Internet über VPN
Internet über VPN
Hallo,
Ich möchte mein wlan über vpn absichern, zunächst mein momentaner Aufbau:
1 Server mit 2 Netzwerkkarten, an karte 1 hängt das LAN (über einen Switch), an Karte 2 hängt ein Accespoint. Als Betriebssystem ist Win XP Prof SP2 installiert.
IP von Karte 1 ist 192.168.0.x von Karte 2 192.168.1.x
Meine Idee war jetzt, das der AP nicht direkt am LAN hängt, und somit ein erfolgreicher „Hack“ erfolglos bliebe. Ich wollte dann über einen VPN Tunnel ins richtige LAN.
Soweit funktioniert auch alles, bis auf das Internet.
Der Witz ist aber das es schon mal funktioniert hat. Jetzt bastle ich hier schon seit 3 tagen und komm nicht weiter.
Das häckchen beim Standartgateway ist raus. Alle Karten (bis auf die WLAN im Laptop) haben Static IP. Der Gateway (Router) ist in beiden Karten angegeben. Eine Firewall ist nicht aktiv.
Also was mache ich falsch?
Gruß Lawdog
Hallo,
Ich möchte mein wlan über vpn absichern, zunächst mein momentaner Aufbau:
1 Server mit 2 Netzwerkkarten, an karte 1 hängt das LAN (über einen Switch), an Karte 2 hängt ein Accespoint. Als Betriebssystem ist Win XP Prof SP2 installiert.
IP von Karte 1 ist 192.168.0.x von Karte 2 192.168.1.x
Meine Idee war jetzt, das der AP nicht direkt am LAN hängt, und somit ein erfolgreicher „Hack“ erfolglos bliebe. Ich wollte dann über einen VPN Tunnel ins richtige LAN.
Soweit funktioniert auch alles, bis auf das Internet.
Der Witz ist aber das es schon mal funktioniert hat. Jetzt bastle ich hier schon seit 3 tagen und komm nicht weiter.
Das häckchen beim Standartgateway ist raus. Alle Karten (bis auf die WLAN im Laptop) haben Static IP. Der Gateway (Router) ist in beiden Karten angegeben. Eine Firewall ist nicht aktiv.
Also was mache ich falsch?
Gruß Lawdog
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56538
Url: https://administrator.de/contentid/56538
Ausgedruckt am: 12.11.2024 um 22:11 Uhr
15 Kommentare
Neuester Kommentar
Wie das ganze die Sicherheit erhöhen soll ist mir schleierhaft - wenn der Access Point auch unverschlüsselte Daten akzeptiert und weiterleitet nützt das VPN freilich wenig. Das bringt nur was wenn eine Firewall die hinter dem XP Rechner steht NUR VPN durchlässt und alles andere blockt.
Die einfachste Variante wäre wohl, den AP ins LAN zu hängen (da hängt er quasi eh, nur eben mit dem XP Rechner als Zwischenglied das die Pakete aber eh weiterroutet, wenn alles richig konfiguriert ist) und WPA Verschlüsselung zu aktivieren.
Altenative wäre 802.1X, dazu bräuchst aber schon wieder nen Radiusserver zur Authentisierung (zb. IAS von Microsaft oder FreeRadius).
Wenn der VPN Tunnel an sich funktioniert, schau beim Client die Proxyeinstellungen an (falls ihr einen Web-Proxy im Intranet verwendet). Ferner wurde eventuell auf dem VPN Server Split Tunneling deaktiviert sodass nach Tunnel Aufbau keine andere netzwerkverbindung ausserhalb des Tunnels möglich ist.
Hoffe zumindest dich richtig verstanden zu haben.
Gruss u. gutes Gelingen
Die einfachste Variante wäre wohl, den AP ins LAN zu hängen (da hängt er quasi eh, nur eben mit dem XP Rechner als Zwischenglied das die Pakete aber eh weiterroutet, wenn alles richig konfiguriert ist) und WPA Verschlüsselung zu aktivieren.
