Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall-Interesse kollidiert mit OpenVN-Interesse

Frage Sicherheit Firewall

Mitglied: MaddinR

MaddinR (Level 1) - Jetzt verbinden

19.03.2010, aktualisiert 18.10.2012, 2853 Aufrufe, 3 Kommentare

Der geroutete Netzwerkzugang via Open-VPN erfordert genau die Maßnahmen, die eigentlich die Firewall verhindert.....

Hallo liebe Leute

Ich habe hier gerade ein kleines Problem mit meinem privaten Netzwerk, weniger
technischer Natur, dafür viel mehr konzeptioneller Natur. Installiert sind ein paar
PC's, angeschlossenen an einem als Web-Interface arbeitenden DSL-Router.
Einer der PC's ist als "kleiner" File-Server eingesetzt und dieser ist auch gleichzeitig
der OpenVPN-Server. Auf allen PC's ist Windows installiert, Vista und XP.

Über zwei portable PC (Web-Notebook und Laptop) greife ich von unterwegs via
UMTS über einen sicheren Tunnel auf mein Netz zu - und das klappt hervorragend.

Allerdings... und jetzt das Problem.... Der VPN-Server verlangt für das Setzen einer
dynamischen Route ins Netz Admin-Rechte. Ok, das könnte man wohl noch mit
einer statischen Route lösen. Denn normalerweise läuft der Server nur mit einem
Benutzer-Account.
Aber das grössere Problem (und genau da kollidieren die unterschiedlichen Interessen
von Firewall und VPN.) ist, dass ich beim Zugriff auf die Share's des Servers seitens
Windows abgewiesen werde... wegen fremdes Netz und so.

Um das zu lösen, gibts 2 Alternativen: Ich schalte die FW ganz ab, oder ich gebe den
SMB-Port 445 und die Ports 137-139 frei. Das gleiche bei den anderen Workstations,
die ich über IP-Forwarding ebenfalls von aussen erreichen kann. Aber da frag ich mich
doch, wenn ich das freigebe, wofür brauch ich denn dann überhaupt noch die FW?

Die Kernfragen sind also:
Wenn auf dem Server eigentlich keiner arbeitet, im wesentlichen auch keine Anwender-
Software installiert ist und lediglich die Auto-Updates für das Windows und den Antivir
laufen, und der Rechner zudem hinter einem Router steht, der nur die VPN-Port durch-
reicht, macht die Win-FW da überhaupt einen Sinn?

Wie kritisch ist es, wenn die Maschine im Listen-to-Port-Modus bzw. im LAN-eigenen
Betrieb ohne FW läuft.?

Und wie kritisch ist es, wenn er mit angemeldeten Admin-Account läuft?

Wie sind die Chancen oder Gefahren zur Kompromittierung... wenn eigentlich die eigene
Familie, die jeweils mit eigenem PC ins Web gehen, schon ziemlich verantwortungs-
bewusst ist... *hmmm*

Im Moment bin ich ein wenig verunsichert.... mich interessieren dabei eigentlich eher weniger
die rein theoretischen Gefahren, aber in viel grösserem Maße das, was als reale Gefahr
bekannt ist und wo Attacken auch häufig erfolgreich sind.

Danke im voraus für Eure Hilfe
vg, Maddin
Mitglied: dog
19.03.2010 um 22:00 Uhr
Bei OpenVPN gibt es zwei Modi:
  • Routing (tun)
  • Briding (tap)

Zweiteres ist schwerer zu konfigurieren, tut aber so als wäre der Host im selben Netzwerk.
Bitte warten ..
Mitglied: aqui
20.03.2010, aktualisiert 18.10.2012
Außerdem verteilt der OpenVPN Server ja eine durch die Config Datei vorgegeben IP Adresse an die Clients. Es reicht also auch in der Firewall nur dieses IP Netz freizugeben um recht sicher zu agieren.

