VPN-Verbindung ohne Portfreigaben (Software)
Ich bin neu hier im Forum und beschäftige mich zusammen mit einem bekannten, der im Industriesteuerungsbereich tätig ist, mit allen möglichen Software- und Netzwerklösungen.
Hallo Leute,
ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben seitens des Servers realisieren lassen und die sich aus einem externen C# Programm heraus ansteuern lässt (API oder CMD-Version etc...).
Bisher arbeite ich mit TeamViewer und besitze dort auch eine kommerzielle Lizenz, allerdings soll ich nun eine Software schreiben, die das Herstellen der VPN-Verbindung zur Maschine des Kunden dem Benutzer möglichst einfach macht, indem sie alle erforderlichen Netzwerkrouten automatisch einträgt und anschließend den im entfernten Netzwerk gelegenen Silex USB Server über dessen CMD-Version des Treibers verbindet.
Und genau da liegt das Problem:
TeamViewer bietet neben den einfachen Startkommandos leider keine Schnitstelle oder CMD-Version an, die auch Werte zurückgeben kann. Starte ich momentan z.B. TeamViewer mit entsprechenden Startparametern aus meiner C# Anwendung heraus, wird die Verbindung von TeamViewer zwar hergestellt, allerdings erhält meine Anwendung keine Rückmeldung, ob der Verbindungsaufbau erfolgreich war und ich kenne die VPN-IP, die der TeamViewer Partner während der Sitzung hat, nicht. Diese ist aber zum Eintragen von einigen Netzwerkrouten erforderlich.
Deshalb meine Frage:
Kennt Ihr mit TeamViewer vergleichbare Lösungen, die eine entsprechende API/Schnittstelle oder eine Skript-/CMD-Version anbieten? (Wobei nur VPN erforderlich ist, keine Fernwartung o.ä.) Wichtig ist, dass das System ohne Portfreigaben im Netwzerk auskommen muss.
Über Antworten würde ich mich wirklich sehr freuen, da ich im Moment etwas ratlos bin :D
Viele Grüße,
JoRu1407
Hallo Leute,
ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben seitens des Servers realisieren lassen und die sich aus einem externen C# Programm heraus ansteuern lässt (API oder CMD-Version etc...).
Bisher arbeite ich mit TeamViewer und besitze dort auch eine kommerzielle Lizenz, allerdings soll ich nun eine Software schreiben, die das Herstellen der VPN-Verbindung zur Maschine des Kunden dem Benutzer möglichst einfach macht, indem sie alle erforderlichen Netzwerkrouten automatisch einträgt und anschließend den im entfernten Netzwerk gelegenen Silex USB Server über dessen CMD-Version des Treibers verbindet.
Und genau da liegt das Problem:
TeamViewer bietet neben den einfachen Startkommandos leider keine Schnitstelle oder CMD-Version an, die auch Werte zurückgeben kann. Starte ich momentan z.B. TeamViewer mit entsprechenden Startparametern aus meiner C# Anwendung heraus, wird die Verbindung von TeamViewer zwar hergestellt, allerdings erhält meine Anwendung keine Rückmeldung, ob der Verbindungsaufbau erfolgreich war und ich kenne die VPN-IP, die der TeamViewer Partner während der Sitzung hat, nicht. Diese ist aber zum Eintragen von einigen Netzwerkrouten erforderlich.
Deshalb meine Frage:
Kennt Ihr mit TeamViewer vergleichbare Lösungen, die eine entsprechende API/Schnittstelle oder eine Skript-/CMD-Version anbieten? (Wobei nur VPN erforderlich ist, keine Fernwartung o.ä.) Wichtig ist, dass das System ohne Portfreigaben im Netwzerk auskommen muss.