Altenative wäre 802.1X, dazu bräuchst aber schon wieder nen Radiusserver zur Authentisierung (zb. IAS von Microsaft oder FreeRadius).
Wenn der VPN Tunnel an sich funktioniert, schau beim Client die Proxyeinstellungen an (falls ihr einen Web-Proxy im Intranet verwendet). Ferner wurde eventuell auf dem VPN Server Split Tunneling deaktiviert sodass nach Tunnel Aufbau keine andere netzwerkverbindung ausserhalb des Tunnels möglich ist.
Hoffe zumindest dich richtig verstanden zu haben.
Gruss u. gutes Gelingen
Hallo,
da muss ich zustimmen, so richtig verstehe ich es auch nicht! Aber gut!
So wie ich das verstanden habe, stellst Du eine Verbindung her, mit einem Rechner, auf dem ein VPN - Server läuft. Dieser ist mit Access - Point verbunden und dient als Router in die große Wolke? Hast Du auch das IP - Forwarding angeschaltet?
Da musst Du natürlich entsprechend auch den VPN - Server als Standardgateway eintragen in der VPN - Verbindung. Mit Proxy hat das eigentlich wenig zu tun. Ich vermute mal, dass es am routing liegt.
Es gibt viele Firewalls die das können. Aber sieh Dir mal IP - Cop an. Brauchst zwar einen extra Rechner aber ich denke, dass ist das was Du willst.
Dann vergess auch mal am besten die Sache mit VPN. Dazu ist es nämlich nicht gedacht und verringert auch die Bandbreite. Gescheit mit WPA verschlüsselt, SSID ausgeschaltet und dem AP sagen, dass er nur bestimmte MAC - Adressen akzeptieren darf. Dann ist gut!
gruß
Dominik
da muss ich zustimmen, so richtig verstehe ich es auch nicht! Aber gut!
So wie ich das verstanden habe, stellst Du eine Verbindung her, mit einem Rechner, auf dem ein VPN - Server läuft. Dieser ist mit Access - Point verbunden und dient als Router in die große Wolke? Hast Du auch das IP - Forwarding angeschaltet?
Da musst Du natürlich entsprechend auch den VPN - Server als Standardgateway eintragen in der VPN - Verbindung. Mit Proxy hat das eigentlich wenig zu tun. Ich vermute mal, dass es am routing liegt.
Es gibt viele Firewalls die das können. Aber sieh Dir mal IP - Cop an. Brauchst zwar einen extra Rechner aber ich denke, dass ist das was Du willst.
Dann vergess auch mal am besten die Sache mit VPN. Dazu ist es nämlich nicht gedacht und verringert auch die Bandbreite. Gescheit mit WPA verschlüsselt, SSID ausgeschaltet und dem AP sagen, dass er nur bestimmte MAC - Adressen akzeptieren darf. Dann ist gut!
gruß
Dominik
Hast du Routing auf dem XP Rechner per Registry eingeschaltet ??? Sonst geht es nicht !
Hier:
Routing mit 2 Netzwerkkarten
steht was du machen musst mit so einem Szenario....
Ob ein zusätzliches VPN sinnvoll ist sei mal dahingestellt. WPA2 mit PSK gilt als sehr sehr sicher. Bis heute sind keine Kompromitierungen des Protokolls bekannt.
Durch den zusätzlichen VPN Overhead drückst du die Netto Datenrate auf dem WLAN Link noch weiter. Realistisch kannst du da dann mit ca. 5 Mbit/s rechnen. Wenn du mehr WLAN Clients aktiv hast wird diese Datenrate im Durchschnitt noch weiter sinken !
Ob das wirklich Sinn macht solltest du dich mal in einer stillen Stunde fragen....
Hier:
Routing mit 2 Netzwerkkarten
steht was du machen musst mit so einem Szenario....
