joru1407
Goto Top

VPN-Verbindung ohne Portfreigaben (Software)

Ich bin neu hier im Forum und beschäftige mich zusammen mit einem bekannten, der im Industriesteuerungsbereich tätig ist, mit allen möglichen Software- und Netzwerklösungen.

Hallo Leute,

ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben seitens des Servers realisieren lassen und die sich aus einem externen C# Programm heraus ansteuern lässt (API oder CMD-Version etc...).

Bisher arbeite ich mit TeamViewer und besitze dort auch eine kommerzielle Lizenz, allerdings soll ich nun eine Software schreiben, die das Herstellen der VPN-Verbindung zur Maschine des Kunden dem Benutzer möglichst einfach macht, indem sie alle erforderlichen Netzwerkrouten automatisch einträgt und anschließend den im entfernten Netzwerk gelegenen Silex USB Server über dessen CMD-Version des Treibers verbindet.

Und genau da liegt das Problem:

TeamViewer bietet neben den einfachen Startkommandos leider keine Schnitstelle oder CMD-Version an, die auch Werte zurückgeben kann. Starte ich momentan z.B. TeamViewer mit entsprechenden Startparametern aus meiner C# Anwendung heraus, wird die Verbindung von TeamViewer zwar hergestellt, allerdings erhält meine Anwendung keine Rückmeldung, ob der Verbindungsaufbau erfolgreich war und ich kenne die VPN-IP, die der TeamViewer Partner während der Sitzung hat, nicht. Diese ist aber zum Eintragen von einigen Netzwerkrouten erforderlich.

Deshalb meine Frage:

Kennt Ihr mit TeamViewer vergleichbare Lösungen, die eine entsprechende API/Schnittstelle oder eine Skript-/CMD-Version anbieten? (Wobei nur VPN erforderlich ist, keine Fernwartung o.ä.) Wichtig ist, dass das System ohne Portfreigaben im Netwzerk auskommen muss.

Über Antworten würde ich mich wirklich sehr freuen, da ich im Moment etwas ratlos bin :D

Viele Grüße,
JoRu1407

Content-ID: 196238

Url: https://administrator.de/contentid/196238

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

108012
108012 25.12.2012 um 14:03:58 Uhr
Goto Top
Hallo JoRu1407,

versuch doch einmal mit dem Entwicklerteam von ShrewSoft
Kontakt auf zu nehmen, ob da was geht.

Ansonsten lasse doch einfach WireShark mit laufen und die Verbindung in eine Datei schreiben
und hole Dir von dort die IP.

Dann kannst Du ja auch einmal versuchen via VPN nur eine Verbindung zu dem Router oder der Firewall aufzubauen und dann bist Du ja auch in dem Netz drinnen und kannst dann weiter operieren und Dich ganz normal am Server anmelden.

Gruß und schöne Feiertage
Dobby
JoRu1407
JoRu1407 25.12.2012 um 14:09:52 Uhr
Goto Top
Hallo Dobby, vielen Dank für deine schnelle Antwort!

Soweit ich das gesehen habe, dient der ShrewSoft VPN Client aber nur dem Verbinden mit einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?

Deinen vorletzten Absatz müssstest du mir noch mal genauer erklären:
Was genau meinst du mit "nur eine Verbindung zu dem Router oder der Firewall aufzubauen"?

Viele Grüße,
JoRu1407
108012
108012 25.12.2012 aktualisiert um 14:20:27 Uhr
Goto Top
Hallo JoRu1407,

Soweit ich das gesehen habe, dient der ShrewSoft VPN Client aber nur dem Verbinden mit
einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?
Wenn ich an meinem Rechner sitze und starte die VPN Software von ShrewSoft, kann ich mich mit dem Router oder der Firewall via VPN verbinden und habe Zugriff auf alle dahinter liegenden Rechner bzw. Server und kann mich dann an denen anmelden. Richtig?


Als Beispiel

Gruß
Dobby
JoRu1407
JoRu1407 25.12.2012 um 14:21:36 Uhr
Goto Top
Hallo Dobby,

genau das ist aber leider nicht möglich, weil der Router der Firma kein VPN unterstützt und ein dahinterliegender Router von außen nicht mehr erreichbar ist, wenn im ersten Router keine Portfreigaben gemacht werden.

Bei TeamViewer läuft das momentan so ab, dass ich von meinem Rechner aus eine VPN Verbindung zu einem Nano-XP-Rechner, der im Netwzerk der Firma hängt, aufbaue. Auf diesem ist dann Routing aktiviert und ich komme durch das Eintragen einer Netzwerkroute an meinem Rechner in das gesamte interne Netzwerk der Firma - Nur eben ohne Änderungen am Netzwerk vornehmen zu müssen.

