
Account VPN läuft, in die Gruppe der Netzwerksadmins übernommen. Das Problem mit
dynamischen Netzwerkseinstellungen war gelöst.
Dann habe ich in der Firewall unter "Datei und Druckerfreigabe" den SMB-Port für den
Bereich 10.8.0.0/255.255.255.0,192.168.0.0/255.255.255.0 freigegeben. Zweites Problem
gelöst. Die FW läuft also auf der Maschine weiter.... alles klappt.
Nächstes und neues FW-Problem... mit einem Vista-Rechner im gleichen Subnet. Dieser
Rechner ist einfach nicht via VPN (also über den o.g. VPN-Server) zu erreichen... weder ein
Ping klappt, noch der Zugriff auf seine Share's. Seine FW verhindert jeglichen Zugriff.
Vorab bemerkt, wenn ich die Vista-FW deaktivere, antwortet der Ping und die Laufwerke
können problemlos gemappt werden. Lediglich mit aktiviert FW klappts nicht.
Ich habe die Ports 137-139 und 445 in den "Advanced Security" als Ausnahmen "Beliebig"
aktiviert... ohne Erfolg. Ich habe die Regeln für diese Ports komplett "Ausser Kraft gesetzt"...
...ohne Erfolg. Ich habe die FW mehrfach resettet und verschiedene Ausnahmen und
Kombinationen getestet... ohne Erfolg. Zwischenzeitlich habe ich die FW immer mal wieder
ganz deaktiviert, um zu gucken, ob der Connect überhaupt noch klappt... klappte
jedesmal perfekt.
Dann die FW wieder aktiviert... und fini... kein Ping, kein Connect... nothing....
OK, ganz zum Schluss war folgendes erfolgreich: Erneuter Reset der FW , und dann in der
normalen FW-Ansicht unter "Einstellungen ändern" --> "Erweitert" das Firewalling der Lan-
Verbindung deaktiviert.. Ergebnis: Ping antwortet, die Laufwerke sind verfügbar.
Nun zum Schluss die Frage, auf die es ankommt....:
Welche Konsequenzen hat diese Einstellung noch? Umfasst Lan-Verbindung alles, was
überhaupt über mein Netz (über die Ethernet-Adapter) fliesst? Also dürfen jetzt auch alle
Programme, egal welcher Art, die irgendwie irgendwas im Internet tun (wollen)? Z.B. der
autoupdater verschiedener Programme. Vorher hatte ich das einigen durchaus verboten,
einigen anderen aber erlaubt. Und die FW hat mich bislang informiert, wenn ein Programm
ins Netz wollte. Dabei konnte ich dann entscheiden, ob dauerhaft blocken oder dauerhaft erlauben.
Haben jetzt alle Programme einfach so und ungebremsten Zugang zum Web? Welche Neben-
effekt (unerwünschte natürlich) hat das deaktivieren der LAN-Verbindung in der FW?
vg, Maddin
geht... es gibt immer alternativen oder bessere Wege...
...aber ich würde den angefangenen Weg gerne weitergehen und hoffe deshalb noch auf
ein paar Antworten, die mir helfen die Materie besser zu verstehen.
OK, was habe ich bisher unternommen..?...:
Zuerst habe ich auf meinem WIN_XP-VPN-Server den Standardbenutzer, unter dessen
Account VPN läuft, in die Gruppe der Netzwerksadmins übernommen. Das Problem mit
dynamischen Netzwerkseinstellungen war gelöst.
Dann habe ich in der Firewall unter "Datei und Druckerfreigabe" den SMB-Port für den
Bereich 10.8.0.0/255.255.255.0,192.168.0.0/255.255.255.0 freigegeben. Zweites Problem
gelöst. Die FW läuft also auf der Maschine weiter.... alles klappt.
Nächstes und neues FW-Problem... mit einem Vista-Rechner im gleichen Subnet. Dieser
Rechner ist einfach nicht via VPN (also über den o.g. VPN-Server) zu erreichen... weder ein
Ping klappt, noch der Zugriff auf seine Share's. Seine FW verhindert jeglichen Zugriff.
Vorab bemerkt, wenn ich die Vista-FW deaktivere, antwortet der Ping und die Laufwerke
können problemlos gemappt werden. Lediglich mit aktiviert FW klappts nicht.
Ich habe die Ports 137-139 und 445 in den "Advanced Security" als Ausnahmen "Beliebig"
aktiviert... ohne Erfolg. Ich habe die Regeln für diese Ports komplett "Ausser Kraft gesetzt"...
...ohne Erfolg. Ich habe die FW mehrfach resettet und verschiedene Ausnahmen und
Kombinationen getestet... ohne Erfolg. Zwischenzeitlich habe ich die FW immer mal wieder
ganz deaktiviert, um zu gucken, ob der Connect überhaupt noch klappt... klappte
jedesmal perfekt.
Dann die FW wieder aktiviert... und fini... kein Ping, kein Connect... nothing....
OK, ganz zum Schluss war folgendes erfolgreich: Erneuter Reset der FW , und dann in der
normalen FW-Ansicht unter "Einstellungen ändern" --> "Erweitert" das Firewalling der Lan-
Verbindung deaktiviert.. Ergebnis: Ping antwortet, die Laufwerke sind verfügbar.
Nun zum Schluss die Frage, auf die es ankommt....:
Welche Konsequenzen hat diese Einstellung noch? Umfasst Lan-Verbindung alles, was
überhaupt über mein Netz (über die Ethernet-Adapter) fliesst? Also dürfen jetzt auch alle
Programme, egal welcher Art, die irgendwie irgendwas im Internet tun (wollen)? Z.B. der
autoupdater verschiedener Programme. Vorher hatte ich das einigen durchaus verboten,
einigen anderen aber erlaubt. Und die FW hat mich bislang informiert, wenn ein Programm
ins Netz wollte. Dabei konnte ich dann entscheiden, ob dauerhaft blocken oder dauerhaft erlauben.
Haben jetzt alle Programme einfach so und ungebremsten Zugang zum Web? Welche Neben-
effekt (unerwünschte natürlich) hat das deaktivieren der LAN-Verbindung in der FW?
vg, Maddin