FritzBox VPN Welche Ports offen Sicherheit
Hallo,
Ich möchte die VPN Funktion einer 7490 mit OS7.01 nutzen. Funktioniert auch mit Windows, Android usw.
Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu (Urlaub, WLAN, Hotspots)..
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?
Laut AVM ist es ja IPSEC:
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...
(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
https://portchecker.co/check
Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..
Warum werden die Ports bei mir als closed gescannt?
Ich möchte die VPN Funktion einer 7490 mit OS7.01 nutzen. Funktioniert auch mit Windows, Android usw.
Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu (Urlaub, WLAN, Hotspots)..
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?
Laut AVM ist es ja IPSEC:
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...
(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
https://portchecker.co/check
Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..
Warum werden die Ports bei mir als closed gescannt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396433
Url: https://administrator.de/forum/fritzbox-vpn-welche-ports-offen-sicherheit-396433.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @garack:
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Das sollte man sich vorher immer fragen.Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Laut AVM ist es ja IPSEC:
Si(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans Tool das VPN konfiguriert)
Ist ungefähr als wenn du Nachwuchs bekommst und dein Schlüsseldienst gibt deinem Nachwuchs Automatisch einen Haustür Schlüssel... oder deinem Besucher weil er sich genauso nennt wie dein Nachwuchs...Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
Von hinter (dein Netzwerk) deiner Fritte versucht oder von Extern (aus dem Internet, von der Arbeit oder vom Kumpel) aus? Das macht evtl schon den Unterschied aus...hmm nein kann ja nicht sein..
Gut ErkanntWarum werden die Ports bei mir als closed gescannt?
Von Intern oder von Extern versucht?Gruß,
Peter
Nehme an, dass das was externes ist, was von außen scannt.
EDIT: Ach, das stand da eben nicht? Wunderte mich schon wieso der Kollege fragte.
EDIT: Ach, das stand da eben nicht? Wunderte mich schon wieso der Kollege fragte.
Hallo,
Entweder habe ich falsch gelesen oder deine Buchstaben kommen hier verändert an.
Ist klar das du von extern und nicht von dein Internes LAN auf deinen VPN Server zugreifst. Fragt sich nur wie dein
zu Lesen ist. Und dein
sagt auch nicht ob von Extern oder Intern... Aber jetzt wissen wir es ja.
Gruß,
Peter
Entweder habe ich falsch gelesen oder deine Buchstaben kommen hier verändert an.
Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu
und auch das Internet zu
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet
Gruß,
Peter
Moin
Normalerweise macht die Fritzbox kein NAT-T, weil sie i.d.R. direkt am Internet hängt. Daher ist mal Port 4500 außen vor, weil das für Encapsulation bei NAT-T verwendet wird.. Außerdem ist nutzt IPSEC Port 550 für IKE über UDP. Wenn man da einfach nur ein UDP-Packet hinschickt tut sich nichts, wenn man sich nichts ans IKE-protokoll hält.
Von daher ist da erstmal nichts "offen"
Du hast natürlcih prinzipiell das Problem, wenn Du einen von außen erreichbaren Dienst hast, daß dieser natürlich auch angreifbar ist. wenn Du ein Loch in deine Tür für die Katze machst, kann da natürlich auch die Nachbarskatze rein.
lks
Normalerweise macht die Fritzbox kein NAT-T, weil sie i.d.R. direkt am Internet hängt. Daher ist mal Port 4500 außen vor, weil das für Encapsulation bei NAT-T verwendet wird.. Außerdem ist nutzt IPSEC Port 550 für IKE über UDP. Wenn man da einfach nur ein UDP-Packet hinschickt tut sich nichts, wenn man sich nichts ans IKE-protokoll hält.
Von daher ist da erstmal nichts "offen"
Du hast natürlcih prinzipiell das Problem, wenn Du einen von außen erreichbaren Dienst hast, daß dieser natürlich auch angreifbar ist. wenn Du ein Loch in deine Tür für die Katze machst, kann da natürlich auch die Nachbarskatze rein.
lks
Zitat von @garack:
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
https://portchecker.co/check
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
https://portchecker.co/check
Der prüft offensichtlich nur TCP und kein UDP. Dann kann der auch ncihts finden.
lks
Hallo,
Nur dass ich so gut wie nie einen Online Scanner verwende. Wer weiss was sich noch dahinter verbirgt...
Nimm mal http://ports.my-addr.com/check-all-open-ports-online.php und gebe deine URL oder Externe IP und einen Portrange z.B. 10-5000 ein und starte das Scannen. Was wird ausgegeben?
Normalerweise nimmt man NMAP auf seinen Rechner und lässt einen Portscan zu einer Externen IP laufen. Aber Vorsicht, es gibt Leute die das als Bewusstes Hacking und Einbruchsversuch sehen. Als CLI https://nmap.org/dist/nmap-7.70-win32.zip und dann ein CMD Fenster mit Erhöhten Rechten und Nmap URL oder IP -vv -sU -p 10-5000 oder Nmap URL oder IP -vv -p10-5000 (Keine Installation nötig) Ein Nmap ohne alles sagt dir mehr.
Gruß,
Peter
Nur dass ich so gut wie nie einen Online Scanner verwende. Wer weiss was sich noch dahinter verbirgt...
Nimm mal http://ports.my-addr.com/check-all-open-ports-online.php und gebe deine URL oder Externe IP und einen Portrange z.B. 10-5000 ein und starte das Scannen. Was wird ausgegeben?
Normalerweise nimmt man NMAP auf seinen Rechner und lässt einen Portscan zu einer Externen IP laufen. Aber Vorsicht, es gibt Leute die das als Bewusstes Hacking und Einbruchsversuch sehen. Als CLI https://nmap.org/dist/nmap-7.70-win32.zip und dann ein CMD Fenster mit Erhöhten Rechten und Nmap URL oder IP -vv -sU -p 10-5000 oder Nmap URL oder IP -vv -p10-5000 (Keine Installation nötig) Ein Nmap ohne alles sagt dir mehr.
Gruß,
Peter
Zitat von @garack:
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
behauptet wer ?
Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?
gutes Halbwissen macht aber nix.
(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
dann wird er nicht die "erhofften" Anworten beim Scan bekommen
Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..
Warum werden die Ports bei mir als closed gescannt?
Lese die Beschreibung des Scanners (was er wie scannt)IPsec baut eben erst eine Verbindung auf, daß Daten fließen können, wenn alle Bedingungen gegeben sind, vorher möchte de IPSec-Sserver eben eine bestimmte Abfolge "hören" und passende Antworten dazu erhalten
(korrekten Verbindugsaufbau) ansonsten irgnoriert er dich.
Oder: wo ist der Unterschied ob die iptables (= Firewall) ignoriert ODER iptables dich zum IPSev-Server durchläßt und DER irgnoriert dich dann. Von außen gesehen: irgnoriert bleibt ignoriert
Der Rest wäre Protokollwissen und Netzwerkkenntnisse - darf man haben, muß man nicht. Solange du nicht Fehler suchen mußt, reicht es wenn du das Endergebniss kennst .
technisch vielleicht nicht 100% korrekt geschrieben..
fb Weihnachten noch
Fred
Außerdem ist nutzt IPSEC Port 550 für IKE über UDP
Du meinst wohl 500 ??IPsec im ESP Mode kennt laut RFC nur die Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50)
Wobei du Recht hast. UDP 4500 ist entbehrlich sofern man sicher davon ausgehen kann das im gesamten Pfad zwischen Client und Server kein NAT liegt.
Da man das nicht immer garantieren kann (sonst müsste man alle Provider Netze kennen...) ist es sinnvoller es aktiviert zu lassen. Wird beim IPsec Sessionaufbau NAT detektiert schaltet der Client automatisch um.
UDP 4500 schadet nicht wenn es offen ist. UDP 500 muss ja auch sein, sonst könnte man logischerweise ja gar keinen IPsec VPN Tunnel eröffnen.
IPsec VPN ohne diese Ports offen zu halten geht nicht.
Natürlich. War ein Vertipper.
lks