Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Verbindung ohne Portfreigaben (Software)

Frage Netzwerke

Mitglied: JoRu1407

JoRu1407 (Level 1) - Jetzt verbinden

25.12.2012, aktualisiert 13:37 Uhr, 5903 Aufrufe, 25 Kommentare

Ich bin neu hier im Forum und beschäftige mich zusammen mit einem bekannten, der im Industriesteuerungsbereich tätig ist, mit allen möglichen Software- und Netzwerklösungen.

Hallo Leute,

ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben seitens des Servers realisieren lassen und die sich aus einem externen C# Programm heraus ansteuern lässt (API oder CMD-Version etc...).

Bisher arbeite ich mit TeamViewer und besitze dort auch eine kommerzielle Lizenz, allerdings soll ich nun eine Software schreiben, die das Herstellen der VPN-Verbindung zur Maschine des Kunden dem Benutzer möglichst einfach macht, indem sie alle erforderlichen Netzwerkrouten automatisch einträgt und anschließend den im entfernten Netzwerk gelegenen Silex USB Server über dessen CMD-Version des Treibers verbindet.

Und genau da liegt das Problem:

TeamViewer bietet neben den einfachen Startkommandos leider keine Schnitstelle oder CMD-Version an, die auch Werte zurückgeben kann. Starte ich momentan z.B. TeamViewer mit entsprechenden Startparametern aus meiner C# Anwendung heraus, wird die Verbindung von TeamViewer zwar hergestellt, allerdings erhält meine Anwendung keine Rückmeldung, ob der Verbindungsaufbau erfolgreich war und ich kenne die VPN-IP, die der TeamViewer Partner während der Sitzung hat, nicht. Diese ist aber zum Eintragen von einigen Netzwerkrouten erforderlich.

Deshalb meine Frage:

Kennt Ihr mit TeamViewer vergleichbare Lösungen, die eine entsprechende API/Schnittstelle oder eine Skript-/CMD-Version anbieten? (Wobei nur VPN erforderlich ist, keine Fernwartung o.ä.) Wichtig ist, dass das System ohne Portfreigaben im Netwzerk auskommen muss.

Über Antworten würde ich mich wirklich sehr freuen, da ich im Moment etwas ratlos bin :D

Viele Grüße,
JoRu1407
Mitglied: Dobby
25.12.2012 um 14:03 Uhr
Hallo JoRu1407,

versuch doch einmal mit dem Entwicklerteam von ShrewSoft
Kontakt auf zu nehmen, ob da was geht.

Ansonsten lasse doch einfach WireShark mit laufen und die Verbindung in eine Datei schreiben
und hole Dir von dort die IP.

Dann kannst Du ja auch einmal versuchen via VPN nur eine Verbindung zu dem Router oder der Firewall aufzubauen und dann bist Du ja auch in dem Netz drinnen und kannst dann weiter operieren und Dich ganz normal am Server anmelden.

Gruß und schöne Feiertage
Dobby
Bitte warten ..
Mitglied: JoRu1407
25.12.2012 um 14:09 Uhr
Hallo Dobby, vielen Dank für deine schnelle Antwort!

Soweit ich das gesehen habe, dient der ShrewSoft VPN Client aber nur dem Verbinden mit einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?

Deinen vorletzten Absatz müssstest du mir noch mal genauer erklären:
Was genau meinst du mit "nur eine Verbindung zu dem Router oder der Firewall aufzubauen"?

Viele Grüße,
JoRu1407
Bitte warten ..
Mitglied: Dobby
25.12.2012, aktualisiert um 14:20 Uhr
Hallo JoRu1407,

Soweit ich das gesehen habe, dient der ShrewSoft VPN Client aber nur dem Verbinden mit
einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?
Wenn ich an meinem Rechner sitze und starte die VPN Software von ShrewSoft, kann ich mich mit dem Router oder der Firewall via VPN verbinden und habe Zugriff auf alle dahinter liegenden Rechner bzw. Server und kann mich dann an denen anmelden. Richtig?


