Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst FritzBox VPN Welche Ports offen Sicherheit

Mitglied: garack

garack (Level 1) - Jetzt verbinden

21.12.2018, aktualisiert 18:45 Uhr, 2060 Aufrufe, 12 Kommentare

Hallo,

Ich möchte die VPN Funktion einer 7490 mit OS7.01 nutzen. Funktioniert auch mit Windows, Android usw.

Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu (Urlaub, WLAN, Hotspots)..

Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...

Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?

Laut AVM ist es ja IPSEC:

https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)


Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

https://portchecker.co/check

Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..

Warum werden die Ports bei mir als closed gescannt?
Mitglied: Pjordorf
21.12.2018 um 19:18 Uhr
Hallo,

Zitat von garack:
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Das sollte man sich vorher immer fragen.

Laut AVM ist es ja IPSEC:
Si

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans Tool das VPN konfiguriert)
Ist ungefähr als wenn du Nachwuchs bekommst und dein Schlüsseldienst gibt deinem Nachwuchs Automatisch einen Haustür Schlüssel... oder deinem Besucher weil er sich genauso nennt wie dein Nachwuchs...

Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
Von hinter (dein Netzwerk) deiner Fritte versucht oder von Extern (aus dem Internet, von der Arbeit oder vom Kumpel) aus? Das macht evtl schon den Unterschied aus...

hmm nein kann ja nicht sein..
Gut Erkannt

Warum werden die Ports bei mir als closed gescannt?
Von Intern oder von Extern versucht?

Gruß,
Peter
Bitte warten ..
Mitglied: garack
21.12.2018 um 19:24 Uhr
Siehe oben mein Beitrag da steht von extern mit einem Link.
Bitte warten ..
Mitglied: it-fraggle
21.12.2018, aktualisiert um 19:28 Uhr
Nehme an, dass das was externes ist, was von außen scannt.

EDIT: Ach, das stand da eben nicht? Wunderte mich schon wieso der Kollege fragte.
Bitte warten ..
Mitglied: Pjordorf
21.12.2018, aktualisiert um 19:33 Uhr
Hallo,

Zitat von garack:
Siehe oben mein Beitrag da steht von extern mit einem Link.
Entweder habe ich falsch gelesen oder deine Buchstaben kommen hier verändert an.
Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu
Ist klar das du von extern und nicht von dein Internes LAN auf deinen VPN Server zugreifst. Fragt sich nur wie dein
und auch das Internet zu
zu Lesen ist. Und dein
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet
sagt auch nicht ob von Extern oder Intern... Aber jetzt wissen wir es ja.

Gruß,
Peter
Bitte warten ..
Mitglied: garack
21.12.2018 um 20:08 Uhr
steht doch der link vom portchecker dabei ...

und nun? viele Zitate..aber kein Inhalt.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 21.12.2018 um 20:20 Uhr
Moin

Normalerweise macht die Fritzbox kein NAT-T, weil sie i.d.R. direkt am Internet hängt. Daher ist mal Port 4500 außen vor, weil das für Encapsulation bei NAT-T verwendet wird.. Außerdem ist nutzt IPSEC Port 550 für IKE über UDP. Wenn man da einfach nur ein UDP-Packet hinschickt tut sich nichts, wenn man sich nichts ans IKE-protokoll hält.

Von daher ist da erstmal nichts "offen"

Du hast natürlcih prinzipiell das Problem, wenn Du einen von außen erreichbaren Dienst hast, daß dieser natürlich auch angreifbar ist. wenn Du ein Loch in deine Tür für die Katze machst, kann da natürlich auch die Nachbarskatze rein.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
21.12.2018 um 20:23 Uhr
Zitat von garack:

Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

https://portchecker.co/check

Der prüft offensichtlich nur TCP und kein UDP. Dann kann der auch ncihts finden.

lks
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 21.12.2018, aktualisiert um 21:28 Uhr
Hallo,

Zitat von garack:
steht doch der link vom portchecker dabei ...
Nur dass ich so gut wie nie einen Online Scanner verwende. Wer weiss was sich noch dahinter verbirgt...
Nimm mal http://ports.my-addr.com/check-all-open-ports-online.php und gebe deine URL oder Externe IP und einen Portrange z.B. 10-5000 ein und starte das Scannen. Was wird ausgegeben?

Normalerweise nimmt man NMAP auf seinen Rechner und lässt einen Portscan zu einer Externen IP laufen. Aber Vorsicht, es gibt Leute die das als Bewusstes Hacking und Einbruchsversuch sehen. Als CLI https://nmap.org/dist/nmap-7.70-win32.zip und dann ein CMD Fenster mit Erhöhten Rechten und Nmap URL oder IP -vv -sU -p 10-5000 oder Nmap URL oder IP -vv -p10-5000 (Keine Installation nötig) Ein Nmap ohne alles sagt dir mehr.

