Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Ipsec und der UDP Port 500

Frage Sicherheit Firewall

Mitglied: 89725

89725 (Level 1)

20.05.2010, aktualisiert 18.10.2012, 16763 Aufrufe, 6 Kommentare

Es geht um einen Lancom 800+

Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?


Danke für eine aufklärende und lösungsorientierte Antwort

Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.

Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?
Mitglied: aqui
20.05.2010, aktualisiert 18.10.2012
Du solltest dir erstmal über den IPsec Protokollaufbau im klaren werden bevor du mit falschen Schlussfolgerungen zum Thema UDP hier rumschwadronierst und andere Forumsuser verwirrst !!
Also lesen....:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...

Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Bitte warten ..
Mitglied: 89725
20.05.2010 um 15:39 Uhr
Entschuldige, wenn ich hier jemanden auf den Schlips getreten bin.

Die Sichtweise bleibt:
Nachteile von IPSEC

          • Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt) kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

Port von Heimrouter dicht = kein VPN

Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
Bitte warten ..
Mitglied: dog
21.05.2010 um 02:57 Uhr
ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?

Nope, was du meinst ist UPnP oder NAT-PMP.
Bitte warten ..
Mitglied: goscho
21.05.2010 um 09:39 Uhr
Zitat von 89725:

* Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt)
kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

          Port von Heimrouter dicht = kein VPN

An dieser Stelle ist SSL-VPN eine sehr interessante Alternative. Allerdings weiß ich nicht, ein dein Lancom 800 dies unterstützt (eher nicht).
Bitte warten ..
Mitglied: 89725
21.05.2010 um 09:57 Uhr
Ich habe jetzt herausgefunden, dass man den benötigten Port nicht einfach forwarden kann, weil viele weitere Ports mit dranhängen, ist dies korrekt?
Welche Lösung gäbe es noch?
Vielen Dank!
Bitte warten ..
Mitglied: aqui
21.05.2010, aktualisiert 18.10.2012
@89725
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!

Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal

Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://www.administrator.de/wissen/vpn-f%c3%bcr-arme-tcp-in-ssh-tunneln ...

Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco 886va Ports (UDP 500, 4500) weiterleiten und VPN parallel
Frage von haurg1Router & Routing2 Kommentare

Guten Abend zusammen, ich sitze momentan noch in der Firma und bin mit meinem Latein leider so gut wie ...

Windows Server
Frage bezüglich VPN und IPSec
gelöst Frage von ProtectedWindows Server5 Kommentare

Hallo, in einer Anleitung, wie man einen IPSec VPN Konfiguriert erscheint immer folgender Dialog: Leider erscheint bei meinem Windows ...

LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

MikroTik RouterOS
Mikrotik zu LANCOM, IPSec VPN
Frage von tantalosMikroTik RouterOS1 Kommentar

Hallo, hat schon mal jemand ein IPSec-VPN zwischen einem Mikrotik und einem LANCOM-Router (bspw. 1781AW) eingerichtet und hat ein ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...