Als Beispiel

Gruß
Dobby
Bitte warten ..
Mitglied: JoRu1407
25.12.2012 um 14:21 Uhr
Hallo Dobby,

genau das ist aber leider nicht möglich, weil der Router der Firma kein VPN unterstützt und ein dahinterliegender Router von außen nicht mehr erreichbar ist, wenn im ersten Router keine Portfreigaben gemacht werden.

Bei TeamViewer läuft das momentan so ab, dass ich von meinem Rechner aus eine VPN Verbindung zu einem Nano-XP-Rechner, der im Netwzerk der Firma hängt, aufbaue. Auf diesem ist dann Routing aktiviert und ich komme durch das Eintragen einer Netzwerkroute an meinem Rechner in das gesamte interne Netzwerk der Firma - Nur eben ohne Änderungen am Netzwerk vornehmen zu müssen.

Gibt es denn wirklich keine vergleichbare Software, die Schnittstellen abietet?

Viele Grüße,
JoRu1407
Bitte warten ..
Mitglied: Dobby
25.12.2012 um 15:06 Uhr
Hallo JoRu1407,

ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben > seitens des Servers realisieren lassen...
IPSec VPN und gut ist es, wenn der Router dies nicht unterstützt sollte man vielleicht über einen neuen Router nachdenken! Denn das können heute schon Fritz!Boxen aus dem
Heimanwender Bereich.

Durch den Tunnel geht dann eben auch alles und es ist sicher, wenn der Router das nicht unterstützt, dann frag doch mal ob der Router wenigstens VPN Passthrough unterstützt und hänge dann an einen Port dahinter einen kleinen MikroTik RB450G der kann VPN und man kann die Verbindung noch zusätzlich mit einem Radius Server der schon in dem RB450G integriert ist absichern!!!! Der RB450G kostet so um die 90 € und gut ist es!

Da ja bekanntlich viele wege nach Rom führen, könnte man noch über den Einsatz eines
UMTS Routers nachdenken, also einen MikroTik RB800 + ein Novatel EU850D, ist teuer und nicht so leicht zu konfigurieren aber man kann es damit auch gut sichern und kann dann eben nur via VPN rein und muss die RB800 dann eben gut abschotten! Vielleicht auch über ein Radius Zertifikat um eben nur Dir den Zugang zu gewähren!!

Gruß
Dobby
Bitte warten ..
Mitglied: JoRu1407
25.12.2012 um 15:42 Uhr
Hallo Dobby,

das ist so, wie du schreibst, einfach nicht realisierbar.

Unsere Firma produziert relativ einzigartige Maschinen und deren Steuerungen im Folienkonfektionsbereich und diese werden um die ganze Welt (Indonesien, USA etc...) verkauft.

Nun soll demnächst in jeden Schaltschrank ein eigenes Fernwartungssystem eingebaut werden, wo dann der Schaltschrank, in dem wir mit unseren Geräten ein komplett eigenständiges Netzwerk aufbauen, nur noch mit einem LAN-Kabel mit dem Netzwerk der Firma verbunden werden muss, um Internetzugriff zu erlangen. Dieses System muss einfach ohne jegliche Einrichtung des Firmennetwerkes machbar sein - Denn, 90% unserer Kunden werden sagen, dass Sie nicht bereit sind für unsere Maschine Änderungen an der Netzwerkkonfiguration vorzunehmen bzw. können das aus mir ehrlich gesagt unbekannten datenschutztechnischen Gründen nicht.

Möglich ist dieses Vorhaben ja und wir haben es jetzt in 3 Maschinen via TeamViewer seit einem halben Jahr ohne Probleme laufen, nur soll eben langsam eine eigene Softwareoberfläche her, die das Ganze auch in großem Stil einfach und schnell ermöglicht.

