VPN Konfiguration: Eure Erfahrung und Meinung
Hallo zusammen,
ich habe kürzlich eine Konfiguration zum Test eingerichtet, bei der ich ein VPN über einen Draytek Router betreibe, welcher sich hinter einer Fritzbox befindet.
Bevor ich diese Konfiguration in meiner Produktionsumgebung einsetze, wollte ich die Meinung der Community einholen, um sicherzustellen, dass ich keine wichtigen Sicherheitsaspekte übersehe. Vielleicht hatte jemand bereits eine vergleichbare Konfiguration und kann davon berichten.
Hier im Detail:
Aufbau VPN funktioniert damit 1A. An sich halte ich die Konfiguration auch für sicher... Bin aber leider auf dem Gebiet kein Experte...
Wollte nur Eure Meinung wissen, ob ich das so auch sicher betreiben kann oder ob ich da etwas Grundliegendes übersehe.
Vielen Dank im Voraus!
Viele Grüße und erfolgreichen Tag
Mr.Hom3r
ich habe kürzlich eine Konfiguration zum Test eingerichtet, bei der ich ein VPN über einen Draytek Router betreibe, welcher sich hinter einer Fritzbox befindet.
Bevor ich diese Konfiguration in meiner Produktionsumgebung einsetze, wollte ich die Meinung der Community einholen, um sicherzustellen, dass ich keine wichtigen Sicherheitsaspekte übersehe. Vielleicht hatte jemand bereits eine vergleichbare Konfiguration und kann davon berichten.
Hier im Detail:
- FritzBox baut Verbindung zum Internet auf | interne Firewall ist aktiv, Hosts dahinter also nicht direkt erreichbar (NAT)
- Draytek Router hängt mit WAN-Schnittstelle direkt an der Fritzbox und mit weiteren Port im Netzwerk
- Auf dem Draytek Router ist der VPN Zugang mittels WireGuard konfiguriert (mit 2FA für Verbindungsaufbau), User wird in das an Port 1 konfigurierte LAN geleitet
- Der WireGuard-Port ist in der Fritzbox als Portweiterleitung an den Router angelegt
Aufbau VPN funktioniert damit 1A. An sich halte ich die Konfiguration auch für sicher... Bin aber leider auf dem Gebiet kein Experte...
Wollte nur Eure Meinung wissen, ob ich das so auch sicher betreiben kann oder ob ich da etwas Grundliegendes übersehe.
Vielen Dank im Voraus!
Viele Grüße und erfolgreichen Tag
Mr.Hom3r
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82995185660
Url: https://administrator.de/forum/vpn-konfiguration-eure-erfahrung-und-meinung-82995185660.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
die Sicherheit ist dadurch nicht beeinträchtigt. Es wird aber auch nicht sicherer, nur komplizierter.
Die Fritte kann man nicht durch ein Modem ersetzen?
Du sprichst von "Produktiv-Betrieb": meinst du damit geschäftlichen Einsatz?
Dann solltest du über eine "richtige" Firewall nachdenken. Die Firewall-Funktion im Router ist immer eine Notlösung.
Jürgen
die Sicherheit ist dadurch nicht beeinträchtigt. Es wird aber auch nicht sicherer, nur komplizierter.
Die Fritte kann man nicht durch ein Modem ersetzen?
Du sprichst von "Produktiv-Betrieb": meinst du damit geschäftlichen Einsatz?
Dann solltest du über eine "richtige" Firewall nachdenken. Die Firewall-Funktion im Router ist immer eine Notlösung.
Jürgen
Hallo,
wird die Fritzbox evtl. für die Telefonie oder andere Telefondienste benötigt oder für WLAN (Gastnetz)?
Je nach FritzBox-Typ kann ein LAN-Port auf "Exposed Host" gesetzt werden und leitet dann allen von außen eintreffenden Internetverkehr an den LAN-Port weiter, ähnlich wie ein Modem. Am LAN-Port mit Exposed Host muss dann aber eine Firewall angeschlossen werden. Diese stellt dann auch den VPN-Server zur Verfügung. Somit braucht es keine Portweiterleitungen.
Die Fritzbox stellt Internetverbindung her, kann "Telefonieren", ein Faxgerät versorgen und WLAN (z.B. als Gastnetz) bereitstellen.
Gruß
wird die Fritzbox evtl. für die Telefonie oder andere Telefondienste benötigt oder für WLAN (Gastnetz)?
Je nach FritzBox-Typ kann ein LAN-Port auf "Exposed Host" gesetzt werden und leitet dann allen von außen eintreffenden Internetverkehr an den LAN-Port weiter, ähnlich wie ein Modem. Am LAN-Port mit Exposed Host muss dann aber eine Firewall angeschlossen werden. Diese stellt dann auch den VPN-Server zur Verfügung. Somit braucht es keine Portweiterleitungen.
Die Fritzbox stellt Internetverbindung her, kann "Telefonieren", ein Faxgerät versorgen und WLAN (z.B. als Gastnetz) bereitstellen.
Gruß
Hallo,
1. In welchen der drei Modi ist es noch möglich die Telefonie auf der 6490 zu nutzen?
2. In welchen der drei Modi kann man vom Draytek Router noch auf die 6490 zugreifen, z.B. auf die Weboberfläche?
3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.
Danke
Smodo
1. In welchen der drei Modi ist es noch möglich die Telefonie auf der 6490 zu nutzen?
- Bridegemode
- Portforwarding
- Exposed Host
2. In welchen der drei Modi kann man vom Draytek Router noch auf die 6490 zugreifen, z.B. auf die Weboberfläche?
3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.
Danke
Smodo
Moin,
das ist ja dann ja doch etwas anderes.
Wenn ich das richtig verstehe, wird das LAN ohne den Draytek betrieben. Dieser wird nur ab und zu für VPN angeschaltet. Das würde bedeuten, direkt hinter der Fritz!Box ist schon das LAN, also offenbar an deren Wifi- und LAN-Ports. Das an sich wäre ja ok, aber dann VPN auf einem dahinter liegenden Gerät, also nicht VPN außen am Netzwerkrand, sonfern auf einem internen Gerät (hier ist Draytek dann genauso ein Client, wie die parallelen sonstigen Clients im LAN) ist eben keine empfohlene Vorgehensweise.
best practice: VPN auf die außen liegende Firewall, hier, wenn ich das Szenario richtig verstehe, auf die Fritz!Box (die kann ja auch Wireguard). Und Draytek ist dann überflüssig. Oder natürlich umgekehrt: Draytek statt Fritz!Box, die dann entfällt.
Gruß
DivideByZero
das ist ja dann ja doch etwas anderes.
Wenn ich das richtig verstehe, wird das LAN ohne den Draytek betrieben. Dieser wird nur ab und zu für VPN angeschaltet. Das würde bedeuten, direkt hinter der Fritz!Box ist schon das LAN, also offenbar an deren Wifi- und LAN-Ports. Das an sich wäre ja ok, aber dann VPN auf einem dahinter liegenden Gerät, also nicht VPN außen am Netzwerkrand, sonfern auf einem internen Gerät (hier ist Draytek dann genauso ein Client, wie die parallelen sonstigen Clients im LAN) ist eben keine empfohlene Vorgehensweise.
best practice: VPN auf die außen liegende Firewall, hier, wenn ich das Szenario richtig verstehe, auf die Fritz!Box (die kann ja auch Wireguard). Und Draytek ist dann überflüssig. Oder natürlich umgekehrt: Draytek statt Fritz!Box, die dann entfällt.
Gruß
DivideByZero
Zum Problem an sich hat @aqui schon oft ausgeführt, z.B. [VPN-Verbindung : Best Practice hier].
Hier wäre es dann in Ordnung, wenn es eine echte Router-Kaskade ist, also die Fritz!Box stumpf den Traffic an den Draytek weiterleitet, und nur und ausnahmslos hinter diesem sind LAN-Geräte. Nicht aber parallel im Transfernetz der Fritz!Box. Mit einer solchen Kaskade wäre im Grunde das Periphiere-Gerät für das LAN dann der Draytek.
Ob man dann auf der Fritz!Box einen exposed host nimmt (spart einzelne Portweiterleitungen), oder nur einzelne Ports weiterleitet, ist egal, solange die Firewall des Draytek vernünftig konfiguriert ist.
Gruß
DivideByZero
Hier wäre es dann in Ordnung, wenn es eine echte Router-Kaskade ist, also die Fritz!Box stumpf den Traffic an den Draytek weiterleitet, und nur und ausnahmslos hinter diesem sind LAN-Geräte. Nicht aber parallel im Transfernetz der Fritz!Box. Mit einer solchen Kaskade wäre im Grunde das Periphiere-Gerät für das LAN dann der Draytek.
Ob man dann auf der Fritz!Box einen exposed host nimmt (spart einzelne Portweiterleitungen), oder nur einzelne Ports weiterleitet, ist egal, solange die Firewall des Draytek vernünftig konfiguriert ist.
Gruß
DivideByZero
Zitat von @smodohadl:
3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.
3. Welcher Modus ist sicherheitstechnisch am besten, wenn man noch die Telefonie benötigt.
Sieht ja so aus, als seist Du auch betroffen.
Will man die Fritz!Box nur für die Telefonie nehmen und hat, wie hier, zwei Router, dann so:
Internet -- Draytek (als einziger Router mit Firewall vor dem LAN) -- LAN.