Gibt es denn wirklich keine vergleichbare Software, die Schnittstellen abietet?

Viele Grüße,
JoRu1407
108012
108012 25.12.2012 um 15:06:08 Uhr
Goto Top
Hallo JoRu1407,

ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben > seitens des Servers realisieren lassen...
IPSec VPN und gut ist es, wenn der Router dies nicht unterstützt sollte man vielleicht über einen neuen Router nachdenken! Denn das können heute schon Fritz!Boxen aus dem
Heimanwender Bereich.

Durch den Tunnel geht dann eben auch alles und es ist sicher, wenn der Router das nicht unterstützt, dann frag doch mal ob der Router wenigstens VPN Passthrough unterstützt und hänge dann an einen Port dahinter einen kleinen MikroTik RB450G der kann VPN und man kann die Verbindung noch zusätzlich mit einem Radius Server der schon in dem RB450G integriert ist absichern!!!! Der RB450G kostet so um die 90 € und gut ist es!

Da ja bekanntlich viele wege nach Rom führen, könnte man noch über den Einsatz eines
UMTS Routers nachdenken, also einen MikroTik RB800 + ein Novatel EU850D, ist teuer und nicht so leicht zu konfigurieren aber man kann es damit auch gut sichern und kann dann eben nur via VPN rein und muss die RB800 dann eben gut abschotten! Vielleicht auch über ein Radius Zertifikat um eben nur Dir den Zugang zu gewähren!!

Gruß
Dobby
JoRu1407
JoRu1407 25.12.2012 um 15:42:05 Uhr
Goto Top
Hallo Dobby,

das ist so, wie du schreibst, einfach nicht realisierbar.

Unsere Firma produziert relativ einzigartige Maschinen und deren Steuerungen im Folienkonfektionsbereich und diese werden um die ganze Welt (Indonesien, USA etc...) verkauft.

Nun soll demnächst in jeden Schaltschrank ein eigenes Fernwartungssystem eingebaut werden, wo dann der Schaltschrank, in dem wir mit unseren Geräten ein komplett eigenständiges Netzwerk aufbauen, nur noch mit einem LAN-Kabel mit dem Netzwerk der Firma verbunden werden muss, um Internetzugriff zu erlangen. Dieses System muss einfach ohne jegliche Einrichtung des Firmennetwerkes machbar sein - Denn, 90% unserer Kunden werden sagen, dass Sie nicht bereit sind für unsere Maschine Änderungen an der Netzwerkkonfiguration vorzunehmen bzw. können das aus mir ehrlich gesagt unbekannten datenschutztechnischen Gründen nicht.

Möglich ist dieses Vorhaben ja und wir haben es jetzt in 3 Maschinen via TeamViewer seit einem halben Jahr ohne Probleme laufen, nur soll eben langsam eine eigene Softwareoberfläche her, die das Ganze auch in großem Stil einfach und schnell ermöglicht.

Ich habe hier zu Hause auch einen Cisco VPN Firewall, der mir Zugriff auf das gesamte Heimnetzwerk ermöglicht, aber das ist in unserem Falle einfach nicht realisierbar.
JoRu1407
JoRu1407 25.12.2012 um 16:55:48 Uhr
Goto Top
Kennt denn niemand mit TeamViewer vergleichbare Tools die das Herstellen einer VPN verbindung ohne Portfreigaben ermöglichen und Schnittstellen oder Skript-/CMD-versionen bieten?
108012
108012 25.12.2012 um 18:06:35 Uhr
Goto Top
Es ist Weihnachten und die Leute kommen nur sporadisch mal vorbei, so richtig geht das erst wieder nach den Feiertagen los.
JoRu1407
JoRu1407 25.12.2012 um 18:08:26 Uhr
Goto Top
Na dann...Warte ich mal face-big-smile
Noch schöne Feiertage face-wink
brammer
brammer 26.12.2012 um 01:34:54 Uhr
Goto Top
Hallo,

Wir haben eine relativ ähnliche Situation.
Unsere Maschinen stehen weltweit.
Seit gut 3 jahren bauen wir in viele Maschinen einen eigenen Cisco VPN router ein.
Diessr hängt entweder im kundennetz undbekommt eine dhcp Adresse oder er hat einen eigenen internet Zugang.der Router baut einen EzVPN Tunnel auf.
Dazu brauchen wir nur Port 80 und 443.

Brammer
JoRu1407
JoRu1407 26.12.2012 um 09:41:47 Uhr
Goto Top
Hallo Brammer,
vielen Dank für deine Antwort!

EzVPN (Cisco Easy VPN) scheint das Geheimnis dahinter zu sein, wie ich im Internet herausfinden konnte.
Dabei brauchst du auch keinen DynDNS Service, der ja im Hauptrouter eingetragen werden müsste, richtig?

