auric-ch
Goto Top

Gibt es eine VPN Plug-Play Hardwarelösung?

Hallo zusammen, folgende Idee habe ich:

Das vernetzen von netzwerkfähigen, elektronischen Stechuhren.

Ein Freund hat als Franchisenehmer mittlerweile 4 Filialen und über 40 Mitarbeiter, größtenteils Teilzeit etc..

Um da den Überblick zu haben und die Gehaltsabrechnung, Urlaubsplanung etc. besser hin zu bekommen wäre eine Zeitabrechnungssystem hilfreich.

Es gibt z.B. von Chipdrive http://www.chipdrive.de/index.php/de/chipkarten-loesungen/zeiterfassung ... Lösungen die ich im kleineren Rahmen schon seit Ewigkeiten einsetze, die Hard- und Software funktioniert, allerdings hab ich hier nur ein lokales System.

So eine Stechuhr wird z.B. über das LAN an eine "PC-Stechuhr" (einem Dienst der auf einem Windows Rechner läuft) angeschlossen, die Stechuhr sendet jeden Buchungsvorgang über TCP/IP mit konfigurierbarem Port an die PC-Stechuhr, und bekommt auch die Mitarbeiter-Zeitkonto-Informationen zurück (also Über- oder Unterzeit, Urlaubsanspruch etc.)

Im LAN funktioniert das, für mich sicher kein Problem es einzurichten, für die 4 Fillialen sieht das für mich schon komplizierter aus.

In den Filialen gibt es ein ADSL Anschluss, da hängt eine Fritzbox als Modem-Router, dann noch ein zusätzlicher Router für die Kassen, die Kreditkartenabrechnung, für POS Informationen etc.p.p. auf jeden Fall ist diese Hardware vorhanden, aber soll natürlich nicht verändert werden. Wenn man an der Fritzbox über einen der LAN Ports einen PC oder ein WLAN Router anschliesst wird der PC oder WLAN Router über einen DHCP Server mit einer IP Adresse versorgt, ist ein Zugang zum Internet problemlos möglich.

Was ich suche wäre jetzt eine möglichst DAU taugliche Lösung um so ein Zeitabrechnungssystem zu vernetzen.

Man könnte z.B. im Privathaus des Freundes (mit normalen ADSL Anschluss) einen Mini-PC/Server/WHS aufstellen mit der PC-Stechuhr, und diesem mit DDNS eine Adresse verpassen
in den Fillialen bräuchte man eine Hardware die eine VPN Verbindung z.B. über OpenVPN zwischen der Stechuhr und dem Mini-PC im Privathaus aufbaut und jede Buchung auf die Software-PC-Stechuhr schickt.

Idealerweise müsste man so was Zuhause vorbereiten können und dann vor Ort in der Filliale nur an die Fritzbox und an den Strom anstecken, bekannt ist nur das der ADSL Modem-Router über freie LAN Ports einen Zugang ins Internet bietet, jegliche Veränderungen in dem ADSL Modem-Router sind unmöglich da die Konfigurationsoberfläche passwortgeschützt verriegelt und verrammelt ist.

Gibt es da eine Plug&Play Hardware, sowas wie OpenVPN taugliche Router?

Vielen Dank an alle die das gelesen haben und meiner Frage ein paar Gedanken opfern.

Gruss Auric

Content-ID: 237525

Url: https://administrator.de/forum/gibt-es-eine-vpn-plug-play-hardwareloesung-237525.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
Lösung aqui 08.05.2014, aktualisiert am 13.05.2014 um 10:32:53 Uhr
Goto Top
Knapp und einfach: Nein, das gibt es nicht und wäre auch fatal, da mit solch einer (sorry) Dummie Plug&Play Lösung massiv Sicherheitsprobleme Tür und Tor geöffnet sind in einem VPN.
Zusätzlich müsste man solch einem Hersteller blind vertrauen und wer will das schon heutzutage ?!

Lösung: Du hast ja alles wesentliche für eine schnelle und unkomplizierte LAN zu LAN VPN Lösung der Standorte ja schon vorliegen !!
Alle aktuellen Fritzboxen supporten auch VPNs:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

So ein VPN bekommt man über das neue Klicki Bunti Interface im Handumdrehen hin. Das schafft jeder Dummie.
Damit ist die VPN Vernetzung der Filialen dann ein Kinderspiel und die Stechuhr ist dann überall präsent !
Weitere Grundlagen dazu findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
(AVM nutzt das sichere IPsec als VPN Tunnelprotokoll)

Die andere Option ist natürlich OpenVPN, klar. Eine Übersicht über OpenVPN fähige Router mit einfacher GUI zur Installation findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Geht aber nicht mit Fritzbox....es sei denn du flasht die alternative Firmware Freetz auf die FB, dann geht dort natürlich auch OVPN:
http://freetz.org
wiesi200
wiesi200 08.05.2014 um 19:25:04 Uhr
Goto Top
Hallo,

Mal unabhängig davon solltest du dich mal mit den Anbietern von etwas größeren Lösungen unterhalten.
Die haben da entsprechend Erfahrung. Nicht das du da Probleme kriegst weil die DB Abfragen über das WAN zu lange dauern.
Deltablue
Lösung Deltablue 08.05.2014, aktualisiert am 13.05.2014 um 10:32:44 Uhr
Goto Top
Ich hab äußerst positive Erfahrungen mit den Routern von http://www.lancom-systems.de/ gemacht. Wir nutzen in diversen Locations diese Router um VPNs zu erstellen. Grundsätzlich sollte aber jeder Nicht-Consumer Router dies können. Ich glaube sogar, dass mehrere Fritzboxen dazu in der Lage sind.

Die Low-Bugget-Variante (ich weiß bei Franchise Unternehmen ist dass das Zauberwort) ist ein günstiger Router (e.g. der Linksys WRT54GL) und dann darauf die alternative Firmware DD-WRT (siehe http://www.dd-wrt.com) zu installieren! Alles Kinderleicht, automatisch und selbsterklärend - selbst ein Laie bekommt das in ein paar Minuten hin.
Die sollte dann die gleichen Funktionen, wie 3x-5x so teure Business-Router, mit Bravur erfüllen.

Softwareseitig gibts dann natürlich die "Plug&Play Lösung" wie Hamatchi https://secure.logmein.com/DE/products/hamachi/ oder ähnliche Produkte....
BirdyB
Lösung BirdyB 09.05.2014, aktualisiert am 13.05.2014 um 10:32:45 Uhr
Goto Top
Wenn es kostengünstig sein soll, wäre es auch eine Möglichkeit Mikrotik-Router zu nehmen (35€/Stck)...
Mit Plug&Play wird es allerdings schwierig, da müsstest du die Geräte schon vorkonfigurieren...
Auric-CH
Auric-CH 09.05.2014 um 08:53:37 Uhr
Goto Top
Ok danke, das war eine klare Antwort.

Das einzige was vorliegt sind Zugänge zum Internet über die genannten verriegelten und verrammelten Modemrouter,

Was immer gemacht werden kann darf die bestehende Hard- und Software allerhöchstens durch zusätzlichen Datenverkehr tangieren.
Auric-CH
Auric-CH 09.05.2014 um 08:57:33 Uhr
Goto Top
Chipdrive als Beispiel schlägt selber VPN Lösungen vor, allerdings sagen die keine Details face-wink

Die Datenmengen die da bewegt werden sind sehr klein, auch haben die Geräte alle einen eigenen Speicher und würden auch problemlos die Buchungen zwischenspeichern und erst wenn sie Online sind den Datenaustausch vornehmen.

Wer sind denn Anbieter von "grösseren Lösungen" ?
Auric-CH
Auric-CH 09.05.2014 um 09:20:45 Uhr
Goto Top
Sorry komme mit der Forensoftware nicht ganz klar ...

Also wie beschrieben soll das ohne Veränderung der existierenden Hard- und Software funktionieren, es ist denkbar das ich für jede Filiale eine zusätzliche Fritzbox besorge (sowas wie die 3272) und an diese Fritzbox die Stechuhr anschliesse.

Mit der Fritzbox kann ein Dummi wie ich eine VPN Verbindung einrichten, ausprobieren und dann vor Ort an den vorhandenen Modemrouter anstöpseln.