Teil des LANs (also als Client hinter dem Draytek) dann die Fritz!Box, die nur Telefonie macht, sonst nichts, an der eben dann auch nichts "dahinter" angeschlossen ist (rein praktisch: nichts einstecken in die LAN Ports, mit Ausnahme von der Verbindung Draytek -- Fritz!Box).
Gruß
DivideByZero
Das Problem ist, die 6490 muss als erstes am Internet sein, da sie der Kabelrouter ist. Die 6490 kann leider kein Wireguard, von daher wäre meine Idee gewesen hinter die 6490 einen Wireguardrouter zu stzen.
Gruß
Smodo
- Was wäre aus deiner Sicht hier die beste und sicherste Lösung?
- Kann denn ein Angreiber bei dem Portforward Port überhaupt in das LAN, das zwischen der 6490 und dem Drytec liegt?
Gruß
Smodo
Moin Smodo,
Wer im Drayteknetz ist, kann technisch auch das vorgelagerte Netz = Fritz!Box-Netz erreichen. Wenn der Draytek kein NAT macht (also dahinter nicht erst das LAN beginnt), sondern im Fritz!Box-Netz Client ist und dort über VPN rein lässt, dann ist sowieso vollwertiger Zugriff gegeben.
Kann man das zu Hause alles anders machen? Natürlich, ist eine Risikoabschätzung.
Bei Kabel@Home mit Telefonie ist es nicht ungewöhnlich, mit 2 Fritz!Boxen zu arbeiten (nicht Draytek oder so).
Außen die vom Betreiber = 6490 = Kabelmodem. Da der Betreiber dort auch vollen Zugriff hat, nichts Persönliches drauf. Alles abschalten, auch Telefonie, alles löschen.
Dann dahinter die 2. Fritz!Box, die in der 6490 als Exposed Host freigegeben ist. Auf dieser 2. Fritz!Box, die Du alleine (ohne Provider) verwaltest, dann Telefonie, VPN, dahinter das LAN/WLAN. Dann ist das eine Routerkaskade und die Peripherie Deines Netzes ist die 2. Fritz!Box.
Die 6490 wird sozusagen als "noch zum Provider gehörig" betrachtet und damit fremd.
Schöne Ostern,
DivideByZero
Zitat von @smodohadl:
Das Problem ist, die 6490 muss als erstes am Internet sein, da sie der Kabelrouter ist. Die 6490 kann leider kein Wireguard, von daher wäre meine Idee gewesen hinter die 6490 einen Wireguardrouter zu stzen.
s.o., daran ändert sich nichts.Das Problem ist, die 6490 muss als erstes am Internet sein, da sie der Kabelrouter ist. Die 6490 kann leider kein Wireguard, von daher wäre meine Idee gewesen hinter die 6490 einen Wireguardrouter zu stzen.
- Was wäre aus deiner Sicht hier die beste und sicherste Lösung?
* Kann denn ein Angreiber bei dem Portforward Port überhaupt in das LAN, das zwischen der 6490 und dem Drytec liegt?
Wenn dort eine Sicherheitslücke vorliegt. Daher ist dies ein zusätzlicher Angriffspunkt, den man vermeiden will. Daraus resultiert: immer nur so wenig verfügbar machen, als unbedingt erforderlich. Und da ist der beste Weg: die 6490 nur als Durchgangsstation nutzen, sonst für nichts. Sicherheitstechnisch wäre es dann noch besser, eine 2. Fritz!Box oä für die Telefonie in das Lan hinter dem Draytek zu setzen.Wer im Drayteknetz ist, kann technisch auch das vorgelagerte Netz = Fritz!Box-Netz erreichen. Wenn der Draytek kein NAT macht (also dahinter nicht erst das LAN beginnt), sondern im Fritz!Box-Netz Client ist und dort über VPN rein lässt, dann ist sowieso vollwertiger Zugriff gegeben.
Kann man das zu Hause alles anders machen? Natürlich, ist eine Risikoabschätzung.
Bei Kabel@Home mit Telefonie ist es nicht ungewöhnlich, mit 2 Fritz!Boxen zu arbeiten (nicht Draytek oder so).
Außen die vom Betreiber = 6490 = Kabelmodem. Da der Betreiber dort auch vollen Zugriff hat, nichts Persönliches drauf. Alles abschalten, auch Telefonie, alles löschen.
Dann dahinter die 2. Fritz!Box, die in der 6490 als Exposed Host freigegeben ist. Auf dieser 2. Fritz!Box, die Du alleine (ohne Provider) verwaltest, dann Telefonie, VPN, dahinter das LAN/WLAN. Dann ist das eine Routerkaskade und die Peripherie Deines Netzes ist die 2. Fritz!Box.
Die 6490 wird sozusagen als "noch zum Provider gehörig" betrachtet und damit fremd.
Schöne Ostern,
DivideByZero
Danke dir für die Antwort.
kannst du mir bitte folgendes näher erklären.
- Wie kann ein Angreifer auf das Netz zwischen der 6490 und dem dahinterliegenden Router gelangen?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?
- Wo wäre die Sicherheitslücke, wenn ich bei der 6490 Portforwarding auf einen dahinterliegenden Router mache?
Gibt es einen Openwrt-Router, auf dem die Telefonie funktioniert?
Welchen Router würdest du mir empfehlen?
Danke und dir auch schöne Ostern.
Smodo
kannst du mir bitte folgendes näher erklären.
- Wie kann ein Angreifer auf das Netz zwischen der 6490 und dem dahinterliegenden Router gelangen?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?
- Wo wäre die Sicherheitslücke, wenn ich bei der 6490 Portforwarding auf einen dahinterliegenden Router mache?
Gibt es einen Openwrt-Router, auf dem die Telefonie funktioniert?
Welchen Router würdest du mir empfehlen?
Danke und dir auch schöne Ostern.
Smodo
- Wie kann ein Angreifer auf das Netz zwischen der 6490 und dem dahinterliegenden Router gelangen?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?
- Wenn ein Angreifer in den Wireguard-Tunnel kommt, dann ist es doch eh schon zu spät und es ist doch egal, ob ich als erstes das VPN-Gateway habe oder hinter der 6490 oder verstehe ich das flasch?
ja, verstehst Du falsch. Denn wenn du 2 Router nacheinander hast, und der hintere ist der Server, dann kommt bis dahin ungeschützter, fremder Datenverkehr. Erst der hintere Router entscheidet ja, ob die ankommenden Pakete zu Wireguard passen und einen autorisierten Tunnel ergeben. Der Datenstrom bis zu dieser Pforte kann böse sein. Wenn dann da eine Sicherheitslücke klafft, ist dies ein potentielles Einfallstor auch ohne Wireguard-Autorisierung (= kein aufgebauter Tunnel erforderlich).
Wenn natürlich ein Angreifer erfolgreich einen Tunnel aufbauen kann, ist sowieso alles gegessen, aber das ist ja immer so.
- Wo wäre die Sicherheitslücke, wenn ich bei der 6490 Portforwarding auf einen dahinterliegenden Router mache?
selbes PrinzipGibt es einen Openwrt-Router, auf dem die Telefonie funktioniert?
Welchen Router würdest du mir empfehlen?
Muss halt eine VOIP-TK-Anlage her, die Fritz!Box ist da natürlich die am schnellsten @home konfigurierte Variante. Größere Anlagen wie 3CX oder Asterisk können natürlich mehr, sind aber komplizierter zu bedienen und benötigen in der Regel separate Hardware.Welchen Router würdest du mir empfehlen?
Für Openwrt gibt es ein Asterisk-Modul: openwrt.org/docs/guide-user/services/voip/asterisk.
Danke und dir auch schöne Ostern.
Smodo
Zitat von @MrHom3r:
Szenario ist folgendes:
Szenario ist folgendes:
- Fritzbox baut Internet-Verbindung auf und """"schützt"""" dahinterliegendes Netzwerk durch NAT
- Einzige Portweiterleitung ist für WireGuard-Port und leitet an den festen Port/IP des Draytek
- Über Draytek kann man VPN Verbindung aufbauen und ist danach im LAN
Insgesamt sollte die Konstellation also fast genauso sicher sein wie vorher. Um das Ganze zu verbessern gibt es dann natürlich noch viele Möglichkeiten, um insgesamt noch sicherer zu werden.
Wenn das bedeutet, dass die Fritz!Box auch direkten Zugang zum LAN hat, also Endgeräte an der Fritz!Box hängen (direkt oder über Switch), dann ist das nicht sicher, siehe meine Kommentare oben. Denn durch dieses "Transfernetzwerk" wird ja ungeschützter Verkehr Richtung Draytek geleitet.
Als klassische Kaskade ist das ok (an der Fritz!Box hängt nur 1 (!) Endgerät, Draytek).
Gruß
DivideByZero
Ja aber der Datenstrom kommt ja dann auch nur am Draytek an, oder? Oder kann dieser so manipuliert werden, dass bspw. ein Client/Server erreicht wird?
Vielleicht kannst du ein Beispiel nennen, welche Angriffe bei dem Szenario denkbar sind? Dann kann ich es hoffentlich besser nachvollziehen. Danke Dir!
Vielleicht kannst du ein Beispiel nennen, welche Angriffe bei dem Szenario denkbar sind? Dann kann ich es hoffentlich besser nachvollziehen. Danke Dir!
Ein Beispiel wäre für mich auch hilfreich, da ich auch nicht ganz nachvolziehen kann, wie der Angriff durch den weitergeleiteten Port stattfinden kann.