Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Ipsec und der UDP Port 500

Frage Sicherheit Firewall

Mitglied: 89725

89725 (Level 1)

20.05.2010, aktualisiert 18.10.2012, 15199 Aufrufe, 6 Kommentare

Es geht um einen Lancom 800+

Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?


Danke für eine aufklärende und lösungsorientierte Antwort

Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.

Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?
Mitglied: aqui
20.05.2010, aktualisiert 18.10.2012
Du solltest dir erstmal über den IPsec Protokollaufbau im klaren werden bevor du mit falschen Schlussfolgerungen zum Thema UDP hier rumschwadronierst und andere Forumsuser verwirrst !!
Also lesen....:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...

Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Bitte warten ..
Mitglied: 89725
20.05.2010 um 15:39 Uhr
Entschuldige, wenn ich hier jemanden auf den Schlips getreten bin.

Die Sichtweise bleibt:
Nachteile von IPSEC

          • Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt) kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

Port von Heimrouter dicht = kein VPN

Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
Bitte warten ..
Mitglied: dog
21.05.2010 um 02:57 Uhr
ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?

Nope, was du meinst ist UPnP oder NAT-PMP.
Bitte warten ..
Mitglied: goscho
21.05.2010 um 09:39 Uhr
Zitat von 89725:

* Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt)
kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

          Port von Heimrouter dicht = kein VPN

An dieser Stelle ist SSL-VPN eine sehr interessante Alternative. Allerdings weiß ich nicht, ein dein Lancom 800 dies unterstützt (eher nicht).
Bitte warten ..
Mitglied: 89725
21.05.2010 um 09:57 Uhr
Ich habe jetzt herausgefunden, dass man den benötigten Port nicht einfach forwarden kann, weil viele weitere Ports mit dranhängen, ist dies korrekt?
Welche Lösung gäbe es noch?
Vielen Dank!
Bitte warten ..
Mitglied: aqui
21.05.2010, aktualisiert 18.10.2012
@89725
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!

Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal

Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://www.administrator.de/wissen/vpn-f%c3%bcr-arme-tcp-in-ssh-tunneln ...

Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst CISCO ASA udp port 10000 für tv-streaming freischalten (2)

Frage von maxmedulin zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VPN IPSec mit Linksys Router funktioniert nicht (5)

Frage von knubbie zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
Freeware Tools um VPN IPSec zur Firma aufzubauen? (6)

Frage von WinLiCLI zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Mikrotik CCR1036 IPSec UDP NAT Abbrüche PCoIP VDI (2)

Frage von nahdeka zum Thema Router & Routing ...

Neue Wissensbeiträge
Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Windows Server

Exchange 2010 auf Windows Server 2016 und AD

(2)

Tipp von Herbrich19 zum Thema Windows Server ...

KVM

How to: Libvirt Port forwarding

(2)

Anleitung von fundave3 zum Thema KVM ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
PC erhalten nicht immer eine gültige IP (29)

Frage von Lieberwolf zum Thema Netzwerkprotokolle ...

Windows Systemdateien
Windows 7 und 10 herunterfahren Knopf mit Script belegen (21)

Frage von c-o-o-p-e-r92 zum Thema Windows Systemdateien ...

Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (16)

Frage von Zockervogel zum Thema Router & Routing ...