Router-Firewall und Server per VPN
Hallo,
meine Verbindung zum dienstl. Server per getunneltem VPN funktioniert nur, wenn die Router-Firewall (Speedport W701V) deaktiviert ist. Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall deaktiviert wurde? Wie kann ich die Firewall des Routers per VPN überwinden, wenn keine weiteren Einstellungen im Router möglich sind?
Grüße!
meine Verbindung zum dienstl. Server per getunneltem VPN funktioniert nur, wenn die Router-Firewall (Speedport W701V) deaktiviert ist. Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall deaktiviert wurde? Wie kann ich die Firewall des Routers per VPN überwinden, wenn keine weiteren Einstellungen im Router möglich sind?
Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98695
Url: https://administrator.de/contentid/98695
Ausgedruckt am: 05.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Na aber klar ist das nicht gerade toll wenn die ausgeschalten ist, das ist ungefähr so als ob du in den Urlaub fährst und ein Fenster oder die Haustüre offen lässt.
Eigentlich geht das nur per Portweiterleitung, soll ja der sinn sein die Firewall nicht zu überwinden.
Wenn dann musst du den Port schon einstellen an der Firewall.
Gruß
Kurt
Na aber klar ist das nicht gerade toll wenn die ausgeschalten ist, das ist ungefähr so als ob du in den Urlaub fährst und ein Fenster oder die Haustüre offen lässt.
Wie kann ich die Firewall des Routers per VPN
überwinden, wenn keine weiteren Einstellungen im Router
möglich sind?
überwinden, wenn keine weiteren Einstellungen im Router
möglich sind?
Eigentlich geht das nur per Portweiterleitung, soll ja der sinn sein die Firewall nicht zu überwinden.
Wenn dann musst du den Port schon einstellen an der Firewall.
Gruß
Kurt
Hallo ,
Ob es Bedenken gibt, die Firewall abzuschalten, steht wohl außer Frage.
Wichtig ist, daß Du wie bereits genannt das Port-Forwarding entsprechend konfigurierst.
Ich habe das auch realisiert in Verbindung mit einem Netgear Router und dem Netgear ProSafe-VPN-Client.
Außerdem werden VPN-Requests nur von meinem DYNDNS Account als Startpoint angenommen.
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und alle nicht gebrauchten Ports dicht machen.
Achja fuer RDP ebenso das Forwarding einrichten
Viel Erfolg
Gruß
Jochen
Ob es Bedenken gibt, die Firewall abzuschalten, steht wohl außer Frage.
Wichtig ist, daß Du wie bereits genannt das Port-Forwarding entsprechend konfigurierst.
Ich habe das auch realisiert in Verbindung mit einem Netgear Router und dem Netgear ProSafe-VPN-Client.
Außerdem werden VPN-Requests nur von meinem DYNDNS Account als Startpoint angenommen.
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und alle nicht gebrauchten Ports dicht machen.
Achja fuer RDP ebenso das Forwarding einrichten
Viel Erfolg
Gruß
Jochen
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und
alle nicht gebrauchten Ports dicht machen.
alle nicht gebrauchten Ports dicht machen.
Wenn du einen 701er hast sind die meist eh dicht. Also nur das was Du für VPN brauchst auf den Server forwarden:
UDP 1701 IPSec Setup
UDP 500 IKE
UDP 4500 NAT-T
Protokoll GRE für PPTP
Protokoll ESP für L2TP
TCP 1723 für PPTP
Achja fuer RDP ebenso das Forwarding einrichten
Nix da: RDP machst Du erst dann wenn der VPN Tunnel steht, dann bist Du eh Mitglied im 'lokalen' Netzwerk und kannst den RDC nutzen. RDP ist im Vergleich zu IPSEC/L2TP unsicher.
HTH
EDIT: Habe die Ports nochmal verfeinert nach aqui's Post
Die o.a. Ports stimmen nicht ganz... Leider schreibst du uns ja nicht WELCHES VPN Protokoll du benutzt so das wir mal wieder wie so oft dummerweise raten muessen
PPTP Protokoll
TCP 1723
GRE (IP Protokoll Nummer 47, Achtung: nicht TCP oder UDP 47, GRE ist ein eigenes IP Protokoll !)
IPsec im ESP Modus
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50, ESP ist ein eigenes IP Protokoll !)
L2TP benutzt ebenfalls als Tunnel IPsec. Vermutlich wird UDP 1701 nur zur Authentisierung benutzt !!
Wenn du diese Ports gemaess deines verwendeten VPN Protokolls in der SP Firewall oeffnest und auf den lokale Server IP Adresse forwardest sollte es problemlos klappen...und das mit aktivierter Firewall wie es sich gehoert !!
RDP muss man in der Tat nicht forwarden,das waere Unsinn ! Alle Verbindungen werden ja transparent im Tunnel uebertragen wie bei einer loaklen AN Verbindung ! Das ist ja genau der Sinn eines VPNs !!!
PPTP Protokoll
TCP 1723
GRE (IP Protokoll Nummer 47, Achtung: nicht TCP oder UDP 47, GRE ist ein eigenes IP Protokoll !)
IPsec im ESP Modus
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50, ESP ist ein eigenes IP Protokoll !)
L2TP benutzt ebenfalls als Tunnel IPsec. Vermutlich wird UDP 1701 nur zur Authentisierung benutzt !!
Wenn du diese Ports gemaess deines verwendeten VPN Protokolls in der SP Firewall oeffnest und auf den lokale Server IP Adresse forwardest sollte es problemlos klappen...und das mit aktivierter Firewall wie es sich gehoert !!
RDP muss man in der Tat nicht forwarden,das waere Unsinn ! Alle Verbindungen werden ja transparent im Tunnel uebertragen wie bei einer loaklen AN Verbindung ! Das ist ja genau der Sinn eines VPNs !!!
@aqui:
Es könnte einen Fall geben, wo man RDP schon forwardet: Wenn man nicht will dass der Remoteclient 'richtig' per VPN-Tunnel ins Netzwerk integriert wird, ihn sozusagen 'draussen' haben will und ihm nur einen Screen überlässt.
UDP 1701 ist eigentlich nicht Standard, aber ich hatte noch kein Glück wenn ich den nicht auch forwarde. Vermutlich hat das was mit MS zu tun.
Lt. dem hier
http://support.microsoft.com/kb/233256/en-us
kann auch noch Protokoll 51 AH nötig sein, das brauchte ich aber noch nie.
Es könnte einen Fall geben, wo man RDP schon forwardet: Wenn man nicht will dass der Remoteclient 'richtig' per VPN-Tunnel ins Netzwerk integriert wird, ihn sozusagen 'draussen' haben will und ihm nur einen Screen überlässt.
UDP 1701 ist eigentlich nicht Standard, aber ich hatte noch kein Glück wenn ich den nicht auch forwarde. Vermutlich hat das was mit MS zu tun.
Lt. dem hier
http://support.microsoft.com/kb/233256/en-us
kann auch noch Protokoll 51 AH nötig sein, das brauchte ich aber noch nie.
@sysad
Ja das stimmt, aber dann machst du kein VPN sondern forwardest TCP 3389 (RDP) direkt ohne VPN, dann hast du natuerlich Recht.
AH ist IP Protokoll 51 in Verbindung mit IPsec.
Das ist generell gar nicht ueber NAT zu uebertragen, da bei NAT die IP Adressen geaendert werden und IPsec dann sofort eine Man in the Middle Attacke vermutet und die Session abbricht.
AH kann man nur ohne NAT transportieren !!!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Ja das stimmt, aber dann machst du kein VPN sondern forwardest TCP 3389 (RDP) direkt ohne VPN, dann hast du natuerlich Recht.
AH ist IP Protokoll 51 in Verbindung mit IPsec.
Das ist generell gar nicht ueber NAT zu uebertragen, da bei NAT die IP Adressen geaendert werden und IPsec dann sofort eine Man in the Middle Attacke vermutet und die Session abbricht.
AH kann man nur ohne NAT transportieren !!!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen