FritzBox VPN Welche Ports offen Sicherheit

Nehme an, dass das was externes ist, was von außen scannt.

EDIT: Ach, das stand da eben nicht? Wunderte mich schon wieso der Kollege fragte.

Hallo,

Entweder habe ich falsch gelesen oder deine Buchstaben kommen hier verändert an.
Ist klar das du von extern und nicht von dein Internes LAN auf deinen VPN Server zugreifst. Fragt sich nur wie dein
zu Lesen ist. Und dein
sagt auch nicht ob von Extern oder Intern... Aber jetzt wissen wir es ja.

Gruß,
Peter

Moin

Normalerweise macht die Fritzbox kein NAT-T, weil sie i.d.R. direkt am Internet hängt. Daher ist mal Port 4500 außen vor, weil das für Encapsulation bei NAT-T verwendet wird.. Außerdem ist nutzt IPSEC Port 550 für IKE über UDP. Wenn man da einfach nur ein UDP-Packet hinschickt tut sich nichts, wenn man sich nichts ans IKE-protokoll hält.

Von daher ist da erstmal nichts "offen"

Du hast natürlcih prinzipiell das Problem, wenn Du einen von außen erreichbaren Dienst hast, daß dieser natürlich auch angreifbar ist. wenn Du ein Loch in deine Tür für die Katze machst, kann da natürlich auch die Nachbarskatze rein.

lks

Der prüft offensichtlich nur TCP und kein UDP. Dann kann der auch ncihts finden.

lks

Hallo,

Nur dass ich so gut wie nie einen Online Scanner verwende. Wer weiss was sich noch dahinter verbirgt...
Nimm mal http://ports.my-addr.com/check-all-open-ports-online.php und gebe deine URL oder Externe IP und einen Portrange z.B. 10-5000 ein und starte das Scannen. Was wird ausgegeben?

Normalerweise nimmt man NMAP auf seinen Rechner und lässt einen Portscan zu einer Externen IP laufen. Aber Vorsicht, es gibt Leute die das als Bewusstes Hacking und Einbruchsversuch sehen. Als CLI https://nmap.org/dist/nmap-7.70-win32.zip und dann ein CMD Fenster mit Erhöhten Rechten und Nmap URL oder IP -vv -sU -p 10-5000 oder Nmap URL oder IP -vv -p10-5000 (Keine Installation nötig) Ein Nmap ohne alles sagt dir mehr.

Gruß,
Peter

behauptet wer ?


gutes Halbwissen macht aber nix.



dann wird er nicht die "erhofften" Anworten beim Scan bekommen
wieso ? ..er "!redet bloß nicht mit jedem Darhergelaufenen" ums mal drastisch zu sagen

Lese die Beschreibung des Scanners (was er wie scannt)

IPsec baut eben erst eine Verbindung auf, daß Daten fließen können, wenn alle Bedingungen gegeben sind, vorher möchte de IPSec-Sserver eben eine bestimmte Abfolge "hören" und passende Antworten dazu erhalten
(korrekten Verbindugsaufbau) ansonsten irgnoriert er dich.

Oder: wo ist der Unterschied ob die iptables (= Firewall) ignoriert ODER iptables dich zum IPSev-Server durchläßt und DER irgnoriert dich dann. Von außen gesehen: irgnoriert bleibt ignoriert

Der Rest wäre Protokollwissen und Netzwerkkenntnisse - darf man haben, muß man nicht. Solange du nicht Fehler suchen mußt, reicht es wenn du das Endergebniss kennst .


technisch vielleicht nicht 100% korrekt geschrieben..

fb Weihnachten noch

Fred

Du meinst wohl 500 ??
IPsec im ESP Mode kennt laut RFC nur die Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50)
Wobei du Recht hast. UDP 4500 ist entbehrlich sofern man sicher davon ausgehen kann das im gesamten Pfad zwischen Client und Server kein NAT liegt.
Da man das nicht immer garantieren kann (sonst müsste man alle Provider Netze kennen...) ist es sinnvoller es aktiviert zu lassen. Wird beim IPsec Sessionaufbau NAT detektiert schaltet der Client automatisch um.
UDP 4500 schadet nicht wenn es offen ist. UDP 500 muss ja auch sein, sonst könnte man logischerweise ja gar keinen IPsec VPN Tunnel eröffnen.
IPsec VPN ohne diese Ports offen zu halten geht nicht.