VPN über RAS - Ports einschränken
Hallo,
System: Server 2003 SBS
ich habe nach einer Anleitung von Gruppenrichtlinien.de den VPN Zugriff über RAS eingerichtet. (Da der Server hinter einem Router steht ist Routing deaktiviert.) Klappt auch alles wunderbar, nur habe ich nun einige Fragen zur Sicherheit:
1. Wie kann ich einstellen, dass VPN-User NUR RDP Verbindungen aufbauen dürfen und NICHT direkt auf Dateifreigaben zugreifen können?
2. in der RAS msc gibt es den Punkt "Ports". Aktuell sind hier folgende Adapter eingetragen:
- Wan-Miniport (PPPOE) Anzahl: 1
- Wan-Miniport (PPTP) Anzahl:128
- AVM NDIS WAM Capi-Treiber Anzahl:2
- WAN-Miniport (L2TP) Anzahl:128
- Parallelanschluss (direkt) Anzahl: 1
Ich nutze VPN über PPTP.
Kann ich hier alle anderen Geräte deaktivieren und die Anzahl auf 0 setzen?
Kann ich die Ports von PPTP verringern? => Was bedeutet die Anzahl genau?
vielen Dank im voraus.
System: Server 2003 SBS
ich habe nach einer Anleitung von Gruppenrichtlinien.de den VPN Zugriff über RAS eingerichtet. (Da der Server hinter einem Router steht ist Routing deaktiviert.) Klappt auch alles wunderbar, nur habe ich nun einige Fragen zur Sicherheit:
1. Wie kann ich einstellen, dass VPN-User NUR RDP Verbindungen aufbauen dürfen und NICHT direkt auf Dateifreigaben zugreifen können?
2. in der RAS msc gibt es den Punkt "Ports". Aktuell sind hier folgende Adapter eingetragen:
- Wan-Miniport (PPPOE) Anzahl: 1
- Wan-Miniport (PPTP) Anzahl:128
- AVM NDIS WAM Capi-Treiber Anzahl:2
- WAN-Miniport (L2TP) Anzahl:128
- Parallelanschluss (direkt) Anzahl: 1
Ich nutze VPN über PPTP.
Kann ich hier alle anderen Geräte deaktivieren und die Anzahl auf 0 setzen?
Kann ich die Ports von PPTP verringern? => Was bedeutet die Anzahl genau?
vielen Dank im voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91619
Url: https://administrator.de/contentid/91619
Ausgedruckt am: 05.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Routing zu deaktivieren ist unsinnig und auch fahrlässig in Bezug auf Sicherheit. Damit machst du deinen Router zum dummen Modem und exponierst den Windows Server direkt ins Internet zum freien Angriff.
Sowas ist höchst töricht aus Sicherheitssicht und zeugt meist von erheblichen Unwissen im Umgang mit VPN Protokollen !
Du solltest besser den Router als Router weiterlaufen lassen mit seiner NAT Firewall und bei PPTP nur die beiden Ports
TCP 1723
und das
GRE Protokoll mit der Protokollnummer 47
(Letzteres geschieht meist automatisch wenn der Router das Feature VPN Passthrough supportet !)
...auf dem Router in die Port Weiterleitungsliste auf die lokale- und statische IP des VPN Servers eintragen. Damit gelangen dann VPN Packete problemlos über den Router an den Server und zugleich hast du ein sicheres Szenario was du nun in deiner Konstellation nicht mehr hast.
Noch besser ist es du würdest einen VPN fähigen Router wie z.B. die von Draytek verwenden, denn dann kannst du dir die Frickelei mit dem Server gleich sparen.
Von den erheblichen Stromkosten die man verschwendet bei Einsatz eines kompletten Servers mal ganz abgesehen...
Sowas ist höchst töricht aus Sicherheitssicht und zeugt meist von erheblichen Unwissen im Umgang mit VPN Protokollen !
Du solltest besser den Router als Router weiterlaufen lassen mit seiner NAT Firewall und bei PPTP nur die beiden Ports
TCP 1723
und das
GRE Protokoll mit der Protokollnummer 47
(Letzteres geschieht meist automatisch wenn der Router das Feature VPN Passthrough supportet !)
...auf dem Router in die Port Weiterleitungsliste auf die lokale- und statische IP des VPN Servers eintragen. Damit gelangen dann VPN Packete problemlos über den Router an den Server und zugleich hast du ein sicheres Szenario was du nun in deiner Konstellation nicht mehr hast.
Noch besser ist es du würdest einen VPN fähigen Router wie z.B. die von Draytek verwenden, denn dann kannst du dir die Frickelei mit dem Server gleich sparen.
Von den erheblichen Stromkosten die man verschwendet bei Einsatz eines kompletten Servers mal ganz abgesehen...
Nein, dann brauchst du natürlich kein Routing..klar ! Wenn du schon die Linux Firewall hast du das macht ist das nicht nötig.
Du musst auf der Linux Firewall lediglich die Ports 1723 und unbedingt das GRE Protokoll (Nummer 47) forwarden auf die LAN IP Adresse des Servers, dann sollte das problemlos klappen !
Du musst auf der Linux Firewall lediglich die Ports 1723 und unbedingt das GRE Protokoll (Nummer 47) forwarden auf die LAN IP Adresse des Servers, dann sollte das problemlos klappen !
Was meinst du mit "Ports" Die Protokollports der PPTP Verbindung ??? Ja, die kannst (und solltest) du auf die beiden obigen Ports bzw. Protokolle einschränken aus Sicherheitsgründen !
Wenn du eine Limitierung willst oder auch was die o.a. Devices ist das wohl mehr eine Frage ser Serverkonfig denn des Netzwerkes !
Wenn du eine Limitierung willst oder auch was die o.a. Devices ist das wohl mehr eine Frage ser Serverkonfig denn des Netzwerkes !