sesama
Goto Top

Router-Firewall und Server per VPN

Hallo,

meine Verbindung zum dienstl. Server per getunneltem VPN funktioniert nur, wenn die Router-Firewall (Speedport W701V) deaktiviert ist. Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall deaktiviert wurde? Wie kann ich die Firewall des Routers per VPN überwinden, wenn keine weiteren Einstellungen im Router möglich sind?

Grüße!

Content-ID: 98695

Url: https://administrator.de/contentid/98695

Ausgedruckt am: 05.11.2024 um 10:11 Uhr

chris15
chris15 07.10.2008 um 19:31:35 Uhr
Goto Top
Hallo,

Zitat von @sesama:
Frage: Gibts da Sicherheitsbedenken, wenn die Hardwarefirewall
deaktiviert wurde?

Na aber klar ist das nicht gerade toll wenn die ausgeschalten ist, das ist ungefähr so als ob du in den Urlaub fährst und ein Fenster oder die Haustüre offen lässt.

Wie kann ich die Firewall des Routers per VPN
überwinden, wenn keine weiteren Einstellungen im Router
möglich sind?

Eigentlich geht das nur per Portweiterleitung, soll ja der sinn sein die Firewall nicht zu überwinden.

Wenn dann musst du den Port schon einstellen an der Firewall.

Gruß

Kurt
Dolphinsfriend
Dolphinsfriend 07.10.2008 um 22:22:54 Uhr
Goto Top
Hallo ,

Ob es Bedenken gibt, die Firewall abzuschalten, steht wohl außer Frage.
Wichtig ist, daß Du wie bereits genannt das Port-Forwarding entsprechend konfigurierst.
Ich habe das auch realisiert in Verbindung mit einem Netgear Router und dem Netgear ProSafe-VPN-Client.

Außerdem werden VPN-Requests nur von meinem DYNDNS Account als Startpoint angenommen.

Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und alle nicht gebrauchten Ports dicht machen.

Achja fuer RDP ebenso das Forwarding einrichten face-smile

Viel Erfolg

Gruß

Jochen
sysad
sysad 07.10.2008 um 22:40:02 Uhr
Goto Top
Dann ggf. Rules / Forwardings für die IKE / IPSec definieren und
alle nicht gebrauchten Ports dicht machen.

Wenn du einen 701er hast sind die meist eh dicht. Also nur das was Du für VPN brauchst auf den Server forwarden:

UDP 1701 IPSec Setup
UDP 500 IKE
UDP 4500 NAT-T
Protokoll GRE für PPTP
Protokoll ESP für L2TP
TCP 1723 für PPTP


Achja fuer RDP ebenso das Forwarding einrichten face-smile

Nix da: RDP machst Du erst dann wenn der VPN Tunnel steht, dann bist Du eh Mitglied im 'lokalen' Netzwerk und kannst den RDC nutzen. RDP ist im Vergleich zu IPSEC/L2TP unsicher.

HTH

EDIT: Habe die Ports nochmal verfeinert nach aqui's Post
aqui
aqui 08.10.2008 um 00:38:23 Uhr
Goto Top
Die o.a. Ports stimmen nicht ganz... Leider schreibst du uns ja nicht WELCHES VPN Protokoll du benutzt so das wir mal wieder wie so oft dummerweise raten muessen face-sad

PPTP Protokoll
TCP 1723
GRE (IP Protokoll Nummer 47, Achtung: nicht TCP oder UDP 47, GRE ist ein eigenes IP Protokoll !)

IPsec im ESP Modus
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50, ESP ist ein eigenes IP Protokoll !)

L2TP benutzt ebenfalls als Tunnel IPsec. Vermutlich wird UDP 1701 nur zur Authentisierung benutzt !!

Wenn du diese Ports gemaess deines verwendeten VPN Protokolls in der SP Firewall oeffnest und auf den lokale Server IP Adresse forwardest sollte es problemlos klappen...und das mit aktivierter Firewall wie es sich gehoert !!

RDP muss man in der Tat nicht forwarden,das waere Unsinn ! Alle Verbindungen werden ja transparent im Tunnel uebertragen wie bei einer loaklen AN Verbindung ! Das ist ja genau der Sinn eines VPNs !!!
sysad
sysad 08.10.2008 um 13:21:35 Uhr
Goto Top
@aqui:

Es könnte einen Fall geben, wo man RDP schon forwardet: Wenn man nicht will dass der Remoteclient 'richtig' per VPN-Tunnel ins Netzwerk integriert wird, ihn sozusagen 'draussen' haben will und ihm nur einen Screen überlässt.

UDP 1701 ist eigentlich nicht Standard, aber ich hatte noch kein Glück wenn ich den nicht auch forwarde. Vermutlich hat das was mit MS zu tun.

Lt. dem hier

http://support.microsoft.com/kb/233256/en-us

kann auch noch Protokoll 51 AH nötig sein, das brauchte ich aber noch nie.
sesama
sesama 08.10.2008 um 20:15:57 Uhr
Goto Top
Vielen Dank - werd' mich gleich drüber machen!

Grüße!
aqui
aqui 08.10.2008, aktualisiert am 18.10.2012 um 18:36:21 Uhr
Goto Top
@sysad
Ja das stimmt, aber dann machst du kein VPN sondern forwardest TCP 3389 (RDP) direkt ohne VPN, dann hast du natuerlich Recht.

AH ist IP Protokoll 51 in Verbindung mit IPsec.
Das ist generell gar nicht ueber NAT zu uebertragen, da bei NAT die IP Adressen geaendert werden und IPsec dann sofort eine Man in the Middle Attacke vermutet und die Session abbricht.
AH kann man nur ohne NAT transportieren !!!

IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen