Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall-Interesse kollidiert mit OpenVN-Interesse

Mitglied: MaddinR

MaddinR (Level 1) - Jetzt verbinden

19.03.2010, aktualisiert 18.10.2012, 2909 Aufrufe, 3 Kommentare

Der geroutete Netzwerkzugang via Open-VPN erfordert genau die Maßnahmen, die eigentlich die Firewall verhindert.....

Hallo liebe Leute

Ich habe hier gerade ein kleines Problem mit meinem privaten Netzwerk, weniger
technischer Natur, dafür viel mehr konzeptioneller Natur. Installiert sind ein paar
PC's, angeschlossenen an einem als Web-Interface arbeitenden DSL-Router.
Einer der PC's ist als "kleiner" File-Server eingesetzt und dieser ist auch gleichzeitig
der OpenVPN-Server. Auf allen PC's ist Windows installiert, Vista und XP.

Über zwei portable PC (Web-Notebook und Laptop) greife ich von unterwegs via
UMTS über einen sicheren Tunnel auf mein Netz zu - und das klappt hervorragend.

Allerdings... und jetzt das Problem.... Der VPN-Server verlangt für das Setzen einer
dynamischen Route ins Netz Admin-Rechte. Ok, das könnte man wohl noch mit
einer statischen Route lösen. Denn normalerweise läuft der Server nur mit einem
Benutzer-Account.
Aber das grössere Problem (und genau da kollidieren die unterschiedlichen Interessen
von Firewall und VPN.) ist, dass ich beim Zugriff auf die Share's des Servers seitens
Windows abgewiesen werde... wegen fremdes Netz und so.

Um das zu lösen, gibts 2 Alternativen: Ich schalte die FW ganz ab, oder ich gebe den
SMB-Port 445 und die Ports 137-139 frei. Das gleiche bei den anderen Workstations,
die ich über IP-Forwarding ebenfalls von aussen erreichen kann. Aber da frag ich mich
doch, wenn ich das freigebe, wofür brauch ich denn dann überhaupt noch die FW?

Die Kernfragen sind also:
Wenn auf dem Server eigentlich keiner arbeitet, im wesentlichen auch keine Anwender-
Software installiert ist und lediglich die Auto-Updates für das Windows und den Antivir
laufen, und der Rechner zudem hinter einem Router steht, der nur die VPN-Port durch-
reicht, macht die Win-FW da überhaupt einen Sinn?

Wie kritisch ist es, wenn die Maschine im Listen-to-Port-Modus bzw. im LAN-eigenen
Betrieb ohne FW läuft.?

Und wie kritisch ist es, wenn er mit angemeldeten Admin-Account läuft?

Wie sind die Chancen oder Gefahren zur Kompromittierung... wenn eigentlich die eigene
Familie, die jeweils mit eigenem PC ins Web gehen, schon ziemlich verantwortungs-
bewusst ist... *hmmm*

Im Moment bin ich ein wenig verunsichert.... mich interessieren dabei eigentlich eher weniger
die rein theoretischen Gefahren, aber in viel grösserem Maße das, was als reale Gefahr
bekannt ist und wo Attacken auch häufig erfolgreich sind.

Danke im voraus für Eure Hilfe
vg, Maddin
Mitglied: dog
19.03.2010 um 22:00 Uhr
Bei OpenVPN gibt es zwei Modi:
  • Routing (tun)
  • Briding (tap)

Zweiteres ist schwerer zu konfigurieren, tut aber so als wäre der Host im selben Netzwerk.
Bitte warten ..
Mitglied: aqui
20.03.2010, aktualisiert 18.10.2012
Außerdem verteilt der OpenVPN Server ja eine durch die Config Datei vorgegeben IP Adresse an die Clients. Es reicht also auch in der Firewall nur dieses IP Netz freizugeben um recht sicher zu agieren.

Noch besser ist dein OpenVPN Server gleich auf deinem Router oder einer freien Router SW zu betreiben. Das erledigt dann alle deine o.a. Probleme im Handumdrehen und ist technisch die beste Lösung.
Wie man so etwas einfach und schnell umsetzt erklären dir dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: MaddinR
21.03.2010 um 16:21 Uhr
Danke für Eure Anregungen... ich weiss... ganz egal, was man tut, welchen Weg man
geht... es gibt immer alternativen oder bessere Wege...

...aber ich würde den angefangenen Weg gerne weitergehen und hoffe deshalb noch auf
ein paar Antworten, die mir helfen die Materie besser zu verstehen.

