9
Windows 7 Firewall und VPN
Hallo zusammen.
Ich habe eine Frage zur Windows 7 internen Firewall.
Und zwar habe ich in der FW alles erst mal gesperrt damit ich durch Erstellung von Rules einzelnen Programmen den Zugriff ins Netz erlauben kann. So wie es eigentlich auch Sinnvoll bei einer FW ist.
Alles funktioniert planmäßig ohne Verwendung eines VPN Tunnels (Ikev2) zu hide.io. Sobald ich den Tunnel aufbaue komme ich nicht mehr ins Internet.
Läuft die FW im default Zustand also "ausgehende Verbindungen zulassen" dann geht es auch mit der VPN Verbindung.
Ich habe mich schon in der Vergangenheit mit dem Thema Firewalls auseinander gesetzt. (Thema Monowall) Aber hier fehlt mir offensichtlich der entscheidene kleine Tip wie die entsprechende Rule aussehen muss.
Hoffe auf eure Hilfe.
Danke schon mal
Ich habe eine Frage zur Windows 7 internen Firewall.
Und zwar habe ich in der FW alles erst mal gesperrt damit ich durch Erstellung von Rules einzelnen Programmen den Zugriff ins Netz erlauben kann. So wie es eigentlich auch Sinnvoll bei einer FW ist.
Alles funktioniert planmäßig ohne Verwendung eines VPN Tunnels (Ikev2) zu hide.io. Sobald ich den Tunnel aufbaue komme ich nicht mehr ins Internet.
Läuft die FW im default Zustand also "ausgehende Verbindungen zulassen" dann geht es auch mit der VPN Verbindung.
Ich habe mich schon in der Vergangenheit mit dem Thema Firewalls auseinander gesetzt. (Thema Monowall) Aber hier fehlt mir offensichtlich der entscheidene kleine Tip wie die entsprechende Rule aussehen muss.
Hoffe auf eure Hilfe.
Danke schon mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265813
Url: https://administrator.de/contentid/265813
Printed on: April 18, 2024 at 00:04 o'clock
9 Comments
Latest comment
Hallo,
auf eine Hardwarefirewall vor dem Windows PC.
bzw. nicht erlaubt worden.
Mein Tipp, lass die Windows Firewall wie sie ist und dann nutze
einfach den Service und es läuft alles, allerdings würde ich immer
einen Router oder eine Firewall die NAT vor dem Windows PC stellen
wollen.
Gruß
Dobby
Ich habe eine Frage zur Windows 7 internen Firewall.
OkUnd zwar habe ich in der FW alles erst mal gesperrt damit ich
durch Erstellung von Rules einzelnen Programmen den Zugriff
ins Netz erlauben kann.
Mag zwar sein nur das bezieht sich doch eher eigentlichdurch Erstellung von Rules einzelnen Programmen den Zugriff
ins Netz erlauben kann.
auf eine Hardwarefirewall vor dem Windows PC.
Alles funktioniert planmäßig ohne Verwendung eines VPN Tunnels
(Ikev2) zu hide.io. Sobald ich den Tunnel aufbaue komme ich nicht
mehr ins Internet.
Das ist allerdings schlecht, denn dafür ist ja hide.io ja eigentlich gedacht.(Ikev2) zu hide.io. Sobald ich den Tunnel aufbaue komme ich nicht
mehr ins Internet.
Läuft die FW im default Zustand also "ausgehende Verbindungen
zulassen" dann geht es auch mit der VPN Verbindung.
Dann ist da wohl irgend etwas von Dir gesperrt worden waszulassen" dann geht es auch mit der VPN Verbindung.
bzw. nicht erlaubt worden.
Mein Tipp, lass die Windows Firewall wie sie ist und dann nutze
einfach den Service und es läuft alles, allerdings würde ich immer
einen Router oder eine Firewall die NAT vor dem Windows PC stellen
wollen.
Gruß
Dobby
Hallo Dobby,
Danke für deine Antwort.
Sorry habe vergessen meine bestehende Konfiguration aufzuführen.
Ich hänge mit dem Laptop an einem Soho Modemrouter welcher von Unitymedia zur verfügung gestellt wurde(AVM)
HIer ist NAT aktiv. In dem Sinne eine Hardwarefirewall. Wenn auch nicht mit Monowall etc vergleichbar.
Der Sinn der Aktion ist, dass ich gerne selbst bestimmen möchte welche Anwendung Zugang zum Netz haben darf. Per Default lässt die Windows FW fast alles durch ohne eine Abfrage zu machen ob die Anwendung überhaupt berechtigt ist. Das ist in meinen Augen ein absolutes NoGo.
Aus dem Grund habe ich die FW angewiesen genau anders rum zu arbeiten und erstmal alles zu sperren. Die Möglichkeit gibt die Windows FW.
Entsprechend zu meinem Problem benötige ich also die Rule, die es mir ermöglicht den Browser über diese VPN Verbindung zu nutzen.
Im Übrigen: Der VPN Tunnel wird problemlos hergestellt. Nur im Anschluß kann ich nicht über diesen surfen. Da streikt der Browser mit der üblichen "Server kan nicht gefunden werden " Meldung.
Danke für deine Antwort.
Sorry habe vergessen meine bestehende Konfiguration aufzuführen.
Ich hänge mit dem Laptop an einem Soho Modemrouter welcher von Unitymedia zur verfügung gestellt wurde(AVM)
HIer ist NAT aktiv. In dem Sinne eine Hardwarefirewall. Wenn auch nicht mit Monowall etc vergleichbar.
Der Sinn der Aktion ist, dass ich gerne selbst bestimmen möchte welche Anwendung Zugang zum Netz haben darf. Per Default lässt die Windows FW fast alles durch ohne eine Abfrage zu machen ob die Anwendung überhaupt berechtigt ist. Das ist in meinen Augen ein absolutes NoGo.
Aus dem Grund habe ich die FW angewiesen genau anders rum zu arbeiten und erstmal alles zu sperren. Die Möglichkeit gibt die Windows FW.
Entsprechend zu meinem Problem benötige ich also die Rule, die es mir ermöglicht den Browser über diese VPN Verbindung zu nutzen.
Im Übrigen: Der VPN Tunnel wird problemlos hergestellt. Nur im Anschluß kann ich nicht über diesen surfen. Da streikt der Browser mit der üblichen "Server kan nicht gefunden werden " Meldung.
Aber hier fehlt mir offensichtlich der entscheidene kleine Tip wie die entsprechende Rule aussehen muss.
Nach dem "ike2" zu schliessen machst du vermutlich ein VPN unter Verwendung des IPsec Protokolls dahin auf, richtig ?IPsec besteht aus UDP 500, UDP 4500 und dem ESP Protokoll mit der IP Nummer 50.
Beide UDP Ports und das ESP Protokoll musst du also für IPsec in der FW passieren lassen.
Details dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da streikt der Browser mit der üblichen "Server kan nicht gefunden werden " Meldung.
Hast du mal mit Traceroute oder Pathping nachgesehen welchen Weg deine Pakte mit aktiviertem VPN Client gehen ?!Vermutlich erzwingt der VPN Client eine Änderung des Default Gateways. Ein route print (wenn du Winblows verwendest) bei aktivem Client wäre auch hilfreich.
Ja völlig richtig... VPN über IPsec.
Ein tracert meldet, nachdem ich ICMP frei gegeben habe:
DNS konnte nicht aufgelöst werden und beim ersten hop direkt Zeitüberschreitung. DNS bin ich schnell umgangen indem ich direkt per IP Adresse google angegangen bin.
Dennoch kommt direkt eine Zeitüberschreitung.
Route print meldet die Fritzbox als Gateway bei Verwendung des VPN.
Dummer Weise kann ich in der Windows FW das ESP Protokoll nicht freigeben. Wird dort nicht aufgelistet.
Die UDP habe ich eingetragen.
Übrigens nutze ich die Windows Boardmittel um die VPN Verbindung aufzubauen. Keinen zusätzlichen Client.
Wahrscheinlich liegt es jetzt nur noch an dem ESP.......?
Edit: Ich habe folgendes herausgefunden. In der Windows Firewall ist ESP offensichtlich Protokoll 4. Wenn ich dieses für alle Anwendungen frei gebe, dann klappt das Surfen über VPN. Wenn ich allerdings die Protokollfreigabe auf die Firefox.exe beschränke und eben nicht für alle Anwendungen frei gebe, dann läuft wieder nichts. Das verstehe ich nicht.
Edit zum 2ten: Nach Recherche bezieht sich die Protokollnummer 4 offensichtlich auf den gesamten TCP Verkehr und nicht nur auf ESP.
Ein tracert meldet, nachdem ich ICMP frei gegeben habe:
DNS konnte nicht aufgelöst werden und beim ersten hop direkt Zeitüberschreitung. DNS bin ich schnell umgangen indem ich direkt per IP Adresse google angegangen bin.