Darf ich fragen, welchen Cisco Router Ihr verwendet und wie komplex das Einrichten ist?
brammer
brammer 26.12.2012 um 10:33:10 Uhr
Goto Top
Hallo,

Wir setzen dazu die 88x baureihe ein.

Die konfiguration ist bei uns inzwischen fast komplett durch gescriptet.
Der konfig file lässt sich ja gut standardisieren.

Dyndns wird nicht gebraucht.
Auf dem router wird ein user angelegt der sich gegen die Domain authentisiert.

Brammer
JoRu1407
JoRu1407 26.12.2012 um 10:43:56 Uhr
Goto Top
Braucht man dazu 2 Router zwischen denen man die VPN Verbindung aufbaut oder kann man auch Router beim Kunden und Cisco VPN Client (Sofwtare) im Büro?

Kennst du einen vernünftigen Shop für Cisco Produkte in DE?
brammer
brammer 26.12.2012 um 11:19:01 Uhr
Goto Top
Hallo,

Ob das gegen eine vpn Client funktioniert weiß ich nicht.
Kaufen entweder über ein Systemhaus, oder schau dir mal ids gmbh an.
Wir kaufen allerdings über t-Systems ein.
Allerdings kaufen wir mehrere hundert Geräte im Jahr.

Brammer
Dani
Dani 26.12.2012 um 11:40:00 Uhr
Goto Top
Moin,
Darf ich fragen, welchen Cisco Router Ihr verwendet und wie komplex das Einrichten ist?
Das ist relativ und hängt auch von den NEtzwerkdesign ab.
Wenn du noch nie einen Cisco-Router in der Hand hast, wirst dich erstmal einarbeiten müssen. Wie gut/schlecht die GUI ist, weiß ich nicht da wir nur über SSH/Konsole arbeiten.


Grüße,
Dani
aqui
aqui 26.12.2012 aktualisiert um 11:53:32 Uhr
Goto Top
Mit 2 Winblows Systemen richtet man so ein VPN mit Bordmitteln ein:
http://www.wintotal.de/artikel/artikel-2005/40.html
Das funktioniert auch im Mix mit Linux und Apple Mac Rechnern und analog für Win 7 natürlich.
Damit hättest du dein Problem im Handumdrehen gelöst.
TeamViewer ist immer kontraproduktiv, denn das erforderti immer einen Server des Herstellers zum Verbindungsaufbau wenn man hinter einem NAT Router hängt.
In Firmenumgebenungen normalerweise ein NoGo, da man nicht weiss was mit den daten gemacht wird dort...
Wie das mit Routern klappt beschreiben dir diverse Tutorials hier:
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw. usw.
JoRu1407
JoRu1407 26.12.2012 um 12:18:20 Uhr
Goto Top
Hallo aqui,

das Problem ist da ja wieder, dass im eigentlichen Router der Firma entsprechende Port freigegeben und ein DynDNS Dienst eingerichtet werden muss.

Gibt es denn nicht beim Einsatz von Windows Boardmitteln oder OpenVPN die Möglichkeit, einen eigenen Server wie bei TeamViewer aufzusetzen, damit dann eben keine Portforwardings und DynDNS erforderlich sind?
JoRu1407
JoRu1407 26.12.2012 aktualisiert um 12:20:29 Uhr
Goto Top
Hallo brammer,

Gut, ich denke, das ist zumindest eine gute oder vllt. auch bessere Alternative,
wobei die Router natürlich nicht gerade billig sind und ich mich sicherlich erst mal einarbeiten muss.

Wobei ich auch weiterhin auf der Suche bin, das Ganze Softwaremäßig zu lösen... face-big-smile
spacyfreak
spacyfreak 26.12.2012 aktualisiert um 19:45:39 Uhr
Goto Top
Ich denke SSL wäre da die einfachste Variante, zumal diese auch Proxy-fähig ist.
Eure Kunden werden ja auch u. U. einen Proxy nutzen.
Mal OpenVPN anschauen ob man das einbinden kann in eure Software?
ODER mit den Kunden vereinbaren, dass der KUNDE einen Zugangsweg bereitstellen soll, sodass IHR euch bei IHM einwählt (gängige Variante für sowas würde ich mal sagen..). Oder halt Site-to-Site IPSEC VPN, so exotisch ist das nun auch nicht - gängige Lösung.

Bei der SSL-Variante sind auch Sicherheitsaspekte zu berücksichtigen, Authentisierung / 2-Faktor etc.
Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..
108012
108012 27.12.2012 um 06:37:03 Uhr
Goto Top
Hallo spacyfreak,

Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..

Das ist natürlich auch eine schöne Variante. Nur muss dort nicht auch etwas eingestellt werden am Router
oder der Firewall der Firma, das man dann Zugang hat zu diesem Server!?