Über Antworten würde ich mich wirklich sehr freuen, da ich im Moment etwas ratlos bin :D
Viele Grüße,
JoRu1407
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196238
Url: https://administrator.de/contentid/196238
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
25 Kommentare
Neuester Kommentar
Hallo JoRu1407,
versuch doch einmal mit dem Entwicklerteam von ShrewSoft
Kontakt auf zu nehmen, ob da was geht.
Ansonsten lasse doch einfach WireShark mit laufen und die Verbindung in eine Datei schreiben
und hole Dir von dort die IP.
Dann kannst Du ja auch einmal versuchen via VPN nur eine Verbindung zu dem Router oder der Firewall aufzubauen und dann bist Du ja auch in dem Netz drinnen und kannst dann weiter operieren und Dich ganz normal am Server anmelden.
Gruß und schöne Feiertage
Dobby
versuch doch einmal mit dem Entwicklerteam von ShrewSoft
Kontakt auf zu nehmen, ob da was geht.
Ansonsten lasse doch einfach WireShark mit laufen und die Verbindung in eine Datei schreiben
und hole Dir von dort die IP.
Dann kannst Du ja auch einmal versuchen via VPN nur eine Verbindung zu dem Router oder der Firewall aufzubauen und dann bist Du ja auch in dem Netz drinnen und kannst dann weiter operieren und Dich ganz normal am Server anmelden.
Gruß und schöne Feiertage
Dobby
Hallo JoRu1407,
Als Beispiel
Gruß
Dobby
Soweit ich das gesehen habe, dient der ShrewSoft VPN Client aber nur dem Verbinden mit
einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?
Wenn ich an meinem Rechner sitze und starte die VPN Software von ShrewSoft, kann ich mich mit dem Router oder der Firewall via VPN verbinden und habe Zugriff auf alle dahinter liegenden Rechner bzw. Server und kann mich dann an denen anmelden. Richtig?einem VPN Router und kann keine VPN-Verbindungen zwischen 2 Rechnern herstellen, oder?
Als Beispiel
Gruß
Dobby
Hallo JoRu1407,
Heimanwender Bereich.
Durch den Tunnel geht dann eben auch alles und es ist sicher, wenn der Router das nicht unterstützt, dann frag doch mal ob der Router wenigstens VPN Passthrough unterstützt und hänge dann an einen Port dahinter einen kleinen MikroTik RB450G der kann VPN und man kann die Verbindung noch zusätzlich mit einem Radius Server der schon in dem RB450G integriert ist absichern!!!! Der RB450G kostet so um die 90 € und gut ist es!
Da ja bekanntlich viele wege nach Rom führen, könnte man noch über den Einsatz eines
UMTS Routers nachdenken, also einen MikroTik RB800 + ein Novatel EU850D, ist teuer und nicht so leicht zu konfigurieren aber man kann es damit auch gut sichern und kann dann eben nur via VPN rein und muss die RB800 dann eben gut abschotten! Vielleicht auch über ein Radius Zertifikat um eben nur Dir den Zugang zu gewähren!!
Gruß
Dobby
ich suche eine VPN-Software, mit der sich VPN-Verbindungen ohne notwendige Portfreigaben > seitens des Servers realisieren lassen...
IPSec VPN und gut ist es, wenn der Router dies nicht unterstützt sollte man vielleicht über einen neuen Router nachdenken! Denn das können heute schon Fritz!Boxen aus demHeimanwender Bereich.
Durch den Tunnel geht dann eben auch alles und es ist sicher, wenn der Router das nicht unterstützt, dann frag doch mal ob der Router wenigstens VPN Passthrough unterstützt und hänge dann an einen Port dahinter einen kleinen MikroTik RB450G der kann VPN und man kann die Verbindung noch zusätzlich mit einem Radius Server der schon in dem RB450G integriert ist absichern!!!! Der RB450G kostet so um die 90 € und gut ist es!
Da ja bekanntlich viele wege nach Rom führen, könnte man noch über den Einsatz eines
UMTS Routers nachdenken, also einen MikroTik RB800 + ein Novatel EU850D, ist teuer und nicht so leicht zu konfigurieren aber man kann es damit auch gut sichern und kann dann eben nur via VPN rein und muss die RB800 dann eben gut abschotten! Vielleicht auch über ein Radius Zertifikat um eben nur Dir den Zugang zu gewähren!!
Gruß
Dobby
Es ist Weihnachten und die Leute kommen nur sporadisch mal vorbei, so richtig geht das erst wieder nach den Feiertagen los.
Hallo,
Wir haben eine relativ ähnliche Situation.
Unsere Maschinen stehen weltweit.
Seit gut 3 jahren bauen wir in viele Maschinen einen eigenen Cisco VPN router ein.
Diessr hängt entweder im kundennetz undbekommt eine dhcp Adresse oder er hat einen eigenen internet Zugang.der Router baut einen EzVPN Tunnel auf.
Dazu brauchen wir nur Port 80 und 443.
Brammer
Wir haben eine relativ ähnliche Situation.
Unsere Maschinen stehen weltweit.
Seit gut 3 jahren bauen wir in viele Maschinen einen eigenen Cisco VPN router ein.
Diessr hängt entweder im kundennetz undbekommt eine dhcp Adresse oder er hat einen eigenen internet Zugang.der Router baut einen EzVPN Tunnel auf.
Dazu brauchen wir nur Port 80 und 443.
Brammer
Moin,
Wenn du noch nie einen Cisco-Router in der Hand hast, wirst dich erstmal einarbeiten müssen. Wie gut/schlecht die GUI ist, weiß ich nicht da wir nur über SSH/Konsole arbeiten.
Grüße,
Dani
Darf ich fragen, welchen Cisco Router Ihr verwendet und wie komplex das Einrichten ist?
Das ist relativ und hängt auch von den NEtzwerkdesign ab.Wenn du noch nie einen Cisco-Router in der Hand hast, wirst dich erstmal einarbeiten müssen. Wie gut/schlecht die GUI ist, weiß ich nicht da wir nur über SSH/Konsole arbeiten.
Grüße,
Dani
Mit 2 Winblows Systemen richtet man so ein VPN mit Bordmitteln ein:
http://www.wintotal.de/artikel/artikel-2005/40.html
Das funktioniert auch im Mix mit Linux und Apple Mac Rechnern und analog für Win 7 natürlich.
Damit hättest du dein Problem im Handumdrehen gelöst.
TeamViewer ist immer kontraproduktiv, denn das erforderti immer einen Server des Herstellers zum Verbindungsaufbau wenn man hinter einem NAT Router hängt.
In Firmenumgebenungen normalerweise ein NoGo, da man nicht weiss was mit den daten gemacht wird dort...
Wie das mit Routern klappt beschreiben dir diverse Tutorials hier:
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw. usw.
http://www.wintotal.de/artikel/artikel-2005/40.html
Das funktioniert auch im Mix mit Linux und Apple Mac Rechnern und analog für Win 7 natürlich.
Damit hättest du dein Problem im Handumdrehen gelöst.
TeamViewer ist immer kontraproduktiv, denn das erforderti immer einen Server des Herstellers zum Verbindungsaufbau wenn man hinter einem NAT Router hängt.
In Firmenumgebenungen normalerweise ein NoGo, da man nicht weiss was mit den daten gemacht wird dort...
Wie das mit Routern klappt beschreiben dir diverse Tutorials hier:
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw. usw.
Ich denke SSL wäre da die einfachste Variante, zumal diese auch Proxy-fähig ist.
Eure Kunden werden ja auch u. U. einen Proxy nutzen.
Mal OpenVPN anschauen ob man das einbinden kann in eure Software?
ODER mit den Kunden vereinbaren, dass der KUNDE einen Zugangsweg bereitstellen soll, sodass IHR euch bei IHM einwählt (gängige Variante für sowas würde ich mal sagen..). Oder halt Site-to-Site IPSEC VPN, so exotisch ist das nun auch nicht - gängige Lösung.