Dennoch kommt direkt eine Zeitüberschreitung.
Route print meldet die Fritzbox als Gateway bei Verwendung des VPN.
Dummer Weise kann ich in der Windows FW das ESP Protokoll nicht freigeben. Wird dort nicht aufgelistet.
Die UDP habe ich eingetragen.
Übrigens nutze ich die Windows Boardmittel um die VPN Verbindung aufzubauen. Keinen zusätzlichen Client.
Wahrscheinlich liegt es jetzt nur noch an dem ESP.......?
Edit: Ich habe folgendes herausgefunden. In der Windows Firewall ist ESP offensichtlich Protokoll 4. Wenn ich dieses für alle Anwendungen frei gebe, dann klappt das Surfen über VPN. Wenn ich allerdings die Protokollfreigabe auf die Firefox.exe beschränke und eben nicht für alle Anwendungen frei gebe, dann läuft wieder nichts. Das verstehe ich nicht.
Edit zum 2ten: Nach Recherche bezieht sich die Protokollnummer 4 offensichtlich auf den gesamten TCP Verkehr und nicht nur auf ESP.
DNS konnte nicht aufgelöst werden und beim ersten hop direkt Zeitüberschreitung.
Oha...du hast also zusätzlich noch ein gravierndes DNS Problem. Auch das solltest du besser erstmal fixen !! OK, mit direkter IP gehts erstmal..Dennoch kommt direkt eine Zeitüberschreitung.
Kannst du denn wenigstens sehen das der erste Hop in den Tunnel geht oder geht der lokal raus ?Dummer Weise kann ich in der Windows FW das ESP Protokoll nicht freigeben. Wird dort nicht aufgelistet.
Das wäre natürlich fatal ist aber vermutlich Unsinn, denn Windows nutzt es ja selber im L2TP VPN Protokoll. Dann kann man also auch davon ausgehen das es in der Firewall bekannt sein muss !!Vermutlich hast du auch dir nicht die Mühe gemacht mal zu suchen, denn die MS Knowledgebase hat zig Artikel dazu:
http://support.microsoft.com/kb/233256/de
https://technet.microsoft.com/en-us/library/cc779912(v=ws.10).aspx
usw. usw.
Übrigens nutze ich die Windows Boardmittel um die VPN Verbindung aufzubauen. Keinen zusätzlichen Client.
Oha...dann kannst du aber KEIN natives IPsec machen !!Windows hat dafür KEINEN bordeigenen VPN Client.
Klar das der Versuch dann in die Hose geht wenn der VPN Server nur natives IPsec spricht ! Dazu solltest du dann den allseits bekannt kostenfreien Shrew Client verwenden:
https://www.shrew.net
Windows selber kann nur L2TP mit ESP das ist aber zu IPsec nicht kompatibel.
Details kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
In der Windows Firewall ist ESP offensichtlich Protokoll 4
Wäre sehr ungewöhnlich denn ESP ist IP Protokoll 50 im Allgemeinen. Aber bei MS ist ja bekanntlich alles möglich Nach Recherche bezieht sich die Protokollnummer 4 offensichtlich auf den gesamten TCP Verkehr und nicht nur auf ESP.
Das klingt wahrscheinlicher...wäre aber fatal für die Firewall bzw. deinen Anwendung, denn damit macht man ein Scheunentor auf.
Und genau da liegt der Fehler.... Der VPN Client war Schuld.
Vielen Dank für den Support!!!!!!!
Im Übrigen: DIe Windows FW kennt in der Tat das Protokoll 50
Vielen Dank für den Support!!!!!!!
Im Übrigen: DIe Windows FW kennt in der Tat das Protokoll 50
Der VPN Client war Schuld.
Und...?? Nun klär uns auf WIE du es gelöst hast ?Shrew Client ?!
Ja genau Shrew eingesetzt und schon funktionierte alles wie ich es wollte.
Ich werde mir noch mal die Open VPN Alternative anschauen. Shrew ist nicht grade der bedienerfreundlichste Client wie ich finde. Aber das soll der Sache keinen Abbruch tun.
Ich werde mir noch mal die Open VPN Alternative anschauen. Shrew ist nicht grade der bedienerfreundlichste Client wie ich finde. Aber das soll der Sache keinen Abbruch tun.
Für OpenVPN guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Installation ist auf jeglicher OVPN Hardware und OS immer gleich.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Installation ist auf jeglicher OVPN Hardware und OS immer gleich.
