89725
Goto Top

VPN - Ipsec und der UDP Port 500

Es geht um einen Lancom 800+

Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?


Danke für eine aufklärende und lösungsorientierte Antwort face-smile

Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.

Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?

Content-Key: 143215

Url: https://administrator.de/contentid/143215

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 20.05.2010, aktualisiert am 18.10.2012 um 18:42:12 Uhr
Goto Top
Du solltest dir erstmal über den IPsec Protokollaufbau im klaren werden bevor du mit falschen Schlussfolgerungen zum Thema UDP hier rumschwadronierst und andere Forumsuser verwirrst !!
Also lesen....:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Mitglied: 89725
89725 20.05.2010 um 15:39:31 Uhr
Goto Top
Entschuldige, wenn ich hier jemanden auf den Schlips getreten bin.

Die Sichtweise bleibt:
Nachteile von IPSEC

          • Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt) kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

Port von Heimrouter dicht = kein VPN

Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
Mitglied: dog
dog 21.05.2010 um 02:57:30 Uhr
Goto Top
ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?

Nope, was du meinst ist UPnP oder NAT-PMP.
Mitglied: goscho
goscho 21.05.2010 um 09:39:32 Uhr
Goto Top
Zitat von @89725:

* Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt)
kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

          Port von Heimrouter dicht = kein VPN

An dieser Stelle ist SSL-VPN eine sehr interessante Alternative. Allerdings weiß ich nicht, ein dein Lancom 800 dies unterstützt (eher nicht).
Mitglied: 89725
89725 21.05.2010 um 09:57:45 Uhr
Goto Top
Ich habe jetzt herausgefunden, dass man den benötigten Port nicht einfach forwarden kann, weil viele weitere Ports mit dranhängen, ist dies korrekt?
Welche Lösung gäbe es noch?
Vielen Dank!
Mitglied: aqui
aqui 21.05.2010, aktualisiert am 18.10.2012 um 18:42:13 Uhr
Goto Top
@89725
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!

Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal

Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
SSL-VPNs im Enterprise Umfeld
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN für Arme - TCP in SSH tunneln mit Putty

Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !