89725
20.05.2010, aktualisiert am 18.10.2012
31968
6
1
VPN - Ipsec und der UDP Port 500
Es geht um einen Lancom 800+
Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?
Danke für eine aufklärende und lösungsorientierte Antwort
Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.
Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?
Hallo, ich habe einen Lancom 800+ und möchte via IPSEC von außen auf mein kleines Firmennetzwerk zugreifen.
Jetzt stellt sich mir die Frage, wie ich an jedem Internetanschluss der Welt darauf zugreifen soll, wenn die VPN-spezifischen Ports nicht standardmäßig frei sind?
IPSEC over TCP wird ja nicht vom Lancom unterstützt, Port 80 daher nicht nutzbar für die VPN.
Außerdem bereitet mir die Info, dass der UDP Port 500 für die Verbindung benutzt wird - ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?
Danke für eine aufklärende und lösungsorientierte Antwort
Aus dem Guide:
Bei Einsatz von IPSEC-over-TCP braucht man nur Port TCP10.000. Dabei werden IKE als auch ESP in TCP gekapselt, und über diesen einen Port TCP10.000 geleitet. Geheim-TIP: Man kann den Port am VPN Server auch von TCP10.000 aúf einen anderen ändern (z. B. TCP80), so dass ein IPSEC Tunnel auch von Lokationen aus aufgebaut werden kann, die nur wenige Ports geöffnet haben - z. B. in WLAN Hotspots. Dies funktioniert aber nur, wenn zwischen den VPN Endpunkten keine Firewall auf Applikationsebene die Art des TCP Verkehrs filtert und z. B. "Nicht-HTTP-Traffic" erkennt und verwirft.
Wie weit sind Firewalls bei Speedport, Fritzbox und co verbreitet, die Nicht http traffic konsequent erwürgen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143215
Url: https://administrator.de/forum/vpn-ipsec-und-der-udp-port-500-143215.html
Ausgedruckt am: 07.04.2025 um 00:04 Uhr
6 Kommentare
Neuester Kommentar
Du solltest dir erstmal über den IPsec Protokollaufbau im klaren werden bevor du mit falschen Schlussfolgerungen zum Thema UDP hier rumschwadronierst und andere Forumsuser verwirrst !!
Also lesen....:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Also lesen....:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dann beantworten sich alle deine Fragen wie von selbst...!!!
Nur so viel: UDP wird natürlich niemals für die Verbindung benutzt, das ist Unsinn sondern das ESP Protokoll...sofern du IPsec ESP machst und nicht AH !!
Entschuldige, wenn ich hier jemanden auf den Schlips getreten bin.
Die Sichtweise bleibt:
Nachteile von IPSEC
Port von Heimrouter dicht = kein VPN
Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
Die Sichtweise bleibt:
Nachteile von IPSEC
- Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt) kommt kein IPSEC Tunnel zustande
- Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten
Port von Heimrouter dicht = kein VPN
Welche Möglichkeiten gibt es also nun?
Kann ich in meinem VPN Router nicht intern den VPN Port auf den Port 80 umbiegen? D.h. alle Anfragen an Port 80 werden via Port - Forwarding weitergeleitet?
ist UDP nicht gerade die Sicherheitslücke, die jedem Netzwerkgerät erlaubt, selbständig Ports zu öffnen und zu schließen, wie es gerade Lust hat?
Nope, was du meinst ist UPnP oder NAT-PMP.
Zitat von @89725:
* Sind die benötigten Ports nicht offen (z. B. wenn eine Firewall zwischen Client-PC und VPN-Server Port UDP 500 blockt)
kommt kein IPSEC Tunnel zustande
kommt kein IPSEC Tunnel zustande
- Recht kompliziert und nicht einfach zu konfigurieren und troubleshooten
Port von Heimrouter dicht = kein VPN
An dieser Stelle ist SSL-VPN eine sehr interessante Alternative. Allerdings weiß ich nicht, ein dein Lancom 800 dies unterstützt (eher nicht).
Ich habe jetzt herausgefunden, dass man den benötigten Port nicht einfach forwarden kann, weil viele weitere Ports mit dranhängen, ist dies korrekt?
Welche Lösung gäbe es noch?
Vielen Dank!
Welche Lösung gäbe es noch?
Vielen Dank!
@89725
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!
Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal
Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
SSL-VPNs im Enterprise Umfeld
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN für Arme - TCP in SSH tunneln mit Putty
Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !
Fast alle VPN Protokolle sind eine Kombination mehrere Einzelprotokolle. Das ist auch mehr oder weniger normal, da meist eine Session für den Schlüsselaustausch benutzt wird (hier IKE mit UDP 500) die Produktivdaten dann aber in einem verschlüsselten Tunnel übertragen werden.
In so fern trifft dich deine "bahnbrechende" Erkenntnis "Port von Heimrouter dicht = kein VPN" dann für Recht viele VPN Protokolle
Den Rest den du über IPsec geschrieben hast ist barer Unsinn, denn wenn man weiss was man macht ist das einfach zu implementieren und auch trouble zu shooten !!
Außerdem haben sich findige Köpfe Gedanken gemacht wie man es für Dummies einfach machen kann und den Standard NAT Traversal dem IPsec zugefügt. Dort kann dann auch ein DAU einfach eine IPsec verbindung realsieren ohne Ports zu öffnen oder sonstwas zu frickeln auf dem "Heimrouter":
Lies dir also das durch dann bist du schlauer:
http://en.wikipedia.org/wiki/NAT_traversal
Aller Probleme mit Port Weiterleitung entledigst du dich wenn du SSL benutzt für das VPN. Mit SSL basierten VPNs gibt es keinerlei Probleme denn das kannst du dann z.B. wie beim SSL Klassiker dem kostenlosen OpenVPN auch auf "normale" Ports umlegen. Genau deshalb wegen des einfachen Handlings ist OpenVPN auch so beliebt und weit verbreitet !!
Ferner gibt es auch Consumer Router die SSL Gateways anbieden. Dort braucht Otto Dummie User dann nur noch einen simplen Browser...mehr nicht !
Beispiele und Infos dazu findest du hier:
SSL-VPNs im Enterprise Umfeld
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN für Arme - TCP in SSH tunneln mit Putty
Also es bleibt dabei: erst schlau machen bevor man unwahre Behauptungen aufstellt !
