mrhom3r
Goto Top

VPN Konfiguration: Eure Erfahrung und Meinung

Hallo zusammen,

ich habe kürzlich eine Konfiguration zum Test eingerichtet, bei der ich ein VPN über einen Draytek Router betreibe, welcher sich hinter einer Fritzbox befindet.

Bevor ich diese Konfiguration in meiner Produktionsumgebung einsetze, wollte ich die Meinung der Community einholen, um sicherzustellen, dass ich keine wichtigen Sicherheitsaspekte übersehe. Vielleicht hatte jemand bereits eine vergleichbare Konfiguration und kann davon berichten.

Hier im Detail:
  • FritzBox baut Verbindung zum Internet auf | interne Firewall ist aktiv, Hosts dahinter also nicht direkt erreichbar (NAT)
  • Draytek Router hängt mit WAN-Schnittstelle direkt an der Fritzbox und mit weiteren Port im Netzwerk
  • Auf dem Draytek Router ist der VPN Zugang mittels WireGuard konfiguriert (mit 2FA für Verbindungsaufbau), User wird in das an Port 1 konfigurierte LAN geleitet
  • Der WireGuard-Port ist in der Fritzbox als Portweiterleitung an den Router angelegt

Aufbau VPN funktioniert damit 1A. An sich halte ich die Konfiguration auch für sicher... Bin aber leider auf dem Gebiet kein Experte...
Wollte nur Eure Meinung wissen, ob ich das so auch sicher betreiben kann oder ob ich da etwas Grundliegendes übersehe.

Vielen Dank im Voraus!


Viele Grüße und erfolgreichen Tag
Mr.Hom3r

Content-ID: 82995185660

Url: https://administrator.de/forum/vpn-konfiguration-eure-erfahrung-und-meinung-82995185660.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

chiefteddy
chiefteddy 25.03.2024 um 09:24:08 Uhr
Goto Top
Warum die Router-Kaskade aus FritzBox und DrayTek?
Wenn Sicherheit dann Router und richtige Firewall.

Jürgen
MrHom3r
MrHom3r 25.03.2024 um 09:43:41 Uhr
Goto Top
Hallo Jürgen,

die Kaskade ist aktuell leider noch notwendig; soll aber mittelfristig abgebaut werden.
Siehst du die Sicherheit dadurch akut gefährdet, oder wäre es (bis was besseres möglich ist) ein gangbarer Weg?

Viele Grüße!
chiefteddy
chiefteddy 25.03.2024 um 10:27:23 Uhr
Goto Top
Hallo,
die Sicherheit ist dadurch nicht beeinträchtigt. Es wird aber auch nicht sicherer, nur komplizierter.

Die Fritte kann man nicht durch ein Modem ersetzen?

Du sprichst von "Produktiv-Betrieb": meinst du damit geschäftlichen Einsatz?
Dann solltest du über eine "richtige" Firewall nachdenken. Die Firewall-Funktion im Router ist immer eine Notlösung.

Jürgen
MrHom3r
MrHom3r 25.03.2024 um 10:35:33 Uhr
Goto Top
Hi,
genau mittelfristig kommt noch eine Hardware-Firewall und die Fritte wird durch den Draytek dann ersetzt.
Das beschriebene Szenario ist eher als Übergang - muss aber selbstredend auch sicher sein.
DivideByZero
DivideByZero 25.03.2024 um 21:24:39 Uhr
Goto Top
Moin,

solange die Fritz Box quasi zum dummen Gerät degradiert wird und dort keine operativen Dienste laufen, spricht nichts gegen die Kaskade.

Gruß

DividebyZero
Dilbert-MD
Dilbert-MD 26.03.2024 um 16:31:54 Uhr
Goto Top
Hallo,

wird die Fritzbox evtl. für die Telefonie oder andere Telefondienste benötigt oder für WLAN (Gastnetz)?

Je nach FritzBox-Typ kann ein LAN-Port auf "Exposed Host" gesetzt werden und leitet dann allen von außen eintreffenden Internetverkehr an den LAN-Port weiter, ähnlich wie ein Modem. Am LAN-Port mit Exposed Host muss dann aber eine Firewall angeschlossen werden. Diese stellt dann auch den VPN-Server zur Verfügung. Somit braucht es keine Portweiterleitungen.

Die Fritzbox stellt Internetverbindung her, kann "Telefonieren", ein Faxgerät versorgen und WLAN (z.B. als Gastnetz) bereitstellen.

Gruß
MrHom3r
MrHom3r 27.03.2024 um 07:32:33 Uhr
Goto Top
Hi,

danke für den Hinweis, hatte ich auch schon angedacht - aber der Router mit VPN wird aktuell nur zeitweise betrieben. Daher ist es mit der konfigurierten Portweiterleitung praktischer.