Ich habe hier zu Hause auch einen Cisco VPN Firewall, der mir Zugriff auf das gesamte Heimnetzwerk ermöglicht, aber das ist in unserem Falle einfach nicht realisierbar.
Bitte warten ..
Mitglied: JoRu1407
25.12.2012 um 16:55 Uhr
Kennt denn niemand mit TeamViewer vergleichbare Tools die das Herstellen einer VPN verbindung ohne Portfreigaben ermöglichen und Schnittstellen oder Skript-/CMD-versionen bieten?
Bitte warten ..
Mitglied: Dobby
25.12.2012 um 18:06 Uhr
Es ist Weihnachten und die Leute kommen nur sporadisch mal vorbei, so richtig geht das erst wieder nach den Feiertagen los.
Bitte warten ..
Mitglied: JoRu1407
25.12.2012 um 18:08 Uhr
Na dann...Warte ich mal
Noch schöne Feiertage
Bitte warten ..
Mitglied: brammer
26.12.2012 um 01:34 Uhr
Hallo,

Wir haben eine relativ ähnliche Situation.
Unsere Maschinen stehen weltweit.
Seit gut 3 jahren bauen wir in viele Maschinen einen eigenen Cisco VPN router ein.
Diessr hängt entweder im kundennetz undbekommt eine dhcp Adresse oder er hat einen eigenen internet Zugang.der Router baut einen EzVPN Tunnel auf.
Dazu brauchen wir nur Port 80 und 443.

Brammer
Bitte warten ..
Mitglied: JoRu1407
26.12.2012 um 09:41 Uhr
Hallo Brammer,
vielen Dank für deine Antwort!

EzVPN (Cisco Easy VPN) scheint das Geheimnis dahinter zu sein, wie ich im Internet herausfinden konnte.
Dabei brauchst du auch keinen DynDNS Service, der ja im Hauptrouter eingetragen werden müsste, richtig?

Darf ich fragen, welchen Cisco Router Ihr verwendet und wie komplex das Einrichten ist?
Bitte warten ..
Mitglied: brammer
26.12.2012 um 10:33 Uhr
Hallo,

Wir setzen dazu die 88x baureihe ein.

Die konfiguration ist bei uns inzwischen fast komplett durch gescriptet.
Der konfig file lässt sich ja gut standardisieren.

Dyndns wird nicht gebraucht.
Auf dem router wird ein user angelegt der sich gegen die Domain authentisiert.

Brammer
Bitte warten ..
Mitglied: JoRu1407
26.12.2012 um 10:43 Uhr
Braucht man dazu 2 Router zwischen denen man die VPN Verbindung aufbaut oder kann man auch Router beim Kunden und Cisco VPN Client (Sofwtare) im Büro?

Kennst du einen vernünftigen Shop für Cisco Produkte in DE?
Bitte warten ..
Mitglied: brammer
26.12.2012 um 11:19 Uhr
Hallo,

Ob das gegen eine vpn Client funktioniert weiß ich nicht.
Kaufen entweder über ein Systemhaus, oder schau dir mal ids gmbh an.
Wir kaufen allerdings über t-Systems ein.
Allerdings kaufen wir mehrere hundert Geräte im Jahr.

Brammer
Bitte warten ..
Mitglied: Dani
26.12.2012 um 11:40 Uhr
Moin,
Darf ich fragen, welchen Cisco Router Ihr verwendet und wie komplex das Einrichten ist?
Das ist relativ und hängt auch von den NEtzwerkdesign ab.
Wenn du noch nie einen Cisco-Router in der Hand hast, wirst dich erstmal einarbeiten müssen. Wie gut/schlecht die GUI ist, weiß ich nicht da wir nur über SSH/Konsole arbeiten.