Ob ein zusätzliches VPN sinnvoll ist sei mal dahingestellt. WPA2 mit PSK gilt als sehr sehr sicher. Bis heute sind keine Kompromitierungen des Protokolls bekannt.
Durch den zusätzlichen VPN Overhead drückst du die Netto Datenrate auf dem WLAN Link noch weiter. Realistisch kannst du da dann mit ca. 5 Mbit/s rechnen. Wenn du mehr WLAN Clients aktiv hast wird diese Datenrate im Durchschnitt noch weiter sinken !
Ob das wirklich Sinn macht solltest du dich mal in einer stillen Stunde fragen....
sorry, aber auch ich kann diese "Topologie" nicht ganz nachvollziehen
... also wo das der tiefere Sinn liegt.
normalerweise wird so wie Du es beschreibst ein Rechner mit 2 NICs als Router ( eventuell mit Proxy)
eingesetzt. Aber ich nehme mal an das Dein AP auch gleichzeitig ein Router ist und wenn Du über
diesen per WLAN direkt ins Internet gehst umgehst Du ja quasi auch schon Deinen Server ...der ja wahrscheinlich
als Router diesen sollte.
DEnnoch solltest Du diesen Server auch in der konfiguration erreichen können da er ja auch in diesem Netzwerk
präsent ist.
Wenn du mit anderen REchnern über den Router ins www willst dann musst Du mind. auf diesen Rechner als Standardgateway die IP servers im LAN eintragen (Karte 1 ) und auch dem Server als Standardgateway die IP
deiner AP bzw. Routers der mit dem www verbunden ist ( DNS Konfig auch nicht vergessen)
MfG
Moe
... also wo das der tiefere Sinn liegt.
normalerweise wird so wie Du es beschreibst ein Rechner mit 2 NICs als Router ( eventuell mit Proxy)
eingesetzt. Aber ich nehme mal an das Dein AP auch gleichzeitig ein Router ist und wenn Du über
diesen per WLAN direkt ins Internet gehst umgehst Du ja quasi auch schon Deinen Server ...der ja wahrscheinlich
als Router diesen sollte.
DEnnoch solltest Du diesen Server auch in der konfiguration erreichen können da er ja auch in diesem Netzwerk
präsent ist.
Wenn du mit anderen REchnern über den Router ins www willst dann musst Du mind. auf diesen Rechner als Standardgateway die IP servers im LAN eintragen (Karte 1 ) und auch dem Server als Standardgateway die IP
deiner AP bzw. Routers der mit dem www verbunden ist ( DNS Konfig auch nicht vergessen)
MfG
Moe
Der Vorteil ist das er LAN und WLAN getrennt hat. Clients aus dem WLAN ist es dann bei entsprechender Konfig nicht so leicht möglich auf Rechner im LAN zuzugreifen oder diese zu attackieren. Wenn der AP auch gleichzeitig Internet Router ist hat er somit auch das Internet Segment zum LAN abgetrennt und könnte auf dem Server einen Proxy fürs LAN laufen lassen. In dieser Hinsicht ist das schon ein gängiges und sinnvolles Design....
den ansatz kann ich schon irgenwie nachvoll ziehen
Aber er will ja AUCH mit den WLAN Clients auf das LAN zugreifen und kann dieses deshalb nicht wirklich
sicher abschotten.
Selbst wenn er einen Proxy auf dem Server installiert könnte er damit nicht die WLAN Clients über den Proxy schicken diese würden nach wie vor direkt via Gateway ins www gehen ...
Sinn machen würde es m.E. nur wenn er wirklich eine strikte Trennung zwischen WLAN und LAN vornimmt und mit den WLAN Clients nicht auf das LAN zugreifen würde aber wie gesagt ...genau das will er ja !
MfG
Moe
Aber er will ja AUCH mit den WLAN Clients auf das LAN zugreifen und kann dieses deshalb nicht wirklich
sicher abschotten.
