Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN über RAS - Ports einschränken

Mitglied: Archimedes

Archimedes (Level 1) - Jetzt verbinden

09.07.2008, aktualisiert 16.07.2008, 9379 Aufrufe, 5 Kommentare

Hallo,

System: Server 2003 SBS

ich habe nach einer Anleitung von Gruppenrichtlinien.de den VPN Zugriff über RAS eingerichtet. (Da der Server hinter einem Router steht ist Routing deaktiviert.) Klappt auch alles wunderbar, nur habe ich nun einige Fragen zur Sicherheit:

1. Wie kann ich einstellen, dass VPN-User NUR RDP Verbindungen aufbauen dürfen und NICHT direkt auf Dateifreigaben zugreifen können?

2. in der RAS msc gibt es den Punkt "Ports". Aktuell sind hier folgende Adapter eingetragen:

- Wan-Miniport (PPPOE) Anzahl: 1
- Wan-Miniport (PPTP) Anzahl:128
- AVM NDIS WAM Capi-Treiber Anzahl:2
- WAN-Miniport (L2TP) Anzahl:128
- Parallelanschluss (direkt) Anzahl: 1

Ich nutze VPN über PPTP.

Kann ich hier alle anderen Geräte deaktivieren und die Anzahl auf 0 setzen?
Kann ich die Ports von PPTP verringern? => Was bedeutet die Anzahl genau?

vielen Dank im voraus.
Mitglied: aqui
09.07.2008 um 12:02 Uhr
Routing zu deaktivieren ist unsinnig und auch fahrlässig in Bezug auf Sicherheit. Damit machst du deinen Router zum dummen Modem und exponierst den Windows Server direkt ins Internet zum freien Angriff.
Sowas ist höchst töricht aus Sicherheitssicht und zeugt meist von erheblichen Unwissen im Umgang mit VPN Protokollen !

Du solltest besser den Router als Router weiterlaufen lassen mit seiner NAT Firewall und bei PPTP nur die beiden Ports
TCP 1723
und das
GRE Protokoll mit der Protokollnummer 47
(Letzteres geschieht meist automatisch wenn der Router das Feature VPN Passthrough supportet !)

...auf dem Router in die Port Weiterleitungsliste auf die lokale- und statische IP des VPN Servers eintragen. Damit gelangen dann VPN Packete problemlos über den Router an den Server und zugleich hast du ein sicheres Szenario was du nun in deiner Konstellation nicht mehr hast.

Noch besser ist es du würdest einen VPN fähigen Router wie z.B. die von Draytek verwenden, denn dann kannst du dir die Frickelei mit dem Server gleich sparen.
Von den erheblichen Stromkosten die man verschwendet bei Einsatz eines kompletten Servers mal ganz abgesehen...
Bitte warten ..
Mitglied: Archimedes
10.07.2008 um 08:27 Uhr
Hallo,

vielen Dank für deine Eintrag und deine Bedenken. In der Tat min ich Recht neu auf dem Gebiet und auch ein wenig ins kalte Wasser geworfen worden.

ABER... der Server steht nicht direkt im Internet, da das Gerät was ich als "Router" beschrieb eine Linux-Firewall ist, die lediglich Port 1723 auf den Server weiterleitet.
Meines Wissens nach, benötige ich die Routing funktion des Server 2003 nur dann wenn auch dieser die Internetverbindung herstellt... (er hat auch noch nicht mal 2 Nics, was soll er routen?!)

... demnach ist die ganze Angelegenheit glaube nicht ganz so prisant wie du sagst, korrekt?

sprich für die Sicherheit ist weitesgehend gesorgt (gut PPTP ist nicht wirklich das gelbe vom EI, aber für den Anfang tuts) ...

Die Fragen sind nun:

1. hat aqui doch recht und ich sollte routing wieder aktivieren? Wenn ja wieso?!

2. Kann ich in den RAS einstellungen alle Ports der Networkdevices (bis auf PPTP) auf 0 setzen?

3. Wie viele Ports sollte ich für PPTP eintragen (aktuell Standard: 128)
Bitte warten ..
Mitglied: aqui
15.07.2008 um 17:18 Uhr
Nein, dann brauchst du natürlich kein Routing..klar ! Wenn du schon die Linux Firewall hast du das macht ist das nicht nötig.

Du musst auf der Linux Firewall lediglich die Ports 1723 und unbedingt das GRE Protokoll (Nummer 47) forwarden auf die LAN IP Adresse des Servers, dann sollte das problemlos klappen !
Bitte warten ..
Mitglied: Archimedes
16.07.2008 um 15:50 Uhr
es klappt ja auch wunderbar!

Ich möchte ja lediglich (und immernoch) wissen, ob ich gefahrlos die nicht benötigten Devices und deren Ports im Ras rauswerfen kann, oder ob die dann auch außerhalb von RAS "zumachen"?

UND ob ich die Ports der PPTP Verbidung einschränken kann?
Bitte warten ..
Mitglied: aqui
16.07.2008 um 19:52 Uhr
Was meinst du mit "Ports" Die Protokollports der PPTP Verbindung ??? Ja, die kannst (und solltest) du auf die beiden obigen Ports bzw. Protokolle einschränken aus Sicherheitsgründen !

Wenn du eine Limitierung willst oder auch was die o.a. Devices ist das wohl mehr eine Frage ser Serverkonfig denn des Netzwerkes !
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Routing und RAS VPN in einem anderen Netz nutzen

gelöst Frage von zeroblue2005Router & Routing5 Kommentare

Hallo Zusammen, ich stehe vor einem kleinen Problem, wo ich nicht genau weiß, wie ich dies lösen soll! Daher ...

Ubuntu

Open VPN Port Problem

Frage von jensgebkenUbuntu6 Kommentare

Hallo Gemeinschaft, Ich habe ein Problem mit meinem Port bei OpenVPN Ich habe bisher UDP 1194 eingestellt und möchte ...

Router & Routing

Firtzbox VPN nicht alle Ports erreichbar?

gelöst Frage von atarjonoRouter & Routing15 Kommentare

Hallo zusammen, ich habe mir eine VPN über Fritzbox eingerichtet. Die VPN selber funktioniert, ich erreiche die alle PC ...

Windows Server

Problem mit RAS VPN bzw. rashangup auf Server-2016

gelöst Frage von zeroblue2005Windows Server10 Kommentare

Hallo Zusammen, auf einem Terminal-Server 2016 baue ich eine VPN-Verbindung mit Boardmitteln auf, zu einem VPN/RAS Windows-2008R2 Server. Dies ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 18 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++23 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless21 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...