Die Fritzboxen in der Filialen können hoffentlich eine private IP Adresse haben, die sollen als VPN Client sich durch die existierenden Modem Router hindurch an eine VPN-Server-Fritzbox mit festen IP (DDNS) einloggen an der angeschlossen der PC mit der PC-Stechuhr Software läuft und permanent Online bleiben.

Kann das so klappen?
aqui
Lösung aqui 09.05.2014, aktualisiert am 13.05.2014 um 10:32:32 Uhr
Goto Top
Sorry komme mit der Forensoftware nicht ganz klar ...
Dafür gibt es hier FAQs die man lesen kann !
Also wie beschrieben soll das ohne Veränderung der existierenden Hard- und Software funktionieren
Damit ist ja dann die Entscheidung gefallen: VPNs mit der FritzBox !!
es ist denkbar das ich für jede Filiale eine zusätzliche Fritzbox besorge
Wozu denn der Unsinn ?? Wenn du eine FB hast die VPN supportet warum dann noch eine 2te sinnlos dazukaufen ?
Mit der Fritzbox kann ein Dummi wie ich eine VPN Verbindung einrichten, ausprobieren und dann vor Ort an den vorhandenen Modemrouter anstöpseln.
Ja, aber warum denn nicht gleich den vorhandene Modemrouter dazu nehmen. DAS macht Sinn ! Keine Router Kaskade.
Ganz so einfach mit simplen "Anstöpseln" geht es bei solch einer Router Kaskade natürlich nicht.
Auch ein "Dummie" wie du sollte wissen das sich auf dem Router davor eine Firewall befindet und die lässt keinerlei von außen initiierte Verbindungen zu.
Ohne eine entsprechende Port Forwarding Konfiguration auf dem Router davor, der die entsprechenden IPsec Ports an die dahinter kaskadierte WAN IP Adresse des "angestöpselten" Routers forwardet wird das also nie funktionieren.
Um dich von dieser Fricklei zu befreien deshalb der ernstgemeinte Tip das IMMER wenn möglich auf dem bestehenden Router zu realisieren, denn dort hast du diese Problematik nicht !
Die Fritzboxen in der Filialen können hoffentlich eine private IP Adresse haben, die sollen als VPN Client sich durch die existierenden Modem Router hindurch an eine VPN-Server-Fritzbox mit festen IP (DDNS) einloggen an der angeschlossen der PC mit der PC-Stechuhr Software läuft und permanent Online bleiben.
Das ist wie gesagt gängige VPN Praxis die Millionenfach so im Einsatz ist....
Wie gesagt wenn man dem exisistierenden Router ein korrektes Port Forwarding konfiguriert...sonst kommt das nicht zum Fliegen !

Ausnahme ist OpenVPN, denn das ist ein SSL basiertes VPN. Wenn du einen OpenVPN Router dahinter kaskadierst musst du auf der Filialseite keinerlei Port Forwarding definieren.
Dafür reicht dann ein billiger WRT54 oder auch ein 20 Euro TP-Link_WR841N den man mit OpenWRT Firmware betankt und dann mit dem OVPN Package.
Wie das geht steht in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
im Kapitel "OpenWRT Router".
Auric-CH
Auric-CH 09.05.2014 um 10:04:42 Uhr
Goto Top
> es ist denkbar das ich für jede Filiale eine zusätzliche Fritzbox besorge
Wozu denn der Unsinn ?? Wenn du eine FB hast die VPN supportet warum dann noch eine 2te sinnlos dazukaufen ?
> Mit der Fritzbox kann ein Dummi wie ich eine VPN Verbindung einrichten, ausprobieren und dann vor Ort an den vorhandenen
Modemrouter anstöpseln.
Ja, aber warum denn nicht gleich den vorhandene Modemrouter dazu nehmen. DAS macht Sinn ! Keine Router Kaskade.

Wie im Eingangsposting geschrieben existiert in den Filialen ein (evtl. sogar zwei) Modemrouter, evtl. sogar Fritzboxen, nur die sind für mich Tabu, da komme ich auch nicht auf die Systemeinstellungen, da kann und will ich nichts verändern.

Ganz so einfach mit simplen "Anstöpseln" geht es bei solch einer Router Kaskade natürlich nicht.
Auch ein "Dummie" wie du sollte wissen das sich auf dem Router davor eine Firewall befindet und die lässt keinerlei
von außen initiierte Verbindungen zu.

