Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Router-Firewall und Server per VPN

Mitglied: sesama

sesama (Level 1) - Jetzt verbinden

07.10.2008, aktualisiert 18.10.2012, 5686 Aufrufe, 7 Kommentare

Hallo,

meine Verbindung zum dienstl. Server per getunneltem VPN funktioniert nur, wenn die Router-Firewall (Speedport W701V) deaktiviert ist. Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall deaktiviert wurde? Wie kann ich die Firewall des Routers per VPN überwinden, wenn keine weiteren Einstellungen im Router möglich sind?

Grüße!
Mitglied: chris15
07.10.2008 um 19:31 Uhr
Hallo,

Zitat von sesama:
Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall
deaktiviert wurde?

Na aber klar ist das nicht gerade toll wenn die ausgeschalten ist, das ist ungefähr so als ob du in den Urlaub fährst und ein Fenster oder die Haustüre offen lässt.

>Wie kann ich die Firewall des Routers per VPN
überwinden, wenn keine weiteren Einstellungen im Router
möglich sind?

Eigentlich geht das nur per Portweiterleitung, soll ja der sinn sein die Firewall nicht zu überwinden.

Wenn dann musst du den Port schon einstellen an der Firewall.

Gruß

Kurt
Bitte warten ..
Mitglied: Dolphinsfriend
07.10.2008 um 22:22 Uhr
Hallo ,

Ob es Bedenken gibt, die Firewall abzuschalten, steht wohl außer Frage.
Wichtig ist, daß Du wie bereits genannt das Port-Forwarding entsprechend konfigurierst.
Ich habe das auch realisiert in Verbindung mit einem Netgear Router und dem Netgear ProSafe-VPN-Client.

Außerdem werden VPN-Requests nur von meinem DYNDNS Account als Startpoint angenommen.

Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und alle nicht gebrauchten Ports dicht machen.

Achja fuer RDP ebenso das Forwarding einrichten

Viel Erfolg

Gruß

Jochen
Bitte warten ..
Mitglied: sysad
07.10.2008 um 22:40 Uhr
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und
alle nicht gebrauchten Ports dicht machen.

Wenn du einen 701er hast sind die meist eh dicht. Also nur das was Du für VPN brauchst auf den Server forwarden:

UDP 1701 IPSec Setup
UDP 500 IKE
UDP 4500 NAT-T
Protokoll GRE für PPTP
Protokoll ESP für L2TP
TCP 1723 für PPTP


Achja fuer RDP ebenso das Forwarding einrichten

Nix da: RDP machst Du erst dann wenn der VPN Tunnel steht, dann bist Du eh Mitglied im 'lokalen' Netzwerk und kannst den RDC nutzen. RDP ist im Vergleich zu IPSEC/L2TP unsicher.

HTH

EDIT: Habe die Ports nochmal verfeinert nach aqui's Post
Bitte warten ..
Mitglied: aqui
08.10.2008 um 00:38 Uhr
Die o.a. Ports stimmen nicht ganz... Leider schreibst du uns ja nicht WELCHES VPN Protokoll du benutzt so das wir mal wieder wie so oft dummerweise raten muessen

PPTP Protokoll
TCP 1723
GRE (IP Protokoll Nummer 47, Achtung: nicht TCP oder UDP 47, GRE ist ein eigenes IP Protokoll !)

IPsec im ESP Modus
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50, ESP ist ein eigenes IP Protokoll !)

L2TP benutzt ebenfalls als Tunnel IPsec. Vermutlich wird UDP 1701 nur zur Authentisierung benutzt !!

Wenn du diese Ports gemaess deines verwendeten VPN Protokolls in der SP Firewall oeffnest und auf den lokale Server IP Adresse forwardest sollte es problemlos klappen...und das mit aktivierter Firewall wie es sich gehoert !!

RDP muss man in der Tat nicht forwarden,das waere Unsinn ! Alle Verbindungen werden ja transparent im Tunnel uebertragen wie bei einer loaklen AN Verbindung ! Das ist ja genau der Sinn eines VPNs !!!
Bitte warten ..
Mitglied: sysad
08.10.2008 um 13:21 Uhr
@aqui:

Es könnte einen Fall geben, wo man RDP schon forwardet: Wenn man nicht will dass der Remoteclient 'richtig' per VPN-Tunnel ins Netzwerk integriert wird, ihn sozusagen 'draussen' haben will und ihm nur einen Screen überlässt.

UDP 1701 ist eigentlich nicht Standard, aber ich hatte noch kein Glück wenn ich den nicht auch forwarde. Vermutlich hat das was mit MS zu tun.

Lt. dem hier

http://support.microsoft.com/kb/233256/en-us

kann auch noch Protokoll 51 AH nötig sein, das brauchte ich aber noch nie.
Bitte warten ..
Mitglied: sesama
08.10.2008 um 20:15 Uhr
Vielen Dank - werd' mich gleich drüber machen!

Grüße!
Bitte warten ..
Mitglied: aqui
08.10.2008, aktualisiert 18.10.2012
@sysad
Ja das stimmt, aber dann machst du kein VPN sondern forwardest TCP 3389 (RDP) direkt ohne VPN, dann hast du natuerlich Recht.

AH ist IP Protokoll 51 in Verbindung mit IPsec.
Das ist generell gar nicht ueber NAT zu uebertragen, da bei NAT die IP Adressen geaendert werden und IPsec dann sofort eine Man in the Middle Attacke vermutet und die Session abbricht.
AH kann man nur ohne NAT transportieren !!!

http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Firewall hinter Router
gelöst Frage von DaemlicherFlandersNetzwerkgrundlagen14 Kommentare

Hallo, ich habe 2 Grundsatzfragen zum Aufbau eines Netzwerks mit DSL Router und Firewall bezogen auf den Aufbau im ...

LAN, WAN, Wireless
VPN Server und Netgear Router
Frage von ProtectedLAN, WAN, Wireless16 Kommentare

Hallo, ich benötige eure Hilfe! Das Ziel ist es, dass ich IP-Adressen (öffentliche von einem rz) intern (privater Abschluß) ...

Windows Server
VPN zwischen Router und Win2012 Server
gelöst Frage von fgo6400Windows Server9 Kommentare

Hi Leute, folgende Aufgabenstellung: Wir müssen von unserem Applikationsserver aus auf einen DB-Server eines Kunden zugreifen. Der DB-Server hat ...

LAN, WAN, Wireless
Firewall hinter Router. Was ist mit WLAN?
gelöst Frage von 129511LAN, WAN, Wireless3 Kommentare

Ich habe einen speedport Hybrid und dahinter eine sophos utm als virtuelle Maschine laufen (bitte keine Diskussion, ich weiß ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 20 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...