Selbst wenn er einen Proxy auf dem Server installiert könnte er damit nicht die WLAN Clients über den Proxy schicken diese würden nach wie vor direkt via Gateway ins www gehen ...
Sinn machen würde es m.E. nur wenn er wirklich eine strikte Trennung zwischen WLAN und LAN vornimmt und mit den WLAN Clients nicht auf das LAN zugreifen würde aber wie gesagt ...genau das will er ja !
MfG
Moe
Beim XP Rechner kannst ja ganz einfach ICS aktivieren, und den AP an der zweiten Netzkarte anschliessen. Da wird IP-Forwarding automatisch aktiviert.
WPA reicht doch dicke aus - wozu noch mit VPN rumfummeln. Ich kapier es nicht welchen Sinn das machen soll.
Weshalb den AP nicht einfach an nen Swich hängen im LAN, WPA mit langem key, und der Käse ist gegessen? Das knackt doch kein mensch! Vor allem nicht in deiner nachbarschaft - er muss schliesslich in Funkreichweite sein.
Es geht schliesslich um ein privates Netz, wo man bissi WLAN möchte um auch auf dem Sofa oder im Garten auf Internet und paar Files zuzugreifen. Ich würde das nicht überdimensionieren, zumal dann der XP Rechner ja auch noch ständig laufen muss, obwohl man nur mit dem Notebook bissi surfen will um mails zu lesen etc.
WPA reicht doch dicke aus - wozu noch mit VPN rumfummeln. Ich kapier es nicht welchen Sinn das machen soll.
Weshalb den AP nicht einfach an nen Swich hängen im LAN, WPA mit langem key, und der Käse ist gegessen? Das knackt doch kein mensch! Vor allem nicht in deiner nachbarschaft - er muss schliesslich in Funkreichweite sein.
Es geht schliesslich um ein privates Netz, wo man bissi WLAN möchte um auch auf dem Sofa oder im Garten auf Internet und paar Files zuzugreifen. Ich würde das nicht überdimensionieren, zumal dann der XP Rechner ja auch noch ständig laufen muss, obwohl man nur mit dem Notebook bissi surfen will um mails zu lesen etc.
So wie Du es jetzt beschreibst macht das ganze schon wesentlich mehr sinn !
Allerdings brauchst Du in Deinem Router dann 3 NICs (oder einen zusätzlichen Router )
denn Dein Server muss sich ja dann gleichzeitig in 3 Netzen befinden um entsprechend vermitteln zu können.
1. Internet
2. LANSegment
3. WLANSegment
Preiswertere und flexiblere Variante wäre sicherlich die mit den 3 NICs aber dennoch würde ich Dir zu einem Router raten (den Du vielleicht ja sogar schon hast). Den Router konfigurierst Du so das er nur Verbindungen
von der IP / MAC-Adress Deines Servers annimmt, damit stellst Du sicher das auch die Rechner im LAN brav über den Proxy gehen müssen. Und konfigurierst Du Deinen Proxy auf dem Server so das er auf beiden Netzwerksegmenten lauscht (LANSegmanet und WLANSegment).
Zusätzlich solltest Du dann alle Ports auf der Firewall mind. für das WLANSegment schliessen ausgenommen der Port für den Proxy.. eventuell musst Du natürlich für den geplanten Gameserver dann nachträglich noch bestimmte Ports öffnen.
Bei der Variante mit den 3 NICs würde Dein Server dann noch den Router ersetzen.
Welche Variante für Dich die beste ist musst Du natürlich selbst entscheiden.
Viel Erfolg !
Moe
Allerdings brauchst Du in Deinem Router dann 3 NICs (oder einen zusätzlichen Router )
denn Dein Server muss sich ja dann gleichzeitig in 3 Netzen befinden um entsprechend vermitteln zu können.