Deshalb den VPN-Server Zuhause mit DDNS IP Adresse erreichbar, und die Filialen melden sich als Client bei dem VPN Server an und sind permanent Online

Ohne eine entsprechende Port Forwarding Konfiguration auf dem Router davor, der die entsprechenden IPsec Ports an die dahinter
kaskadierte WAN IP Adresse des "angestöpselten" Routers forwardet wird das also nie funktionieren.

Kann ich mir tatsächlich vorstellen face-wink aber siehe "Tabu"

Um dich von dieser Fricklei zu befreien deshalb der ernstgemeinte Tip das IMMER wenn möglich auf dem bestehenden Router zu
realisieren, denn dort hast du diese Problematik nicht !

Siehe "Tabu"

> Die Fritzboxen in der Filialen können hoffentlich eine private IP Adresse haben, die sollen als VPN Client sich durch
die existierenden Modem Router hindurch an eine VPN-Server-Fritzbox mit festen IP (DDNS) einloggen an der angeschlossen der PC mit
der PC-Stechuhr Software läuft und permanent Online bleiben.
Das ist wie gesagt gängige VPN Praxis die Millionenfach so im Einsatz ist....
Wie gesagt wenn man dem exisistierenden Router ein korrektes Port Forwarding konfiguriert...sonst kommt das nicht zum Fliegen !

Ausnahme ist OpenVPN, denn das ist ein SSL basiertes VPN. Wenn du einen OpenVPN Router dahinter kaskadierst musst du auf der
Filialseite keinerlei Port Forwarding definieren.
Dafür reicht dann ein billiger WRT54 oder auch ein 20 Euro
[http://www.reichelt.de/TPLINK-TL-WR841N/3/index.html?&ACTION=3&LA=446&ARTICLE=106737&artnr=TPLINK+TL-WR841N&SEARCH=wr841n
TP-Link_WR841N] den man mit OpenWRT Firmware betankt und dann mit dem OVPN Package.
Wie das geht steht in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
im Kapitel "OpenWRT Router".


Brauche ich jetzt OVPN? für die Lösung oder geht das mit den "Tabu" Einschränkungen auch mit den Fritzboxen? wie geschrieben die Filialen bauen die Verbindung zu der "Zentrale" im DDNS IP Adresse.

ob der zusätzliche Router jetzt 20€ oder 90€ kostet ist nicht wichtig, ob er 500€ kosten schon eher, er sollte halt DAU tauglich einzurichten sein, stabil laufen, wenig Strom verbrauchen und wenn nötig dann halt vor Ort ein Firmwareupdate bekommen, eine Möglichkeit Fernwartung ist nicht unbedingt nötig.
aqui
Lösung aqui 09.05.2014, aktualisiert am 13.05.2014 um 10:32:23 Uhr
Goto Top
die sind für mich Tabu, da komme ich auch nicht auf die Systemeinstellungen, da kann und will ich nichts verändern.
Das "Tabu" ist dann der Todesstoß für dein VPN Vorhaben....jedenfalls mit IPsec als VPN Protokoll.

Du kannst einzig dann nur noch OpenVPN machen !! Sonst kannst du die NAT Firewall des Routers davor nicht überwinden.
Gibt es einen sinnvollen Grund warum du auf das "Tabu" System keinen Zugriff hast ?
Ist das ein "Tabu" Zwangsrouter vom Provider ?
Bei letzterem musst du so oder so IMMER eigenes Equipment danach verwenden, denn vertrauen kannst du solcher HW natürlich dann niemals. Ein VPN dadrauf erübrigt sich dann damit auch.
500€ musst du nicht ausgeben. Wenn dich 100 Euro nicht stören wäre eine kleine Firewall mit einem Klicki Bunti GUI das richtige:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere von sich aus OVPN fähige Systeme liegen in der gleichen Preisregion.
Billiger bekommst du es nur hin wenn du wie oben schon beschrieben Router Systeme von der Stange mit alternativer Firmware wie OpenWRT oder DD-WRT flashst die alle OVPN supporten. Da bist du dann schon ab 20 Euronen dabei.