Mir ging es primär darum, dass ich keine offensichtliche Sicherheitslücke bei der aktuellen Konfiguration übersehen habe. Mittel- und Langfristig wird das dann sicher noch optimiert.

Gruß und erfolgreichen Tag!
smodohadl
smodohadl 28.03.2024 um 07:46:13 Uhr
Goto Top
Hallo,

1. In welchen der drei Modi ist es noch möglich die Telefonie auf der 6490 zu nutzen?

  • Bridegemode
  • Portforwarding
  • Exposed Host

2. In welchen der drei Modi kann man vom Draytek Router noch auf die 6490 zugreifen, z.B. auf die Weboberfläche?

3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.

Danke

Smodo
DivideByZero
DivideByZero 28.03.2024 um 16:21:33 Uhr
Goto Top
Moin,

das ist ja dann ja doch etwas anderes.

Wenn ich das richtig verstehe, wird das LAN ohne den Draytek betrieben. Dieser wird nur ab und zu für VPN angeschaltet. Das würde bedeuten, direkt hinter der Fritz!Box ist schon das LAN, also offenbar an deren Wifi- und LAN-Ports. Das an sich wäre ja ok, aber dann VPN auf einem dahinter liegenden Gerät, also nicht VPN außen am Netzwerkrand, sonfern auf einem internen Gerät (hier ist Draytek dann genauso ein Client, wie die parallelen sonstigen Clients im LAN) ist eben keine empfohlene Vorgehensweise.

best practice: VPN auf die außen liegende Firewall, hier, wenn ich das Szenario richtig verstehe, auf die Fritz!Box (die kann ja auch Wireguard). Und Draytek ist dann überflüssig. Oder natürlich umgekehrt: Draytek statt Fritz!Box, die dann entfällt.

Gruß

DivideByZero
smodohadl
smodohadl 28.03.2024 um 16:32:07 Uhr
Goto Top
Hallo,

warum wo siehst du da das Problem?

Welche Methode wäre besser?
  • Portforwarding
  • Exposed Host

Gruß

Smodo
DivideByZero
DivideByZero 28.03.2024 aktualisiert um 16:51:46 Uhr
Goto Top
Zum Problem an sich hat @aqui schon oft ausgeführt, z.B. [VPN-Verbindung : Best Practice hier].

Hier wäre es dann in Ordnung, wenn es eine echte Router-Kaskade ist, also die Fritz!Box stumpf den Traffic an den Draytek weiterleitet, und nur und ausnahmslos hinter diesem sind LAN-Geräte. Nicht aber parallel im Transfernetz der Fritz!Box. Mit einer solchen Kaskade wäre im Grunde das Periphiere-Gerät für das LAN dann der Draytek.

Ob man dann auf der Fritz!Box einen exposed host nimmt (spart einzelne Portweiterleitungen), oder nur einzelne Ports weiterleitet, ist egal, solange die Firewall des Draytek vernünftig konfiguriert ist.

Gruß

DivideByZero
DivideByZero
DivideByZero 28.03.2024 um 16:54:39 Uhr
Goto Top
Zitat von @smodohadl:
3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.

Sieht ja so aus, als seist Du auch betroffen.

Will man die Fritz!Box nur für die Telefonie nehmen und hat, wie hier, zwei Router, dann so:

Internet -- Draytek (als einziger Router mit Firewall vor dem LAN) -- LAN.
Teil des LANs (also als Client hinter dem Draytek) dann die Fritz!Box, die nur Telefonie macht, sonst nichts, an der eben dann auch nichts "dahinter" angeschlossen ist (rein praktisch: nichts einstecken in die LAN Ports, mit Ausnahme von der Verbindung Draytek -- Fritz!Box).

Gruß


DivideByZero
smodohadl
smodohadl 28.03.2024 um 17:43:37 Uhr
Goto Top
Das Problem ist, die 6490 muss als erstes am Internet sein, da sie der Kabelrouter ist. Die 6490 kann leider kein Wireguard, von daher wäre meine Idee gewesen hinter die 6490 einen Wireguardrouter zu stzen.

  • Was wäre aus deiner Sicht hier die beste und sicherste Lösung?
  • Kann denn ein Angreiber bei dem Portforward Port überhaupt in das LAN, das zwischen der 6490 und dem Drytec liegt?

Gruß

Smodo
DivideByZero
DivideByZero 31.03.2024 um 14:31:28 Uhr
Goto Top
Moin Smodo,

Zitat von @smodohadl:

Das Problem ist, die 6490 muss als erstes am Internet sein, da sie der Kabelrouter ist. Die 6490 kann leider kein Wireguard, von daher wäre meine Idee gewesen hinter die 6490 einen Wireguardrouter zu stzen.