Bei der SSL-Variante sind auch Sicherheitsaspekte zu berücksichtigen, Authentisierung / 2-Faktor etc.
Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..
Eure Kunden werden ja auch u. U. einen Proxy nutzen.
Mal OpenVPN anschauen ob man das einbinden kann in eure Software?
ODER mit den Kunden vereinbaren, dass der KUNDE einen Zugangsweg bereitstellen soll, sodass IHR euch bei IHM einwählt (gängige Variante für sowas würde ich mal sagen..). Oder halt Site-to-Site IPSEC VPN, so exotisch ist das nun auch nicht - gängige Lösung.
Bei der SSL-Variante sind auch Sicherheitsaspekte zu berücksichtigen, Authentisierung / 2-Faktor etc.
Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..
Hallo spacyfreak,
Das ist natürlich auch eine schöne Variante. Nur muss dort nicht auch etwas eingestellt werden am Router
oder der Firewall der Firma, das man dann Zugang hat zu diesem Server!?
Gruß
Dobby
Oder ihr stellt euern SErver bei euch in eine DMZ die per SSL erreichbar ist vom Internet, um zu verhindern dass von dem SErver einer ins interne Netz hüpft..
Das ist natürlich auch eine schöne Variante. Nur muss dort nicht auch etwas eingestellt werden am Router
oder der Firewall der Firma, das man dann Zugang hat zu diesem Server!?
Gruß
Dobby
Hallo JoRu1407,
guck Dir doch mal auch der Homepage von Ubiquiti EdgeMax Router an, dort läuft
ein Debian Linux Derivat drauf und man kann wohl auch einige "Sachen" nach installieren, vielleicht ist das ja was für Euch.
Denn eines ist mir noch nicht ganz klar, wenn die Hersteller von Steckdosen mit einem LAN Port, in der Lage sind einen kleinen Webserver und eine kleine schicke Oberfläche zum schalten der einzelnen
Steckdosenplätze in der Lage sind und die Dinger kosten 99 € - 149 € wird doch bei Euch auch einer
eine RaspBerry PI oder Hackberry Board mit Software versorgen können damit ihr damit was anstellt!
So nun aber genug Hinweise;
- RaspBerry PI - Anleitung von aqui
- Link zum Haberry Board ist einfach etwas kräftiger als der RaspBerry PI
- Link zu Ubiquiti´s neuen Routern- ist dieser zu schwach einfach bis Februar/April 2013 warten
dann kommen die großen Brüder von dem kleinen "light Router" raus
- Steckdosenleiste Beispiel
Was man macht ist ja auch irgend wie eine Sache der Verfügbarkeit und der Erreichbarkeit, denn wenn
es 1000 % funktionieren muss ist das was Brammer vor geschlagen hat zwar teurer, aber auf jeden Fall
zuverlässiger!
Gruß
Dobby
guck Dir doch mal auch der Homepage von Ubiquiti EdgeMax Router an, dort läuft
ein Debian Linux Derivat drauf und man kann wohl auch einige "Sachen" nach installieren, vielleicht ist das ja was für Euch.
Denn eines ist mir noch nicht ganz klar, wenn die Hersteller von Steckdosen mit einem LAN Port, in der Lage sind einen kleinen Webserver und eine kleine schicke Oberfläche zum schalten der einzelnen
Steckdosenplätze in der Lage sind und die Dinger kosten 99 € - 149 € wird doch bei Euch auch einer
eine RaspBerry PI oder Hackberry Board mit Software versorgen können damit ihr damit was anstellt!
