Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Router-Firewall und Server per VPN

Mitglied: sesama

sesama (Level 1) - Jetzt verbinden

07.10.2008, aktualisiert 18.10.2012, 5721 Aufrufe, 7 Kommentare

Hallo,

meine Verbindung zum dienstl. Server per getunneltem VPN funktioniert nur, wenn die Router-Firewall (Speedport W701V) deaktiviert ist. Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall deaktiviert wurde? Wie kann ich die Firewall des Routers per VPN überwinden, wenn keine weiteren Einstellungen im Router möglich sind?

Grüße!
Mitglied: chris15
07.10.2008 um 19:31 Uhr
Hallo,

Zitat von sesama:
Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall
deaktiviert wurde?

Na aber klar ist das nicht gerade toll wenn die ausgeschalten ist, das ist ungefähr so als ob du in den Urlaub fährst und ein Fenster oder die Haustüre offen lässt.

>Wie kann ich die Firewall des Routers per VPN
überwinden, wenn keine weiteren Einstellungen im Router
möglich sind?

Eigentlich geht das nur per Portweiterleitung, soll ja der sinn sein die Firewall nicht zu überwinden.

Wenn dann musst du den Port schon einstellen an der Firewall.

Gruß

Kurt
Bitte warten ..
Mitglied: Dolphinsfriend
07.10.2008 um 22:22 Uhr
Hallo ,

Ob es Bedenken gibt, die Firewall abzuschalten, steht wohl außer Frage.
Wichtig ist, daß Du wie bereits genannt das Port-Forwarding entsprechend konfigurierst.
Ich habe das auch realisiert in Verbindung mit einem Netgear Router und dem Netgear ProSafe-VPN-Client.

Außerdem werden VPN-Requests nur von meinem DYNDNS Account als Startpoint angenommen.

Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und alle nicht gebrauchten Ports dicht machen.

Achja fuer RDP ebenso das Forwarding einrichten

Viel Erfolg

Gruß

Jochen
Bitte warten ..
Mitglied: sysad
07.10.2008 um 22:40 Uhr
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und
alle nicht gebrauchten Ports dicht machen.

Wenn du einen 701er hast sind die meist eh dicht. Also nur das was Du für VPN brauchst auf den Server forwarden:

UDP 1701 IPSec Setup
UDP 500 IKE
UDP 4500 NAT-T
Protokoll GRE für PPTP
Protokoll ESP für L2TP
TCP 1723 für PPTP


Achja fuer RDP ebenso das Forwarding einrichten

Nix da: RDP machst Du erst dann wenn der VPN Tunnel steht, dann bist Du eh Mitglied im 'lokalen' Netzwerk und kannst den RDC nutzen. RDP ist im Vergleich zu IPSEC/L2TP unsicher.

HTH

EDIT: Habe die Ports nochmal verfeinert nach aqui's Post
Bitte warten ..
Mitglied: aqui
08.10.2008 um 00:38 Uhr
Die o.a. Ports stimmen nicht ganz... Leider schreibst du uns ja nicht WELCHES VPN Protokoll du benutzt so das wir mal wieder wie so oft dummerweise raten muessen

PPTP Protokoll
TCP 1723
GRE (IP Protokoll Nummer 47, Achtung: nicht TCP oder UDP 47, GRE ist ein eigenes IP Protokoll !)

IPsec im ESP Modus
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50, ESP ist ein eigenes IP Protokoll !)

L2TP benutzt ebenfalls als Tunnel IPsec. Vermutlich wird UDP 1701 nur zur Authentisierung benutzt !!

Wenn du diese Ports gemaess deines verwendeten VPN Protokolls in der SP Firewall oeffnest und auf den lokale Server IP Adresse forwardest sollte es problemlos klappen...und das mit aktivierter Firewall wie es sich gehoert !!

RDP muss man in der Tat nicht forwarden,das waere Unsinn ! Alle Verbindungen werden ja transparent im Tunnel uebertragen wie bei einer loaklen AN Verbindung ! Das ist ja genau der Sinn eines VPNs !!!
Bitte warten ..
Mitglied: sysad
08.10.2008 um 13:21 Uhr
@aqui:

Es könnte einen Fall geben, wo man RDP schon forwardet: Wenn man nicht will dass der Remoteclient 'richtig' per VPN-Tunnel ins Netzwerk integriert wird, ihn sozusagen 'draussen' haben will und ihm nur einen Screen überlässt.

UDP 1701 ist eigentlich nicht Standard, aber ich hatte noch kein Glück wenn ich den nicht auch forwarde. Vermutlich hat das was mit MS zu tun.

Lt. dem hier

http://support.microsoft.com/kb/233256/en-us

kann auch noch Protokoll 51 AH nötig sein, das brauchte ich aber noch nie.
Bitte warten ..
Mitglied: sesama
08.10.2008 um 20:15 Uhr
Vielen Dank - werd' mich gleich drüber machen!

Grüße!
Bitte warten ..
Mitglied: aqui
08.10.2008, aktualisiert 18.10.2012
@sysad
Ja das stimmt, aber dann machst du kein VPN sondern forwardest TCP 3389 (RDP) direkt ohne VPN, dann hast du natuerlich Recht.

AH ist IP Protokoll 51 in Verbindung mit IPsec.
Das ist generell gar nicht ueber NAT zu uebertragen, da bei NAT die IP Adressen geaendert werden und IPsec dann sofort eine Man in the Middle Attacke vermutet und die Session abbricht.
AH kann man nur ohne NAT transportieren !!!

https://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Firewall hinter Router
gelöst Frage von DaemlicherFlandersNetzwerkgrundlagen14 Kommentare

Hallo, ich habe 2 Grundsatzfragen zum Aufbau eines Netzwerks mit DSL Router und Firewall bezogen auf den Aufbau im ...

LAN, WAN, Wireless
VPN Server und Netgear Router
Frage von ProtectedLAN, WAN, Wireless16 Kommentare

Hallo, ich benötige eure Hilfe! Das Ziel ist es, dass ich IP-Adressen (öffentliche von einem rz) intern (privater Abschluß) ...

Windows Server
VPN zwischen Router und Win2012 Server
gelöst Frage von fgo6400Windows Server9 Kommentare

Hi Leute, folgende Aufgabenstellung: Wir müssen von unserem Applikationsserver aus auf einen DB-Server eines Kunden zugreifen. Der DB-Server hat ...

Voice over IP
VPN Router hinter VoIP Router
Frage von baxxter333Voice over IP1 Kommentar

Hallo, ich habe das Problem, dass ich ein Firmennetzwerk mit über 30 per VPN angebundenen Außenstellen betreibe, und die ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 9 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 15 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 19 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...