Noch besser ist dein OpenVPN Server gleich auf deinem Router oder einer freien Router SW zu betreiben. Das erledigt dann alle deine o.a. Probleme im Handumdrehen und ist technisch die beste Lösung.
Wie man so etwas einfach und schnell umsetzt erklären dir dieses Tutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: MaddinR
21.03.2010 um 16:21 Uhr
Danke für Eure Anregungen... ich weiss... ganz egal, was man tut, welchen Weg man
geht... es gibt immer alternativen oder bessere Wege...

...aber ich würde den angefangenen Weg gerne weitergehen und hoffe deshalb noch auf
ein paar Antworten, die mir helfen die Materie besser zu verstehen.

OK, was habe ich bisher unternommen..?...:
Zuerst habe ich auf meinem WIN_XP-VPN-Server den Standardbenutzer, unter dessen
Account VPN läuft, in die Gruppe der Netzwerksadmins übernommen. Das Problem mit
dynamischen Netzwerkseinstellungen war gelöst.
Dann habe ich in der Firewall unter "Datei und Druckerfreigabe" den SMB-Port für den
Bereich 10.8.0.0/255.255.255.0,192.168.0.0/255.255.255.0 freigegeben. Zweites Problem
gelöst. Die FW läuft also auf der Maschine weiter.... alles klappt.

Nächstes und neues FW-Problem... mit einem Vista-Rechner im gleichen Subnet. Dieser
Rechner ist einfach nicht via VPN (also über den o.g. VPN-Server) zu erreichen... weder ein
Ping klappt, noch der Zugriff auf seine Share's. Seine FW verhindert jeglichen Zugriff.

Vorab bemerkt, wenn ich die Vista-FW deaktivere, antwortet der Ping und die Laufwerke
können problemlos gemappt werden. Lediglich mit aktiviert FW klappts nicht.

Ich habe die Ports 137-139 und 445 in den "Advanced Security" als Ausnahmen "Beliebig"
aktiviert... ohne Erfolg. Ich habe die Regeln für diese Ports komplett "Ausser Kraft gesetzt"...
...ohne Erfolg. Ich habe die FW mehrfach resettet und verschiedene Ausnahmen und
Kombinationen getestet... ohne Erfolg. Zwischenzeitlich habe ich die FW immer mal wieder
ganz deaktiviert, um zu gucken, ob der Connect überhaupt noch klappt... klappte
jedesmal perfekt.
Dann die FW wieder aktiviert... und fini... kein Ping, kein Connect... nothing....

OK, ganz zum Schluss war folgendes erfolgreich: Erneuter Reset der FW , und dann in der
normalen FW-Ansicht unter "Einstellungen ändern" --> "Erweitert" das Firewalling der Lan-
Verbindung deaktiviert.. Ergebnis: Ping antwortet, die Laufwerke sind verfügbar.

Nun zum Schluss die Frage, auf die es ankommt....:

Welche Konsequenzen hat diese Einstellung noch? Umfasst Lan-Verbindung alles, was
überhaupt über mein Netz (über die Ethernet-Adapter) fliesst? Also dürfen jetzt auch alle
Programme, egal welcher Art, die irgendwie irgendwas im Internet tun (wollen)? Z.B. der
autoupdater verschiedener Programme. Vorher hatte ich das einigen durchaus verboten,
einigen anderen aber erlaubt. Und die FW hat mich bislang informiert, wenn ein Programm
ins Netz wollte. Dabei konnte ich dann entscheiden, ob dauerhaft blocken oder dauerhaft erlauben.

Haben jetzt alle Programme einfach so und ungebremsten Zugang zum Web? Welche Neben-
effekt (unerwünschte natürlich) hat das deaktivieren der LAN-Verbindung in der FW?

vg, Maddin
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Humor (lol)
Interesse an einem Administrator.de-Usertreffen (132)

Frage von BirdyB zum Thema Humor (lol) ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...