Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Ipsec und der UDP Port 500

Frage Sicherheit Firewall

Mitglied: 89725

89725 (Level 1)

20.05.2010, aktualisiert 18.10.2012, 14374 Aufrufe, 6 Kommentare

Es geht um einen Lancom 800+

Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?


Danke für eine aufklärende und lösungsorientierte Antwort

Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.

Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?
Mitglied: aqui
20.05.2010, aktualisiert 18.10.2012
Du solltest dir erstmal über den IPsec Protokollaufbau im klaren werden bevor du mit falschen Schlussfolgerungen zum Thema UDP hier rumschwadronierst und andere Forumsuser verwirrst !!
Also lesen....:
http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...

Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Bitte warten ..
Mitglied: 89725
20.05.2010 um 15:39 Uhr
Entschuldige, wenn ich hier jemanden auf den Schlips getreten bin.

Die Sichtweise bleibt:
Nachteile von IPSEC

          • Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt) kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

Port von Heimrouter dicht = kein VPN

Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
Bitte warten ..
Mitglied: dog
21.05.2010 um 02:57 Uhr
ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?

Nope, was du meinst ist UPnP oder NAT-PMP.
Bitte warten ..
Mitglied: goscho
21.05.2010 um 09:39 Uhr
Zitat von 89725:

* Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt)
kommt kein IPSEC Tunnel zustande
          • Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten

          Port von Heimrouter dicht = kein VPN

An dieser Stelle ist SSL-VPN eine sehr interessante Alternative. Allerdings weiß ich nicht, ein dein Lancom 800 dies unterstützt (eher nicht).
Bitte warten ..
Mitglied: 89725
21.05.2010 um 09:57 Uhr
Ich habe jetzt herausgefunden, dass man den benötigten Port nicht einfach forwarden kann, weil viele weitere Ports mit dranhängen, ist dies korrekt?
Welche Lösung gäbe es noch?
Vielen Dank!
Bitte warten ..
Mitglied: aqui
21.05.2010, aktualisiert 18.10.2012
@89725
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!

Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal

Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://www.administrator.de/wissen/vpn-f%c3%bcr-arme-tcp-in-ssh-tunneln ...

Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
VPN nur für bestimmte Port(s) verwenden unter Win10 (1)

Frage von Bluebrain zum Thema Netzwerke ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...