OK, was habe ich bisher unternommen..?...:
Zuerst habe ich auf meinem WIN_XP-VPN-Server den Standardbenutzer, unter dessen
Account VPN läuft, in die Gruppe der Netzwerksadmins übernommen. Das Problem mit
dynamischen Netzwerkseinstellungen war gelöst.
Dann habe ich in der Firewall unter "Datei und Druckerfreigabe" den SMB-Port für den
Bereich 10.8.0.0/255.255.255.0,192.168.0.0/255.255.255.0 freigegeben. Zweites Problem
gelöst. Die FW läuft also auf der Maschine weiter.... alles klappt.

Nächstes und neues FW-Problem... mit einem Vista-Rechner im gleichen Subnet. Dieser
Rechner ist einfach nicht via VPN (also über den o.g. VPN-Server) zu erreichen... weder ein
Ping klappt, noch der Zugriff auf seine Share's. Seine FW verhindert jeglichen Zugriff.

Vorab bemerkt, wenn ich die Vista-FW deaktivere, antwortet der Ping und die Laufwerke
können problemlos gemappt werden. Lediglich mit aktiviert FW klappts nicht.

Ich habe die Ports 137-139 und 445 in den "Advanced Security" als Ausnahmen "Beliebig"
aktiviert... ohne Erfolg. Ich habe die Regeln für diese Ports komplett "Ausser Kraft gesetzt"...
...ohne Erfolg. Ich habe die FW mehrfach resettet und verschiedene Ausnahmen und
Kombinationen getestet... ohne Erfolg. Zwischenzeitlich habe ich die FW immer mal wieder
ganz deaktiviert, um zu gucken, ob der Connect überhaupt noch klappt... klappte
jedesmal perfekt.
Dann die FW wieder aktiviert... und fini... kein Ping, kein Connect... nothing....

OK, ganz zum Schluss war folgendes erfolgreich: Erneuter Reset der FW , und dann in der
normalen FW-Ansicht unter "Einstellungen ändern" --> "Erweitert" das Firewalling der Lan-
Verbindung deaktiviert.. Ergebnis: Ping antwortet, die Laufwerke sind verfügbar.

Nun zum Schluss die Frage, auf die es ankommt....:

Welche Konsequenzen hat diese Einstellung noch? Umfasst Lan-Verbindung alles, was
überhaupt über mein Netz (über die Ethernet-Adapter) fliesst? Also dürfen jetzt auch alle
Programme, egal welcher Art, die irgendwie irgendwas im Internet tun (wollen)? Z.B. der
autoupdater verschiedener Programme. Vorher hatte ich das einigen durchaus verboten,
einigen anderen aber erlaubt. Und die FW hat mich bislang informiert, wenn ein Programm
ins Netz wollte. Dabei konnte ich dann entscheiden, ob dauerhaft blocken oder dauerhaft erlauben.

Haben jetzt alle Programme einfach so und ungebremsten Zugang zum Web? Welche Neben-
effekt (unerwünschte natürlich) hat das deaktivieren der LAN-Verbindung in der FW?

vg, Maddin
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Firewall Austausch
gelöst Frage von UnbekannterNR1Netzwerke7 Kommentare

Hallo zusammen, ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan ...

Router & Routing
Empfehlung Firewall
gelöst Frage von Odde23Router & Routing7 Kommentare

Hallo zusammen, ich benötige für ein kleines Unternehmen (5 Mitarbeiter) eine Firewall und weiß nicht so recht, was ich ...

Firewall
Iptables Firewall
Frage von 134311Firewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Netzwerkgrundlagen
Firewall Testlab
gelöst Frage von wissbegierig19Netzwerkgrundlagen6 Kommentare

Hallo an Alle, ich würde gerne ein Testlab für Firewall/Networking aufbauen. Einfach um mit Hilfe try and error etwas ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 2 TagenWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 4 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 5 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 7 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Windows Installation
Windows10 Home Neuinstallation - Raketentechnik
Frage von spacyfreakWindows Installation12 Kommentare

"Kannst du den Rechner von der Tante von WindowsXP auf Windows10 Home upgraden" haben sie gefragt? "Sicher, was kann ...

Utilities
Teamviewer 9.x "out of date" ??
gelöst Frage von keine-ahnungUtilities11 Kommentare

Moin at all, mein topaktueller teamviewer (alles 9.x - releases) verweigert seit heute die Arbeit und bemeckert: "the remote ...

Virtualisierung
Unix System virtualisieren
Frage von BananenmeisterVirtualisierung10 Kommentare

Hallo Zusammen, Ich möchte gerne eine Virtualisierungs-Software auf meinem kleinen ML Server installieren um einige Unix Systeme zu virtualisieren. ...

Windows 10
Windows 10 verwendet FritzBox per IPv6 als DNS-Server an Stelle des per DHCP vergebenen DNS-Servers
Frage von Datax87Windows 1010 Kommentare

Hallo, ich habe ein kleines Problem mit der Namensauflösung (DNS) unter Windows 10. Mir ist heute aufgefallen, dass ich ...