Gruß
Dobby
JoRu1407
JoRu1407 27.12.2012 um 10:01:38 Uhr
Goto Top
Hallo spacyfreak,

ich denke mal, ich werde es nun mal mit OpenVPN versuchen und mir dafür erst mal einen eigenen Server mit DynDNS Adresse zuhause hinstellen.

Wenn ich mir dann den Clienten in der Firma so konfiguriere, dass er sich automatisch beim Server anmeldet und diese Verbindung immer aufrecht erhält, brauche ich mich dann auch nur noch mit dem Server verbinden und das Ganze sollte laufen.

OpenVPN bietet ja auch einige Möglichkeiten zum Steuern durch eine eigene C# Anwendung.
108012
108012 27.12.2012 um 10:32:27 Uhr
Goto Top
Hallo JoRu1407,

guck Dir doch mal auch der Homepage von Ubiquiti EdgeMax Router an, dort läuft
ein Debian Linux Derivat drauf und man kann wohl auch einige "Sachen" nach installieren, vielleicht ist das ja was für Euch.

Denn eines ist mir noch nicht ganz klar, wenn die Hersteller von Steckdosen mit einem LAN Port, in der Lage sind einen kleinen Webserver und eine kleine schicke Oberfläche zum schalten der einzelnen
Steckdosenplätze in der Lage sind und die Dinger kosten 99 € - 149 € wird doch bei Euch auch einer
eine RaspBerry PI oder Hackberry Board mit Software versorgen können damit ihr damit was anstellt!
So nun aber genug Hinweise;
- RaspBerry PI - Anleitung von aqui
- Link zum Haberry Board ist einfach etwas kräftiger als der RaspBerry PI
- Link zu Ubiquiti´s neuen Routern- ist dieser zu schwach einfach bis Februar/April 2013 warten
dann kommen die großen Brüder von dem kleinen "light Router" raus
- Steckdosenleiste Beispiel

Was man macht ist ja auch irgend wie eine Sache der Verfügbarkeit und der Erreichbarkeit, denn wenn
es 1000 % funktionieren muss ist das was Brammer vor geschlagen hat zwar teurer, aber auf jeden Fall
zuverlässiger!

Gruß
Dobby
aqui
aqui 27.12.2012 um 16:42:46 Uhr
Goto Top
.@JoRu1407
Hier findest du alles Wissenswerte zum Aufsetzen eines solchen OVPN Servers. Die Hardwate Plattform ist bei OVPN völlig egal, die Konfig ist immer identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
spacyfreak
spacyfreak 28.12.2012 aktualisiert um 09:24:43 Uhr
Goto Top
Wenn man den Server in einer DMZ betreibt (was sehr anzuraten wäre, zumal der ja vom Internet erreichbar und angreifbar ist - vorallem wenn man keine 2 Fakt. Auth betreibt ist das nicht zu empfehlen. SSL an sich ist ja verschlüsselt und sicher usw, doch was nutzt das wenn man mit einfacher Passwort-Authentisierung zugreifen kann, da gibt es ja gängige Passwort-Attacken für sowas.

Gängige Lösung - die zugreifenden Maschinen arbeiten mit Client-Zertifikaten zur Authentisierung, und der SSL Server akzeptiert nur Verbindungen von Maschinen die ein gültiges Client-Cert haben..). ODER mit SSH (tcp22) und dein Server akzeptiert nur SSH-Key Auth (keine Passwort Authentisierung).
SSH ist ggfs. sogar einfacher als SSL da man sich nicht um die Zertifikate (die auch ablaufen nach einiger Zeit) kümmern muss.
SSH wird aber nicht über Web-Proxies gehen... Das darf man nicht vernachlässigen, sonst gibts vermehrt Supportbedarf im Betrieb da halt die meisten Firmen Proxies benutzen.


Freischaltungen

Vom Internet aus SSL bzw. tcp443 freischalten einkommend. (Internet >> tcp443 (oder tcp22 bei ssh) >> DMZ Server)

Vom LAN aus zum Server hin kann man ja alles freischalten (any) - ist ja statefull inspection, d.h.
die Richtung VOM Server zum internen LAN ist erstmal geblockt.
LAN >> ANY >> DMZ Server

Vom DMZ Server ins LAN nur notwendige Freischaltungen machen, mögl. retriktiv z. B.
DMZ Server >> tcp1433 >> SQL Datenbank im LAN
JoRu1407
JoRu1407 28.12.2012 um 10:13:18 Uhr
Goto Top
Hallo aqui, vielen Dank für deine Antwort!

Würde es Sinn machen, den OpenVPN Server auf einem Virtual Server von Hosteurope zu installieren?
Dort kosten nämlich ein vServer nur 2€ mehr im Monat als mein aktueller Webspace.