So nun aber genug Hinweise;
- RaspBerry PI - Anleitung von aqui
- Link zum Haberry Board ist einfach etwas kräftiger als der RaspBerry PI
- Link zu Ubiquiti´s neuen Routern- ist dieser zu schwach einfach bis Februar/April 2013 warten
dann kommen die großen Brüder von dem kleinen "light Router" raus
- Steckdosenleiste Beispiel
Was man macht ist ja auch irgend wie eine Sache der Verfügbarkeit und der Erreichbarkeit, denn wenn
es 1000 % funktionieren muss ist das was Brammer vor geschlagen hat zwar teurer, aber auf jeden Fall
zuverlässiger!
Gruß
Dobby
.@JoRu1407
Hier findest du alles Wissenswerte zum Aufsetzen eines solchen OVPN Servers. Die Hardwate Plattform ist bei OVPN völlig egal, die Konfig ist immer identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hier findest du alles Wissenswerte zum Aufsetzen eines solchen OVPN Servers. Die Hardwate Plattform ist bei OVPN völlig egal, die Konfig ist immer identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn man den Server in einer DMZ betreibt (was sehr anzuraten wäre, zumal der ja vom Internet erreichbar und angreifbar ist - vorallem wenn man keine 2 Fakt. Auth betreibt ist das nicht zu empfehlen. SSL an sich ist ja verschlüsselt und sicher usw, doch was nutzt das wenn man mit einfacher Passwort-Authentisierung zugreifen kann, da gibt es ja gängige Passwort-Attacken für sowas.
Gängige Lösung - die zugreifenden Maschinen arbeiten mit Client-Zertifikaten zur Authentisierung, und der SSL Server akzeptiert nur Verbindungen von Maschinen die ein gültiges Client-Cert haben..). ODER mit SSH (tcp22) und dein Server akzeptiert nur SSH-Key Auth (keine Passwort Authentisierung).
SSH ist ggfs. sogar einfacher als SSL da man sich nicht um die Zertifikate (die auch ablaufen nach einiger Zeit) kümmern muss.
SSH wird aber nicht über Web-Proxies gehen... Das darf man nicht vernachlässigen, sonst gibts vermehrt Supportbedarf im Betrieb da halt die meisten Firmen Proxies benutzen.
Freischaltungen
Vom Internet aus SSL bzw. tcp443 freischalten einkommend. (Internet >> tcp443 (oder tcp22 bei ssh) >> DMZ Server)
Vom LAN aus zum Server hin kann man ja alles freischalten (any) - ist ja statefull inspection, d.h.
die Richtung VOM Server zum internen LAN ist erstmal geblockt.
LAN >> ANY >> DMZ Server
Vom DMZ Server ins LAN nur notwendige Freischaltungen machen, mögl. retriktiv z. B.
DMZ Server >> tcp1433 >> SQL Datenbank im LAN
Gängige Lösung - die zugreifenden Maschinen arbeiten mit Client-Zertifikaten zur Authentisierung, und der SSL Server akzeptiert nur Verbindungen von Maschinen die ein gültiges Client-Cert haben..). ODER mit SSH (tcp22) und dein Server akzeptiert nur SSH-Key Auth (keine Passwort Authentisierung).
SSH ist ggfs. sogar einfacher als SSL da man sich nicht um die Zertifikate (die auch ablaufen nach einiger Zeit) kümmern muss.
SSH wird aber nicht über Web-Proxies gehen... Das darf man nicht vernachlässigen, sonst gibts vermehrt Supportbedarf im Betrieb da halt die meisten Firmen Proxies benutzen.
Freischaltungen
Vom Internet aus SSL bzw. tcp443 freischalten einkommend. (Internet >> tcp443 (oder tcp22 bei ssh) >> DMZ Server)
Vom LAN aus zum Server hin kann man ja alles freischalten (any) - ist ja statefull inspection, d.h.
die Richtung VOM Server zum internen LAN ist erstmal geblockt.
LAN >> ANY >> DMZ Server
Vom DMZ Server ins LAN nur notwendige Freischaltungen machen, mögl. retriktiv z. B.
DMZ Server >> tcp1433 >> SQL Datenbank im LAN