lawdog
Goto Top

Internet über VPN

Internet über VPN

Hallo,

Ich möchte mein wlan über vpn absichern, zunächst mein momentaner Aufbau:
1 Server mit 2 Netzwerkkarten, an karte 1 hängt das LAN (über einen Switch), an Karte 2 hängt ein Accespoint. Als Betriebssystem ist Win XP Prof SP2 installiert.
IP von Karte 1 ist 192.168.0.x von Karte 2 192.168.1.x
Meine Idee war jetzt, das der AP nicht direkt am LAN hängt, und somit ein erfolgreicher „Hack“ erfolglos bliebe. Ich wollte dann über einen VPN Tunnel ins richtige LAN.
Soweit funktioniert auch alles, bis auf das Internet.
Der Witz ist aber das es schon mal funktioniert hat. Jetzt bastle ich hier schon seit 3 tagen und komm nicht weiter.
Das häckchen beim Standartgateway ist raus. Alle Karten (bis auf die WLAN im Laptop) haben Static IP. Der Gateway (Router) ist in beiden Karten angegeben. Eine Firewall ist nicht aktiv.
Also was mache ich falsch?

Gruß Lawdog

Content-ID: 56538

Url: https://administrator.de/contentid/56538

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

spacyfreak
spacyfreak 13.04.2007 um 07:06:45 Uhr
Goto Top
Wie das ganze die Sicherheit erhöhen soll ist mir schleierhaft - wenn der Access Point auch unverschlüsselte Daten akzeptiert und weiterleitet nützt das VPN freilich wenig. Das bringt nur was wenn eine Firewall die hinter dem XP Rechner steht NUR VPN durchlässt und alles andere blockt.
Die einfachste Variante wäre wohl, den AP ins LAN zu hängen (da hängt er quasi eh, nur eben mit dem XP Rechner als Zwischenglied das die Pakete aber eh weiterroutet, wenn alles richig konfiguriert ist) und WPA Verschlüsselung zu aktivieren.
Altenative wäre 802.1X, dazu bräuchst aber schon wieder nen Radiusserver zur Authentisierung (zb. IAS von Microsaft oder FreeRadius).

Wenn der VPN Tunnel an sich funktioniert, schau beim Client die Proxyeinstellungen an (falls ihr einen Web-Proxy im Intranet verwendet). Ferner wurde eventuell auf dem VPN Server Split Tunneling deaktiviert sodass nach Tunnel Aufbau keine andere netzwerkverbindung ausserhalb des Tunnels möglich ist.

Hoffe zumindest dich richtig verstanden zu haben.face-wink

Gruss u. gutes Gelingen
Lawdog
Lawdog 13.04.2007 um 10:06:09 Uhr
Goto Top
Der AP ist Natürlich über WPA Verschlüsselt, und die Netzwerkkarte mit den AP hat nur das TCP/IP protokol und den clienten für microsoft netzwerke installiert. Vieleicht sollte ich noch Erwähnen, das es sich nicht um ein Firmennetz handelt, sondern rein Privat genutzt wird.

Wen ich mich jetzt mit den AP verbinde und versuche ohne VPN ins Lan zu kommen, scheitert das. Deshalb war ich auch der meinung, das das die Sicherheit erhöht. Ich hatte auch schon darüber nachgedacht über eine Software Firewall im XP Rechner das ganze noch sicherer zu machen, aber da bin ich noch auf der suche nach einer Firewall, wo man 2 netwerkkarten unabhängig voneinander konfiguriert, vieleicht kennt ja jemand eine?

Einen Proxy Server habe ich nicht laufen, aber wie es im moment aussieht bleibt mir nicht anderes übrig

Gruß Lawdog
donhuan
donhuan 13.04.2007 um 11:09:28 Uhr
Goto Top
Hallo,

da muss ich zustimmen, so richtig verstehe ich es auch nicht! Aber gut!
So wie ich das verstanden habe, stellst Du eine Verbindung her, mit einem Rechner, auf dem ein VPN - Server läuft. Dieser ist mit Access - Point verbunden und dient als Router in die große Wolke? Hast Du auch das IP - Forwarding angeschaltet?
Da musst Du natürlich entsprechend auch den VPN - Server als Standardgateway eintragen in der VPN - Verbindung. Mit Proxy hat das eigentlich wenig zu tun. Ich vermute mal, dass es am routing liegt.
Es gibt viele Firewalls die das können. Aber sieh Dir mal IP - Cop an. Brauchst zwar einen extra Rechner aber ich denke, dass ist das was Du willst.
Dann vergess auch mal am besten die Sache mit VPN. Dazu ist es nämlich nicht gedacht und verringert auch die Bandbreite. Gescheit mit WPA verschlüsselt, SSID ausgeschaltet und dem AP sagen, dass er nur bestimmte MAC - Adressen akzeptieren darf. Dann ist gut!

gruß

Dominik
aqui
aqui 13.04.2007 um 18:17:36 Uhr
Goto Top
Hast du Routing auf dem XP Rechner per Registry eingeschaltet ??? Sonst geht es nicht !

Hier:

Routing mit 2 Netzwerkkarten

steht was du machen musst mit so einem Szenario....
Ob ein zusätzliches VPN sinnvoll ist sei mal dahingestellt. WPA2 mit PSK gilt als sehr sehr sicher. Bis heute sind keine Kompromitierungen des Protokolls bekannt.
Durch den zusätzlichen VPN Overhead drückst du die Netto Datenrate auf dem WLAN Link noch weiter. Realistisch kannst du da dann mit ca. 5 Mbit/s rechnen. Wenn du mehr WLAN Clients aktiv hast wird diese Datenrate im Durchschnitt noch weiter sinken !
Ob das wirklich Sinn macht solltest du dich mal in einer stillen Stunde fragen....
MoeSzyslak
MoeSzyslak 13.04.2007 um 18:18:21 Uhr
Goto Top
sorry, aber auch ich kann diese "Topologie" nicht ganz nachvollziehen
... also wo das der tiefere Sinn liegt.

normalerweise wird so wie Du es beschreibst ein Rechner mit 2 NICs als Router ( eventuell mit Proxy)
eingesetzt. Aber ich nehme mal an das Dein AP auch gleichzeitig ein Router ist und wenn Du über
diesen per WLAN direkt ins Internet gehst umgehst Du ja quasi auch schon Deinen Server ...der ja wahrscheinlich
als Router diesen sollte.

DEnnoch solltest Du diesen Server auch in der konfiguration erreichen können da er ja auch in diesem Netzwerk
präsent ist.

Wenn du mit anderen REchnern über den Router ins www willst dann musst Du mind. auf diesen Rechner als Standardgateway die IP servers im LAN eintragen (Karte 1 ) und auch dem Server als Standardgateway die IP
deiner AP bzw. Routers der mit dem www verbunden ist ( DNS Konfig auch nicht vergessen)

MfG
Moe
aqui
aqui 13.04.2007 um 18:55:44 Uhr
Goto Top
Der Vorteil ist das er LAN und WLAN getrennt hat. Clients aus dem WLAN ist es dann bei entsprechender Konfig nicht so leicht möglich auf Rechner im LAN zuzugreifen oder diese zu attackieren. Wenn der AP auch gleichzeitig Internet Router ist hat er somit auch das Internet Segment zum LAN abgetrennt und könnte auf dem Server einen Proxy fürs LAN laufen lassen. In dieser Hinsicht ist das schon ein gängiges und sinnvolles Design....
MoeSzyslak
MoeSzyslak 13.04.2007 um 19:55:19 Uhr
Goto Top
den ansatz kann ich schon irgenwie nachvoll ziehen

Aber er will ja AUCH mit den WLAN Clients auf das LAN zugreifen und kann dieses deshalb nicht wirklich
sicher abschotten.

Selbst wenn er einen Proxy auf dem Server installiert könnte er damit nicht die WLAN Clients über den Proxy schicken diese würden nach wie vor direkt via Gateway ins www gehen ...

Sinn machen würde es m.E. nur wenn er wirklich eine strikte Trennung zwischen WLAN und LAN vornimmt und mit den WLAN Clients nicht auf das LAN zugreifen würde aber wie gesagt ...genau das will er ja !

MfG
Moe
spacyfreak
spacyfreak 13.04.2007 um 20:09:22 Uhr
Goto Top
Beim XP Rechner kannst ja ganz einfach ICS aktivieren, und den AP an der zweiten Netzkarte anschliessen. Da wird IP-Forwarding automatisch aktiviert.

WPA reicht doch dicke aus - wozu noch mit VPN rumfummeln. Ich kapier es nicht welchen Sinn das machen soll.
Weshalb den AP nicht einfach an nen Swich hängen im LAN, WPA mit langem key, und der Käse ist gegessen? Das knackt doch kein mensch! Vor allem nicht in deiner nachbarschaft - er muss schliesslich in Funkreichweite sein.
Es geht schliesslich um ein privates Netz, wo man bissi WLAN möchte um auch auf dem Sofa oder im Garten auf Internet und paar Files zuzugreifen. Ich würde das nicht überdimensionieren, zumal dann der XP Rechner ja auch noch ständig laufen muss, obwohl man nur mit dem Notebook bissi surfen will um mails zu lesen etc.

face-wink
Lawdog
Lawdog 14.04.2007 um 09:32:23 Uhr
Goto Top
Erstmal Danke für die tips, werde mich gleich mal dran setzen.
Der Accespoint ist KEIN router und hängt auch nicht am Internet.
aqui und MoeSZyslak scheinen meine idee verstanden zu haben. Ich möchte das LAN Strikt vom WLAN trennen. Ich habe ich sehr oft Gäste hier (kumpels) die mit ihren lapis mal eben ins internet wollen, die wollte ich dan z.b. über einen proxy abfertigen. So das sie garnicht erst auf dumme gedanken kommen ;). Und sollte mal ein File oder Game-Server von nöten sein kan ich immernoch einen switch zusammen mit den AP an Karte 2 anschliessen und hab dan 2 Getrente netze.
Hoffe ihr könnt mich jetzt verstehen.

Gruß Lawdog
MoeSzyslak
MoeSzyslak 14.04.2007 um 11:17:46 Uhr
Goto Top
So wie Du es jetzt beschreibst macht das ganze schon wesentlich mehr sinn !

Allerdings brauchst Du in Deinem Router dann 3 NICs (oder einen zusätzlichen Router )
denn Dein Server muss sich ja dann gleichzeitig in 3 Netzen befinden um entsprechend vermitteln zu können.
1. Internet
2. LANSegment
3. WLANSegment

Preiswertere und flexiblere Variante wäre sicherlich die mit den 3 NICs aber dennoch würde ich Dir zu einem Router raten (den Du vielleicht ja sogar schon hast). Den Router konfigurierst Du so das er nur Verbindungen
von der IP / MAC-Adress Deines Servers annimmt, damit stellst Du sicher das auch die Rechner im LAN brav über den Proxy gehen müssen. Und konfigurierst Du Deinen Proxy auf dem Server so das er auf beiden Netzwerksegmenten lauscht (LANSegmanet und WLANSegment).

Zusätzlich solltest Du dann alle Ports auf der Firewall mind. für das WLANSegment schliessen ausgenommen der Port für den Proxy.. eventuell musst Du natürlich für den geplanten Gameserver dann nachträglich noch bestimmte Ports öffnen.

Bei der Variante mit den 3 NICs würde Dein Server dann noch den Router ersetzen.
Welche Variante für Dich die beste ist musst Du natürlich selbst entscheiden.

Viel Erfolg !
Moe
spacyfreak
spacyfreak 14.04.2007 um 15:43:46 Uhr
Goto Top
[img] http://img257.imageshack.us/img257/7085/wlanlaninternetvz0.png [/img]

Da dein WLAN AP kein Router ist, muesste der XP Rechner die Routingfunktion übernehmen, wenn Du unbedingt getrennte Netze für WLAN und LAN haben willst. Da der XP Rechner selber aber im LAN hängt, wird das garnicht so einfach. Die Pakete aus dem WLAN müssen ja auf jeden Fall durchs private LAN geleitet werden - in dieser Konstellation wirkt das recht sinnfrei.
Vielleicht kann man mit statischen Routen auf dem XP REchner deichseln, dass Pakete aus dem WLAN Netz NUR ins Internet dürfen (sowie Rückrouten). Dann ist aber eine Kommunikation von WLAN-PCs mit dem LAN erschwert.

Wiso den AP nicht ins Netz hängen und die privaten LAN Rechner mit lokalen Firewalls schützen? Des weiteren statische ARP Einträge auf den LAN PCs machen (Gateway=DSL Router MAC) so dass auch Man-in-the-Middle-Attacken ausgeschlossen sind.
VPN für deinen Einsatzzweck erscheint mir recht überdimensioniert.
Mein definitiver Vorschlag wäre demnach (gesundes Verhältnis zwischen Aufwand, Handhabbarkeit u. Sicherheitsbedarf):

-AP ins lokale Netz hängen, mit WPA absichern
-personal Firewalls auf den privaten PCs im LAN
-statische ARP Einträge auf den privaten PCs im LAN

Dann wären all Deine Erwartungen an die Lösung erfüllt, meines Erachtens.
Und der XP Rechner mit den zwei Karten müsste nicht ständig laufen, wenn mal einer ins Internet per WLAN will. Und weniger Fehlerquellen durch Einfachheit erhöhen bekanntlich die Verfügbarkeit (ausser du verbringst gerne deine Zeit mit Fehlersuche - dann würd ich freilich die Sache noch deutlich komplizierter machen, damit man ja davon ausgehen kann oft genug Probleme zu haben face-wink )
Lawdog
Lawdog 14.04.2007 um 19:12:51 Uhr
Goto Top
So ich habe das problem heute lösen können. Ich beschreibe aber ersteinmal wie das netz genau aussieht, es ist hier wohl einiges durcheinander gekommen.