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
26.12.2012, aktualisiert um 11:53 Uhr
Mit 2 Winblows Systemen richtet man so ein VPN mit Bordmitteln ein:
http://www.wintotal.de/artikel/artikel-2005/40.html
Das funktioniert auch im Mix mit Linux und Apple Mac Rechnern und analog für Win 7 natürlich.
Damit hättest du dein Problem im Handumdrehen gelöst.
TeamViewer ist immer kontraproduktiv, denn das erforderti immer einen Server des Herstellers zum Verbindungsaufbau wenn man hinter einem NAT Router hängt.
In Firmenumgebenungen normalerweise ein NoGo, da man nicht weiss was mit den daten gemacht wird dort...
Wie das mit Routern klappt beschreiben dir diverse Tutorials hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
http://www.administrator.de/wissen/vpn-einrichtung-pptp-mit-dsl-routern ...
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
usw. usw. usw.
Bitte warten ..
Mitglied: JoRu1407
26.12.2012 um 12:18 Uhr
Hallo aqui,

das Problem ist da ja wieder, dass im eigentlichen Router der Firma entsprechende Port freigegeben und ein DynDNS Dienst eingerichtet werden muss.

Gibt es denn nicht beim Einsatz von Windows Boardmitteln oder OpenVPN die Möglichkeit, einen eigenen Server wie bei TeamViewer aufzusetzen, damit dann eben keine Portforwardings und DynDNS erforderlich sind?
Bitte warten ..
Mitglied: JoRu1407
26.12.2012, aktualisiert um 12:20 Uhr
Hallo brammer,

Gut, ich denke, das ist zumindest eine gute oder vllt. auch bessere Alternative,
wobei die Router natürlich nicht gerade billig sind und ich mich sicherlich erst mal einarbeiten muss.

Wobei ich auch weiterhin auf der Suche bin, das Ganze Softwaremäßig zu lösen...
Bitte warten ..
Mitglied: spacyfreak
26.12.2012, aktualisiert um 19:45 Uhr
Ich denke SSL wäre da die einfachste Variante, zumal diese auch Proxy-fähig ist.
Eure Kunden werden ja auch u. U. einen Proxy nutzen.
Mal OpenVPN anschauen ob man das einbinden kann in eure Software?
ODER mit den Kunden vereinbaren, dass der KUNDE einen Zugangsweg bereitstellen soll, sodass IHR euch bei IHM einwählt (gängige Variante für sowas würde ich mal sagen..). Oder halt Site-to-Site IPSEC VPN, so exotisch ist das nun auch nicht - gängige Lösung.

Bei der SSL-Variante sind auch Sicherheitsaspekte zu berücksichtigen, Authentisierung / 2-Faktor etc.
Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..
Bitte warten ..
Mitglied: Dobby
27.12.2012 um 06:37 Uhr
Hallo spacyfreak,

Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..

Das ist natürlich auch eine schöne Variante. Nur muss dort nicht auch etwas eingestellt werden am Router
oder der Firewall der Firma, das man dann Zugang hat zu diesem Server!?

Gruß
Dobby
Bitte warten ..
Mitglied: JoRu1407
27.12.2012 um 10:01 Uhr
Hallo spacyfreak,

ich denke mal, ich werde es nun mal mit OpenVPN versuchen und mir dafür erst mal einen eigenen Server mit DynDNS Adresse zuhause hinstellen.

Wenn ich mir dann den Clienten in der Firma so konfiguriere, dass er sich automatisch beim Server anmeldet und diese Verbindung immer aufrecht erhält, brauche ich mich dann auch nur noch mit dem Server verbinden und das Ganze sollte laufen.

OpenVPN bietet ja auch einige Möglichkeiten zum Steuern durch eine eigene C# Anwendung.
Bitte warten ..
Mitglied: Dobby
27.12.2012 um 10:32 Uhr
Hallo JoRu1407,

guck Dir doch mal auch der Homepage von Ubiquiti EdgeMax Router an, dort läuft
ein Debian Linux Derivat drauf und man kann wohl auch einige "Sachen" nach installieren, vielleicht ist das ja was für Euch.