  • Was wäre aus deiner Sicht hier die beste und sicherste Lösung?
s.o., daran ändert sich nichts.

* Kann denn ein Angreiber bei dem Portforward Port überhaupt in das LAN, das zwischen der 6490 und dem Drytec liegt?
Wenn dort eine Sicherheitslücke vorliegt. Daher ist dies ein zusätzlicher Angriffspunkt, den man vermeiden will. Daraus resultiert: immer nur so wenig verfügbar machen, als unbedingt erforderlich. Und da ist der beste Weg: die 6490 nur als Durchgangsstation nutzen, sonst für nichts. Sicherheitstechnisch wäre es dann noch besser, eine 2. Fritz!Box oä für die Telefonie in das Lan hinter dem Draytek zu setzen.

Wer im Drayteknetz ist, kann technisch auch das vorgelagerte Netz = Fritz!Box-Netz erreichen. Wenn der Draytek kein NAT macht (also dahinter nicht erst das LAN beginnt), sondern im Fritz!Box-Netz Client ist und dort über VPN rein lässt, dann ist sowieso vollwertiger Zugriff gegeben.

Kann man das zu Hause alles anders machen? Natürlich, ist eine Risikoabschätzung.

Bei Kabel@Home mit Telefonie ist es nicht ungewöhnlich, mit 2 Fritz!Boxen zu arbeiten (nicht Draytek oder so).
Außen die vom Betreiber = 6490 = Kabelmodem. Da der Betreiber dort auch vollen Zugriff hat, nichts Persönliches drauf. Alles abschalten, auch Telefonie, alles löschen.

Dann dahinter die 2. Fritz!Box, die in der 6490 als Exposed Host freigegeben ist. Auf dieser 2. Fritz!Box, die Du alleine (ohne Provider) verwaltest, dann Telefonie, VPN, dahinter das LAN/WLAN. Dann ist das eine Routerkaskade und die Peripherie Deines Netzes ist die 2. Fritz!Box.

Die 6490 wird sozusagen als "noch zum Provider gehörig" betrachtet und damit fremd.

Schöne Ostern,

DivideByZero
smodohadl
smodohadl 31.03.2024 um 20:34:41 Uhr
Goto Top
Danke dir für die Antwort.

kannst du mir bitte folgendes näher erklären.

- Wie kann ein Angreifer auf das Netz zwischen der 6490 und dem dahinterliegenden Router gelangen?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?
- Wo wäre die Sicherheitslücke, wenn ich bei der 6490 Portforwarding auf einen dahinterliegenden Router mache?

Gibt es einen Openwrt-Router, auf dem die Telefonie funktioniert?
Welchen Router würdest du mir empfehlen?

Danke und dir auch schöne Ostern.

Smodo
DivideByZero
DivideByZero 01.04.2024 um 12:03:25 Uhr
Goto Top
- Wie kann ein Angreifer auf das Netz zwischen der 6490 und dem dahinterliegenden Router gelangen?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?

ja, verstehst Du falsch. Denn wenn du 2 Router nacheinander hast, und der hintere ist der Server, dann kommt bis dahin ungeschützter, fremder Datenverkehr. Erst der hintere Router entscheidet ja, ob die ankommenden Pakete zu Wireguard passen und einen autorisierten Tunnel ergeben. Der Datenstrom bis zu dieser Pforte kann böse sein. Wenn dann da eine Sicherheitslücke klafft, ist dies ein potentielles Einfallstor auch ohne Wireguard-Autorisierung (= kein aufgebauter Tunnel erforderlich).

Wenn natürlich ein Angreifer erfolgreich einen Tunnel aufbauen kann, ist sowieso alles gegessen, aber das ist ja immer so.

- Wo wäre die Sicherheitslücke, wenn ich bei der 6490 Portforwarding auf einen dahinterliegenden Router mache?
selbes Prinzip

Gibt es einen Openwrt-Router, auf dem die Telefonie funktioniert?
Welchen Router würdest du mir empfehlen?
Muss halt eine VOIP-TK-Anlage her, die Fritz!Box ist da natürlich die am schnellsten @home konfigurierte Variante. Größere Anlagen wie 3CX oder Asterisk können natürlich mehr, sind aber komplizierter zu bedienen und benötigen in der Regel separate Hardware.

Für Openwrt gibt es ein Asterisk-Modul: openwrt.org/docs/guide-user/services/voip/asterisk.


Danke und dir auch schöne Ostern.

Smodo
smodohadl
smodohadl 01.04.2024 um 13:49:03 Uhr
Goto Top
Danke dir, soweit verstanden.

ist klar, der Weg von der 6490 bis zum VPN-Gateway ist nicht im Tunnel. Aber wie ist es möglich aus dem weitergeleiteten Port auf das dazwischenliegende Netzt zu greifen.
Wie kann ich mir das Vorstellen, wie die Lücke enteht?

Gruß

Smodo
MrHom3r
MrHom3r 04.04.2024 um 08:00:40 Uhr
Goto Top
Hallo zusammen,

jetzt muss ich doch nochmal zum Verständnis nachfragen.

Szenario ist folgendes:
  • Fritzbox baut Internet-Verbindung auf und """"schützt"""" dahinterliegendes Netzwerk durch NAT
  • Einzige Portweiterleitung ist für WireGuard-Port und leitet an den festen Port/IP des Draytek
  • Über Draytek kann man VPN Verbindung aufbauen und ist danach im LAN

Einziges Einfalltor was man so geöffnet hat, ist die Portweiterleitung.
Wenn dort aber dann Protokoll/Port nicht passen leitet die Fritte nicht weiter und man erreicht nur den Draytek.

Theoretisch hat man ggf. noch ein Problem, falls das Draytek/WireGuard angreifbar ist. Das ist halt der Preis den man für das VPN irgendwie zahlen muss... Wenn die Fritte angreifbar ist, dann hat man so und so verloren.

Insgesamt sollte die Konstellation also fast genauso sicher sein wie vorher. Um das Ganze zu verbessern gibt es dann natürlich noch viele Möglichkeiten, um insgesamt noch sicherer zu werden.

Was meint Ihr? Kann man das so zusammenfassen oder übersehe ich einen kritischen Punkt?


Danke im Voraus und viele Grüße!
DivideByZero
DivideByZero 04.04.2024 um 16:08:42 Uhr
Goto Top
Zitat von @MrHom3r:
Szenario ist folgendes:
  • Fritzbox baut Internet-Verbindung auf und """"schützt"""" dahinterliegendes Netzwerk durch NAT
  • Einzige Portweiterleitung ist für WireGuard-Port und leitet an den festen Port/IP des Draytek
  • Über Draytek kann man VPN Verbindung aufbauen und ist danach im LAN

Insgesamt sollte die Konstellation also fast genauso sicher sein wie vorher. Um das Ganze zu verbessern gibt es dann natürlich noch viele Möglichkeiten, um insgesamt noch sicherer zu werden.

Wenn das bedeutet, dass die Fritz!Box auch direkten Zugang zum LAN hat, also Endgeräte an der Fritz!Box hängen (direkt oder über Switch), dann ist das nicht sicher, siehe meine Kommentare oben. Denn durch dieses "Transfernetzwerk" wird ja ungeschützter Verkehr Richtung Draytek geleitet.

Als klassische Kaskade ist das ok (an der Fritz!Box hängt nur 1 (!) Endgerät, Draytek).

Gruß

DivideByZero
MrHom3r
MrHom3r 04.04.2024 um 16:22:43 Uhr
Goto Top
Denn durch dieses "Transfernetzwerk" wird ja ungeschützter Verkehr Richtung Draytek geleitet.

Aber die Firtzbox leitet doch die Daten nur an den Draytek und nur an den Port - oder? Dieser wird dann doch nichts machen, wenn es nicht zum WireGuard passt. Also das der dann bspw. den Verkehr an einen anderen LAN Teilnehmer sendet kann ich nicht nachvollziehen.

Der Datenstrom bis zu dieser Pforte kann böse sein.

Ja aber der Datenstrom kommt ja dann auch nur am Draytek an, oder? Oder kann dieser so manipuliert werden, dass bspw. ein Client/Server erreicht wird?

Vielleicht kannst du ein Beispiel nennen, welche Angriffe bei dem Szenario denkbar sind? Dann kann ich es hoffentlich besser nachvollziehen. Danke Dir!
smodohadl
smodohadl 04.04.2024 um 17:08:48 Uhr
Goto Top
Ja aber der Datenstrom kommt ja dann auch nur am Draytek an, oder? Oder kann dieser so manipuliert werden, dass bspw. ein Client/Server erreicht wird?

Vielleicht kannst du ein Beispiel nennen, welche Angriffe bei dem Szenario denkbar sind? Dann kann ich es hoffentlich besser nachvollziehen. Danke Dir!

Ein Beispiel wäre für mich auch hilfreich, da ich auch nicht ganz nachvolziehen kann, wie der Angriff durch den weitergeleiteten Port stattfinden kann.