-Am Server sind wie gesagt 2 Netzwerkkarten, an 1 Hängt das LAN und an 2 das WLAN
-Im Lan gibt es einen extra Router und einige rechner

Mein Ziehl war wie gesagt WLAN und LAN zu trennen, aber bei bedarf auf das Internet zugreifen zu können.

Ich hab das jetzt so gelöst:
Wen ich mit den Lapi ins LAN möchte mus ich mich über VPN einwählen. Auf den Server sind bei Karte 2 alle protokolle ausser TCP/IP und Client für Microsoft gelöscht. Also ist es rein theoretisch nicht möglich auf irgendwelche freigaben zugreifen zu können.
Für das internet brauche ich jetzt kein VPN mehr, da auf den Server ein Proxy Leuft. Als Programm habe ich da NETPROXY4 gefunden. Dort habe ich die möglichkeit bestimte dienste(zb www) auf eine bestimte Karte zu legen, ausserdem kan ich den server mit einen passwort absichern, eine simple Firewall ist auch noch drin.

Was ich jetzt noch breuchte ist eine Firewall, wo ich die 2 karten unabhängig voneinander konfigurieren kann, damit ich auf der WLAN seite alle ports auser vpn und proxy zu machen kann. aber bei allen firewalls die ich kenne kan man nur globale regeln festlegen vieleicht hat da jemand einen tip?

gruß Lawdog
spacyfreak
spacyfreak 14.04.2007 um 22:15:35 Uhr
Goto Top
Hehe - quasi durch die Brust ins Auge!

Soll jetzt jeder deiner Kumpel, der aufs LAN zugreifen dürfen soll, nen VPN Client starten müssen? face-wink
Muss nun jeder deiner Kumpel, der einfach nur ins Internet will über dein WLAN, deinen WPA KEY UND noch deinen Proxy in seinem Browser einstellen? Du tunnelst VPN noch mal in WPA. Da kannst dich ja jedesmal wenn mal einer zu Besuch kommt erstmal auf ne halbstündige Client-Configurations Session einstellen.
Und der XP Rechner muss immer laufen und Strom fressen, obwohl man meist nur bissi WLAN braucht.

Vielleicht ist die Lösung auch Geschmackssache - ich liebe halt das einfache, das den Zweck erfüllt und vermeide das komplizierte, das Arbeit macht, fehleranfällig ist und auch den Zweck erfüllt. face-wink

Als Firewall soll Sygate oder Kerio ok sein und kosten nix.

Doch jetzt genug davon - ich gugg gleich Boxen.
Lawdog
Lawdog 14.04.2007 um 22:58:33 Uhr
Goto Top
@ einfach-mal-die-klappe-halten: Die lösung ist im moment gut so wie sie ist, es macht auch nicht sinn alle meine gründe, warum diese lösung die beste ist, hier aufzuzählen. Aber es reicht wohl wen ich sage das ich hier für ca 20 rechner zuständig bin. ausserdem was ist so schwer daran einen proxy server in den browser ein zu geben. Bei allen meinen Kumpels reicht es, wen ich den die adresse vom proxy gebe, und 2 minuten später können die surfen.
Ich wollte ja auch nur dieses problem mit der vpn verbindung gelöst haben, und nicht mein komplettes netzwerk neu stricken.

Für alle anderen gilt, ich danke für eure hilfreichen tips, ich hätte nicht gedacht das dieses thema soviele leute interresiert.

Gruß Lawdog
spacyfreak
spacyfreak 14.04.2007 um 23:27:11 Uhr
Goto Top
Ist kein Problem!
Macht halt Spass, Lösungen zu entwerfen, man lernt immer wieder was dazu, und rostet nicht ein. Dabei kann halt nur mit den Infos gearbeitet werden, die verfügbar sind. Für jedes Problem gibts dann wiederum zig Lösungsmöglichkeiten, die auch oft Geschmackssache sind.

Gott, der Boxkampf hat ja echt sau spät angefangen. War eigentlich auf 22.40 angesetzt, und jetzt ist schon fast halb 12!