Denn eines ist mir noch nicht ganz klar, wenn die Hersteller von Steckdosen mit einem LAN Port, in der Lage sind einen kleinen Webserver und eine kleine schicke Oberfläche zum schalten der einzelnen
Steckdosenplätze in der Lage sind und die Dinger kosten 99 € - 149 € wird doch bei Euch auch einer
eine RaspBerry PI oder Hackberry Board mit Software versorgen können damit ihr damit was anstellt!
So nun aber genug Hinweise;
- RaspBerry PI - Anleitung von aqui
- Link zum Haberry Board ist einfach etwas kräftiger als der RaspBerry PI
- Link zu Ubiquiti´s neuen Routern- ist dieser zu schwach einfach bis Februar/April 2013 warten
dann kommen die großen Brüder von dem kleinen "light Router" raus
- Steckdosenleiste Beispiel

Was man macht ist ja auch irgend wie eine Sache der Verfügbarkeit und der Erreichbarkeit, denn wenn
es 1000 % funktionieren muss ist das was Brammer vor geschlagen hat zwar teurer, aber auf jeden Fall
zuverlässiger!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
27.12.2012 um 16:42 Uhr
.@JoRu1407
Hier findest du alles Wissenswerte zum Aufsetzen eines solchen OVPN Servers. Die Hardwate Plattform ist bei OVPN völlig egal, die Konfig ist immer identisch:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: spacyfreak
28.12.2012, aktualisiert um 09:24 Uhr
Wenn man den Server in einer DMZ betreibt (was sehr anzuraten wäre, zumal der ja vom Internet erreichbar und angreifbar ist - vorallem wenn man keine 2 Fakt. Auth betreibt ist das nicht zu empfehlen. SSL an sich ist ja verschlüsselt und sicher usw, doch was nutzt das wenn man mit einfacher Passwort-Authentisierung zugreifen kann, da gibt es ja gängige Passwort-Attacken für sowas.

Gängige Lösung - die zugreifenden Maschinen arbeiten mit Client-Zertifikaten zur Authentisierung, und der SSL Server akzeptiert nur Verbindungen von Maschinen die ein gültiges Client-Cert haben..). ODER mit SSH (tcp22) und dein Server akzeptiert nur SSH-Key Auth (keine Passwort Authentisierung).
SSH ist ggfs. sogar einfacher als SSL da man sich nicht um die Zertifikate (die auch ablaufen nach einiger Zeit) kümmern muss.
SSH wird aber nicht über Web-Proxies gehen... Das darf man nicht vernachlässigen, sonst gibts vermehrt Supportbedarf im Betrieb da halt die meisten Firmen Proxies benutzen.


Freischaltungen

Vom Internet aus SSL bzw. tcp443 freischalten einkommend. (Internet >> tcp443 (oder tcp22 bei ssh) >> DMZ Server)

Vom LAN aus zum Server hin kann man ja alles freischalten (any) - ist ja statefull inspection, d.h.
die Richtung VOM Server zum internen LAN ist erstmal geblockt.
LAN >> ANY >> DMZ Server

Vom DMZ Server ins LAN nur notwendige Freischaltungen machen, mögl. retriktiv z. B.
DMZ Server >> tcp1433 >> SQL Datenbank im LAN
Bitte warten ..
Mitglied: JoRu1407
28.12.2012 um 10:13 Uhr
Hallo aqui, vielen Dank für deine Antwort!

Würde es Sinn machen, den OpenVPN Server auf einem Virtual Server von Hosteurope zu installieren?
Dort kosten nämlich ein vServer nur 2€ mehr im Monat als mein aktueller Webspace.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Windows Server
gelöst Netzlaufwerke mit einer VPN Verbindung verbinden lassen (16)

Frage von M.Marz zum Thema Windows Server ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...