OpenWRT und DD-WRT erfordern aber schon etwas Netzwerk Knowhow bei der Einrichtung.
Wie man darauf dann OpenVPN einrichtet erklärt dir dieses Tutorial dann Schritt für Schritt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Auric-CH
Auric-CH 09.05.2014 um 11:23:07 Uhr
Goto Top
Zitat von @aqui:

> die sind für mich Tabu, da komme ich auch nicht auf die Systemeinstellungen, da kann und will ich nichts
verändern.
Das "Tabu" ist dann der Todesstoß für dein VPN Vorhaben....jedenfalls mit IPsec als VPN Protokoll.

Du kannst einzig dann nur noch OpenVPN machen !! Sonst kannst du die NAT Firewall des Routers davor nicht überwinden.
Gibt es einen sinnvollen Grund warum du auf das "Tabu" System keinen Zugriff hast ?

In den Filialen gibt es alle möglichen Geschichten wie Kassensysteme, Kreditkartenleser, Point of Sale Displays und einen ganzen Schrank voller Hardware die natürlich wichtiger sind als die Stempeluhr, diese Hardware haben irgend welche IT-Firmen da hingestellt, die haben Wartungsverträge und haben alles passwortgeschützt etc.. Ich WILL da überhaupt nichts dran ändern, selbst wenn ich Zugriff auf z.B. die Menues der Fritzbox hätte.

Am Ende läuft irgend was wichtiges nicht und die IT-Firmen schieben mir den schwarzen Peter zu.

Ich hab an so einen vorhandenen Router schon in drei Filialen irgend einen WLAN Router angesteckt und hab so dort einen Internetzugang für meinen Freund ermöglicht, (der vorhandene Router hat auch ein aktives WLAN, aber ohne das Paßwort geht da auch nichts)
der zusätzliche Datenverkehr hat bisher nicht gestört, daher denke ich mal werden die paar kB für die Stechuhr auch nicht kriegsentscheidend sein

Ist das ein "Tabu" Zwangsrouter vom Provider ?

Nein, nicht vom Provider, von der IT-Firma die das so wohl in allen Filialen des Franchisegebers in dem Land macht

Bei letzterem musst du so oder so IMMER eigenes Equipment danach verwenden, denn vertrauen kannst du solcher HW natürlich
dann niemals. Ein VPN dadrauf erübrigt sich dann damit auch.
500€ musst du nicht ausgeben. Wenn dich 100 Euro nicht stören wäre eine kleine Firewall mit einem Klicki Bunti GUI
das richtige:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere von sich aus OVPN fähige Systeme liegen in der gleichen Preisregion.
Billiger bekommst du es nur hin wenn du wie oben schon beschrieben Router Systeme von der Stange mit alternativer Firmware wie
OpenWRT oder DD-WRT flashst die alle OVPN supporten. Da bist du dann schon ab 20 Euronen dabei.

OpenWRT und DD-WRT erfordern aber schon etwas Netzwerk Knowhow bei der Einrichtung.
Wie man darauf dann OpenVPN einrichtet erklärt dir dieses Tutorial dann Schritt für Schritt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Ok ich schaue mir das mal an, geht sowas auch mit dem Asus RT- Routern für die gibt es z.B. die Asuswrt-merlin Software http://www.lostrealm.ca/tower/node/79 die ist klicki bunti und hat OpenVPN drauf.

ach übrigens Danke!
aqui
aqui 09.05.2014 um 11:48:41 Uhr
Goto Top
Oha...
diese Hardware haben irgend welche IT-Firmen da hingestellt, die haben Wartungsverträge und haben alles passwortgeschützt etc.. Ich WILL da überhaupt nichts dran ändern, selbst wenn ich Zugriff auf z.B. die Menues der Fritzbox hätte.
und dann aber...
in drei Filialen irgend einen WLAN Router angesteckt und hab so dort einen Internetzugang für meinen Freund ermöglicht,
Das wiederspricht sich da diametral !!
Aus Sicherheitsgründen eine Katastrofe denn ein WLAN zu hacken ist ein Kinderspiel. Was da wohl die Firmen mit den Wartungsverträgen zu sagen ?? Damit hebelst du ja alles an "Tabu" aus.
Allein das Szenario zeigt schon was das für ein planloses Szenario dort vor Ort ist....aber egal..ist ja nicht das Thema hier.
Zurück dazu also....
Fazit: Alles was OpenVPN kann ist dein Freund !
Auric-CH
Auric-CH 09.05.2014 um 12:24:40 Uhr
Goto Top
Zitat von @aqui:

Oha...
> diese Hardware haben irgend welche IT-Firmen da hingestellt, die haben Wartungsverträge und haben alles
passwortgeschützt etc.. Ich WILL da überhaupt nichts dran ändern, selbst wenn ich Zugriff auf z.B. die Menues der
Fritzbox hätte.
und dann aber...
> in drei Filialen irgend einen WLAN Router angesteckt und hab so dort einen Internetzugang für meinen Freund
ermöglicht,
Das wiederspricht sich da diametral !!
Aus Sicherheitsgründen eine Katastrofe denn ein WLAN zu hacken ist ein Kinderspiel. Was da wohl die Firmen mit den
Wartungsverträgen zu sagen ?? Damit hebelst du ja alles an "Tabu" aus.

Ich glaube nicht das es ganz so einfach ist, selbst ein WLAN Hacker der in den neuen WLAN Router rein kommt, sieht das LAN des ADSL Routers, der da wohl nur als Modem funktioniert, zwischen dem ADSL Router und der wie auch immer gestalteten Hardware (Kasse/Kartenterminal etc..) sitzt noch mal eine Hardware/Firewall/Router/bla-blubber durch die der Hacker auch erst einmal durch kommen muss, die vermutlich über eine VPN Geschichte ihre Daten weiter gibt.

Allein das Szenario zeigt schon was das für ein planloses Szenario dort vor Ort ist....aber egal..ist ja nicht das Thema
hier.

Ich glaube nicht das es planlos ist, zumindest was die IT Firmen da machen face-wink , (wenn das Modem als Angriffspunkt gut geeignet wäre, hätte ich alle unbelegten Ports deaktiviert) aber wenn das alles tatsächlich brandgefährlich ist, dann werde ich diese Vernetzung der Stechuhren halt über UMTS/LTE und entsprechenden Routern mal anschauen, gibt es da was mit OpenVPN?
aqui
Lösung aqui 09.05.2014, aktualisiert am 13.05.2014 um 10:32:07 Uhr
Goto Top
sitzt noch mal eine Hardware/Firewall/Router/bla-blubber
OK, das sieht dann anders aus und ist auch nicht planlos... Wenn du das vorher geschildert hättest wäre der Kommentar auch überflüssig gewesen face-wink
Ein Modem kann übrigens niemals ein Angriffspunkt sein, denn Modems sind immer passive Medienwandler. Du verwechselst hier leider wie so häufig den Begriff Modem mit Router...aber egal.

Alle Router die einen USB Port haben supporten in der Regel an diesen auch USB UMTS Sticks so das damit dann eine OVPN Vernetzung möglich ist.
Vergiss das aber... ist in deinem Szenario gar nicht nötig, denn das kann die von dir favorisierte Asus Kiste ja über Draht.
Hauptsache du hast das hier gelesen:
http://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
Auric-CH
Auric-CH 09.05.2014 um 14:02:00 Uhr
Goto Top
Dein Kommentar ist schon ok face-wink

Welche Bezeichnungen ich verwende... Ok ich hab noch Erfahrungen mit 9.6er Modems und Compuserve face-surprise , für mich ist ein Gerät das an der wie auch immer gearteten Telefonleitung hängt ein Modem, und wenn es dann noch Routen kann wie z.B. die Fritzboxen mit Modem dann ist es für mich ein Modem-Router. so ein Asus RT hat i.d.R. kein Modem also ist es nur ein Router meistens auch WLAN Router. Zuhause hab ich ein VDSL Modem Router den ich gebridged hab und der jetzt nur noch Modem Funktionen hat weil der Asus RT das Firewallen, DDNSen, VPNen und WLANen übernimmt.

Das die Teile doch regelmässig Löcher haben ist wohl unvermeidbar. face-sad Das letzte Loch war besonders lustig, da war der FTP Server samt der angehängten USB Platte sperrangelweit offen im Internet http://www.heise.de/security/meldung/Hacker-warnen-ihre-Opfer-vor-Asusg ...

Du meinst also mit einem Rudel Asus RT oder TPLINK-TL-WR841N müsste man sowas hin bekommen?
aqui
aqui 09.05.2014 aktualisiert um 15:00:33 Uhr
Goto Top
.Modem-Router wäre auch die perfekt richtige Bezeichnung technisch dafür. Für eine technische Beschreibung eines Sachverhalts, besonders wenn man sich nicht sieht wie hier in einem Forum, ist das aber wichtig und wird immer wieder falsch gemacht hier. Es gibt ja immer auch getrennte Szenarien wo Router und Modem getrennt sind.
Aber wollen wir mal nicht ganz so spitzfindig werden hier

Das die Teile doch regelmässig Löcher haben ist wohl unvermeidbar.
Nein, diese Feststellung ist schlicht falsch !! Mal ausgenommen von irgendwelchen Bugs.
Was aber leider oft der Fall ist das Otto DAU User sich nicht um die Konfig schert und auf diesen Systemen die Hersteller aus Bequemlichkeit UPnP aktiviert haben.
Damit kann dann jedes Endgerät ungefragt automatisch Löscher in die Firewall bohren. Da reicht der FTP Server oder das NAS auf dem FTP aktiviert ist um unbemerkt via UPnP per Port Forwarding die Firewall zu öffnen.
Genau das ist vermutlich auch bei dir passiert.
Deshalb die goldenen Regel als erstes UPnP zu deaktivieren auf einem Router !!!
Und....ab und zu mal einen Wireshark ins Netz klemmen und sehen was da so los ist... oder einen kleinen Raspberry Pi dafür bemühen:
Netzwerk Management Server mit Raspberry Pi
--> Kapitel: "Was ist los im Netzwerk"
Auric-CH
Auric-CH 09.05.2014 um 17:56:14 Uhr
Goto Top
> Das die Teile doch regelmässig Löcher haben ist wohl unvermeidbar.
Nein, diese Feststellung ist schlicht falsch !! Mal ausgenommen von irgendwelchen Bugs.
Was aber leider oft der Fall ist das Otto DAU User sich nicht um die Konfig schert und auf diesen Systemen die Hersteller aus
Bequemlichkeit UPnP aktiviert haben.

Das ist gut möglich, auf der anderen Seite sollte man von dem ONV nicht erwarten müssen das er z.B. halb so viel wie du davon verstehen muss.

Damit kann dann jedes Endgerät ungefragt automatisch Löscher in die Firewall bohren. Da reicht der FTP Server oder das
NAS auf dem FTP aktiviert ist um unbemerkt via UPnP per Port Forwarding die Firewall zu öffnen.
Genau das ist vermutlich auch bei dir passiert.

Ich bin zu wenig bewandert darin, es war auf jeden Fall eine Funktion des Asus Routers in der er eine angehängte USB Platte im LAN freigeben sollte, und der Knopf dazu hat unabänderlich UPNP und DLNA eingeschaltet. Der Inhalt der Platte war dann im LAN verfügbar, leider auch im WAN, alle anderen FTP Server im LAN wurden nicht durch die Firewall gelassen, soweit waren es IMHO ein Bug der einzig und allein der ASUS-WRT Firmware anzulasten war

Deshalb die goldenen Regel als erstes UPnP zu deaktivieren auf einem Router !!!
Und....ab und zu mal einen Wireshark ins Netz klemmen und sehen was da so los ist... oder einen kleinen Raspberry Pi dafür
bemühen:

Das mag von Deiner Position und deinem Wissen ganz selbstverständlich sein, ich würde mir sogar zutrauen Wireshark zum laufen zu bringen und die Daten über ein Portmirroring zwischen Router und Modem abzugreifen, aber deshalb kann ich Depp mit dem was Wireshark ausspuckt immer noch nix anfangen. face-wink
aqui
aqui 10.05.2014 um 12:08:57 Uhr
Goto Top
Tja dann musst du halt wie immer diese Kröte schlucken und mit der Bedrohung leben. Machen ja Millionen andere auch und können trotzdem ruhig schlafen face-wink