Gruß,
Peter
Bitte warten ..
Mitglied: fredmy
LÖSUNG 22.12.2018 um 10:55 Uhr
Zitat von garack:

Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...

behauptet wer ?

Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?

gutes Halbwissen macht aber nix.

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)


Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

dann wird er nicht die "erhofften" Anworten beim Scan bekommen

Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..
wieso ? ..er "!redet bloß nicht mit jedem Darhergelaufenen" ums mal drastisch zu sagen

Warum werden die Ports bei mir als closed gescannt?
Lese die Beschreibung des Scanners (was er wie scannt)

IPsec baut eben erst eine Verbindung auf, daß Daten fließen können, wenn alle Bedingungen gegeben sind, vorher möchte de IPSec-Sserver eben eine bestimmte Abfolge "hören" und passende Antworten dazu erhalten
(korrekten Verbindugsaufbau) ansonsten irgnoriert er dich.

Oder: wo ist der Unterschied ob die iptables (= Firewall) ignoriert ODER iptables dich zum IPSev-Server durchläßt und DER irgnoriert dich dann. Von außen gesehen: irgnoriert bleibt ignoriert

Der Rest wäre Protokollwissen und Netzwerkkenntnisse - darf man haben, muß man nicht. Solange du nicht Fehler suchen mußt, reicht es wenn du das Endergebniss kennst .


technisch vielleicht nicht 100% korrekt geschrieben..

fb Weihnachten noch

Fred
Bitte warten ..
Mitglied: garack
22.12.2018 um 15:03 Uhr
Ok, danke für all die Antworten. Mir ist nun eins klar geworden:

Die Firewall der Fritte filtert alle Ports auch die offenen, d.h. Portsscanner bekommen da gar keine Antwort oder eine mit der sie nicht sagen können ob offen oder closed.

Wenn natürlich ein entsprechendes Paket kommt welches die VPN Gegenstelle absendet dann lässt der Filter dieses durch und die Verbindung steht.

Klar ist das immer noch nicht die beste Sicherheit denn sofern die VpN implementierung nicht korrekt ist kann das Schadsoftware ggf. Ausnutzen.

Danke und frohes Fest!
Bitte warten ..
Mitglied: aqui
22.12.2018 um 17:30 Uhr
Außerdem ist nutzt IPSEC Port 550 für IKE über UDP
Du meinst wohl 500 ??
IPsec im ESP Mode kennt laut RFC nur die Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50)
Wobei du Recht hast. UDP 4500 ist entbehrlich sofern man sicher davon ausgehen kann das im gesamten Pfad zwischen Client und Server kein NAT liegt.
Da man das nicht immer garantieren kann (sonst müsste man alle Provider Netze kennen...) ist es sinnvoller es aktiviert zu lassen. Wird beim IPsec Sessionaufbau NAT detektiert schaltet der Client automatisch um.
UDP 4500 schadet nicht wenn es offen ist. UDP 500 muss ja auch sein, sonst könnte man logischerweise ja gar keinen IPsec VPN Tunnel eröffnen.
IPsec VPN ohne diese Ports offen zu halten geht nicht.
Bitte warten ..
Mitglied: Lochkartenstanzer
22.12.2018 um 18:07 Uhr
Zitat von aqui:

Außerdem ist nutzt IPSEC Port 550 für IKE über UDP
Du meinst wohl 500 ??

Natürlich. War ein Vertipper.

lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Sicherheit VPN Verbindung
gelöst Frage von rostigernagelNetzwerkprotokolle9 Kommentare

Hallo zusammen, wie seht ihr die Sicherheit in folgendem Szenario. Ein User will einen Heimarbeitsplatz betreiben. Im Firmennetzwerk steht ...

Router & Routing

FritzBox mit DS-Lite Port-Forwarding und VPN einrichten

Frage von matze2090Router & Routing13 Kommentare

Hallo, ich habe in einigen Artikel gelesen das Port-Forwarding und VPN mit eine DS-Lite Anschluss nicht möglich wäre. Wie ...

Router & Routing

Sicherheit der FritzBox im Hinblick auf VPN und Gast-(w)LAN

Frage von SarekHLRouter & Routing12 Kommentare

Hallo zusammen, das Thema FritzBox ist hier schon oft behandelt worden, und ich weiss, dass es seitens der Profis ...

LAN, WAN, Wireless

FritzBOX VPN FritzBox kein Verbindungsaufbau

gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 20 StundenMicrosoft2 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 20 StundenWindows 10

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 20 StundenMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 5 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS16 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...

Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1014 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

LAN, WAN, Wireless
WLAN in Veranstaltungshalle
Frage von coltseaversLAN, WAN, Wireless14 Kommentare

Hallo zusammen, für eine Halle mit 1300 m² suche ich derzeit nach einer WLAN-Hotspot-Lösung für bis zu 500 User ...