1. Internet
2. LANSegment
3. WLANSegment
Preiswertere und flexiblere Variante wäre sicherlich die mit den 3 NICs aber dennoch würde ich Dir zu einem Router raten (den Du vielleicht ja sogar schon hast). Den Router konfigurierst Du so das er nur Verbindungen
von der IP / MAC-Adress Deines Servers annimmt, damit stellst Du sicher das auch die Rechner im LAN brav über den Proxy gehen müssen. Und konfigurierst Du Deinen Proxy auf dem Server so das er auf beiden Netzwerksegmenten lauscht (LANSegmanet und WLANSegment).
Zusätzlich solltest Du dann alle Ports auf der Firewall mind. für das WLANSegment schliessen ausgenommen der Port für den Proxy.. eventuell musst Du natürlich für den geplanten Gameserver dann nachträglich noch bestimmte Ports öffnen.
Bei der Variante mit den 3 NICs würde Dein Server dann noch den Router ersetzen.
Welche Variante für Dich die beste ist musst Du natürlich selbst entscheiden.
Viel Erfolg !
Moe
[img] http://img257.imageshack.us/img257/7085/wlanlaninternetvz0.png [/img]
Da dein WLAN AP kein Router ist, muesste der XP Rechner die Routingfunktion übernehmen, wenn Du unbedingt getrennte Netze für WLAN und LAN haben willst. Da der XP Rechner selber aber im LAN hängt, wird das garnicht so einfach. Die Pakete aus dem WLAN müssen ja auf jeden Fall durchs private LAN geleitet werden - in dieser Konstellation wirkt das recht sinnfrei.
Vielleicht kann man mit statischen Routen auf dem XP REchner deichseln, dass Pakete aus dem WLAN Netz NUR ins Internet dürfen (sowie Rückrouten). Dann ist aber eine Kommunikation von WLAN-PCs mit dem LAN erschwert.
Wiso den AP nicht ins Netz hängen und die privaten LAN Rechner mit lokalen Firewalls schützen? Des weiteren statische ARP Einträge auf den LAN PCs machen (Gateway=DSL Router MAC) so dass auch Man-in-the-Middle-Attacken ausgeschlossen sind.
VPN für deinen Einsatzzweck erscheint mir recht überdimensioniert.
Mein definitiver Vorschlag wäre demnach (gesundes Verhältnis zwischen Aufwand, Handhabbarkeit u. Sicherheitsbedarf):
-AP ins lokale Netz hängen, mit WPA absichern
-personal Firewalls auf den privaten PCs im LAN
-statische ARP Einträge auf den privaten PCs im LAN
Dann wären all Deine Erwartungen an die Lösung erfüllt, meines Erachtens.
Und der XP Rechner mit den zwei Karten müsste nicht ständig laufen, wenn mal einer ins Internet per WLAN will. Und weniger Fehlerquellen durch Einfachheit erhöhen bekanntlich die Verfügbarkeit (ausser du verbringst gerne deine Zeit mit Fehlersuche - dann würd ich freilich die Sache noch deutlich komplizierter machen, damit man ja davon ausgehen kann oft genug Probleme zu haben )
Da dein WLAN AP kein Router ist, muesste der XP Rechner die Routingfunktion übernehmen, wenn Du unbedingt getrennte Netze für WLAN und LAN haben willst. Da der XP Rechner selber aber im LAN hängt, wird das garnicht so einfach. Die Pakete aus dem WLAN müssen ja auf jeden Fall durchs private LAN geleitet werden - in dieser Konstellation wirkt das recht sinnfrei.
Vielleicht kann man mit statischen Routen auf dem XP REchner deichseln, dass Pakete aus dem WLAN Netz NUR ins Internet dürfen (sowie Rückrouten). Dann ist aber eine Kommunikation von WLAN-PCs mit dem LAN erschwert.
Wiso den AP nicht ins Netz hängen und die privaten LAN Rechner mit lokalen Firewalls schützen? Des weiteren statische ARP Einträge auf den LAN PCs machen (Gateway=DSL Router MAC) so dass auch Man-in-the-Middle-Attacken ausgeschlossen sind.
VPN für deinen Einsatzzweck erscheint mir recht überdimensioniert.
Mein definitiver Vorschlag wäre demnach (gesundes Verhältnis zwischen Aufwand, Handhabbarkeit u. Sicherheitsbedarf):
-AP ins lokale Netz hängen, mit WPA absichern
-personal Firewalls auf den privaten PCs im LAN
-statische ARP Einträge auf den privaten PCs im LAN
Dann wären all Deine Erwartungen an die Lösung erfüllt, meines Erachtens.
Und der XP Rechner mit den zwei Karten müsste nicht ständig laufen, wenn mal einer ins Internet per WLAN will. Und weniger Fehlerquellen durch Einfachheit erhöhen bekanntlich die Verfügbarkeit (ausser du verbringst gerne deine Zeit mit Fehlersuche - dann würd ich freilich die Sache noch deutlich komplizierter machen, damit man ja davon ausgehen kann oft genug Probleme zu haben )
Hehe - quasi durch die Brust ins Auge!
Soll jetzt jeder deiner Kumpel, der aufs LAN zugreifen dürfen soll, nen VPN Client starten müssen?
Muss nun jeder deiner Kumpel, der einfach nur ins Internet will über dein WLAN, deinen WPA KEY UND noch deinen Proxy in seinem Browser einstellen? Du tunnelst VPN noch mal in WPA. Da kannst dich ja jedesmal wenn mal einer zu Besuch kommt erstmal auf ne halbstündige Client-Configurations Session einstellen.
Und der XP Rechner muss immer laufen und Strom fressen, obwohl man meist nur bissi WLAN braucht.
Vielleicht ist die Lösung auch Geschmackssache - ich liebe halt das einfache, das den Zweck erfüllt und vermeide das komplizierte, das Arbeit macht, fehleranfällig ist und auch den Zweck erfüllt.
Als Firewall soll Sygate oder Kerio ok sein und kosten nix.
Doch jetzt genug davon - ich gugg gleich Boxen.
Soll jetzt jeder deiner Kumpel, der aufs LAN zugreifen dürfen soll, nen VPN Client starten müssen?
Muss nun jeder deiner Kumpel, der einfach nur ins Internet will über dein WLAN, deinen WPA KEY UND noch deinen Proxy in seinem Browser einstellen? Du tunnelst VPN noch mal in WPA. Da kannst dich ja jedesmal wenn mal einer zu Besuch kommt erstmal auf ne halbstündige Client-Configurations Session einstellen.
Und der XP Rechner muss immer laufen und Strom fressen, obwohl man meist nur bissi WLAN braucht.
Vielleicht ist die Lösung auch Geschmackssache - ich liebe halt das einfache, das den Zweck erfüllt und vermeide das komplizierte, das Arbeit macht, fehleranfällig ist und auch den Zweck erfüllt.
Als Firewall soll Sygate oder Kerio ok sein und kosten nix.
Doch jetzt genug davon - ich gugg gleich Boxen.
Ist kein Problem!
Macht halt Spass, Lösungen zu entwerfen, man lernt immer wieder was dazu, und rostet nicht ein. Dabei kann halt nur mit den Infos gearbeitet werden, die verfügbar sind. Für jedes Problem gibts dann wiederum zig Lösungsmöglichkeiten, die auch oft Geschmackssache sind.
Gott, der Boxkampf hat ja echt sau spät angefangen. War eigentlich auf 22.40 angesetzt, und jetzt ist schon fast halb 12!
Macht halt Spass, Lösungen zu entwerfen, man lernt immer wieder was dazu, und rostet nicht ein. Dabei kann halt nur mit den Infos gearbeitet werden, die verfügbar sind. Für jedes Problem gibts dann wiederum zig Lösungsmöglichkeiten, die auch oft Geschmackssache sind.
Gott, der Boxkampf hat ja echt sau spät angefangen. War eigentlich auf 22.40 angesetzt, und jetzt ist schon fast halb 12!