ComputerBase Menü
Aktuelles

Domänenzugang über VPN (IPSec)

Ich würde ja nen RaspberryPi nehmen und darauf einen OpenVPN Server installieren. Dann nur das Forwarding am Router für die benötigten Ports an den OpenVPN Server leiten und gut ist. Damit hast du auch direkt eine Servicetrennung und musst den VPN Kram nicht auf einem Windowsserver bauen.

Sempervideo hat dazu mal was nachn Youtube gestellt, taugt für den Anfang:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Vermutlich eine der kleinsten Sophos Appliances mit passender Subskription. Einfach ein Stück Hardware kaufen bringt dich aber nicht weiter wenn dir die Kenntnisse fehlen wie man dies sicher(!) einrichtet und noch wichtiger: langfristig betreibt und an das AD anbindet, Berechtigungen setzt etc.
 
  • Gefällt mir
Reaktionen: Raijin
Guten Morgen Leute,

erstmal vielen Dank für eure Ratschläge.

Ich habe nun meinen Router für ein DynDNS eingestellt, aber habe aktuell noch Probleme mit den Ports.
Ich möchte gerne wie empfohlen den Port 443 verwenden, aber habe in den Router-Einstellungen gesehen, dass bereits Port 80 und 443 für einen Drucker verwendet werden. An diesem Drucker (geht online an Canon), soll ich nichts umstellen.

Nun meine Frage, meine Recherche hat ergeben, dass ich einen Port auch nur für eine Anwendung verwenden kann. Stimmt das?

Falls ja, gibt es eine Alternative, um eine IPSec-Verbindung herstellen zu können?

Vielen Dank,
Ben
Ergänzung ()

Wenn ich von einer Workstation die subdomain anpinge, komme ich bei der richtigen IP raus. Heißt das, dass es bereits funktioniert? (aktuell aus dem Internen Netzwerk)

Sollte ich es nun mal mit einem externen Internetanschluss versuchen?

Ist es richtig in den IPv4-Einstellungen die IP aus dem Ergebnis einzutragen? Fehlt oben noch eine IP?

Bitte entschuldigt die vielen Fragen

Anhang anzeigen 838074
 
Zuletzt bearbeitet:
Netzwerkverbindungen sind 1:1 Verbindungen mal von Multi- bzw. Broadcasts abgesehen. Eine Portweiterleitung kann daher nur ein einziges Ziel haben. Es ist nicht möglich, den Port 443 einmal an Gerät1 und einmal an Gerät2 weiterzuleiten, sofern man die Weiterleitung nicht näher spezifizieren kann (zB Quell-IP).

Eine Portweiterleitung an einen Drucker halte ich im übrigen für brandgefährlich. Drucker sind für einen Hacker häufig ein Brückenkopf bei der Infiltration eines fremden Netzwerks, weil sie in der Regel nur unzureichend gesichert sind, wenn überhaupt.
 
  • Gefällt mir
Reaktionen: Ben1804
@Raijin

Vielen Dank für die schnelle und kompetente Antwort sowie für deine Warnung.

Nur leider darf am Drucker nichts verändert werden...

Gibt es eventuell eine Port Alternative für 443? Ich bin bei meiner Suche öfters über 8443 gestoßen, aber der Router hat diesen aktuell nicht gefressen.
 
Prinzipiell können sich der externe und der interne Port bei einer Portweiterleitung auch unterscheiden. Von außen kannst du also durchaus 8443 an eine lokale IP mit Port 443 weiterleiten. 8443 wird häufig als Alternativport zu 443 genutzt. Wenn man jedoch einen anderen externen Port wählt, muss man beim Verbindungsaufbau diesen Port explizit angeben, während die Standardports von der Client-Software häufig implizit ergänzt werden. Sonst müsste man ja beispielsweise bei computerbase.de auch immer :443 dahinterschreiben, dies wird aber vom Browser automatisch ergänzt, wenn https verwendet wird.

Portweiterleitungen bergen immer ein gewisses Risiko, weil sie die Firewall des Routers effektiv aushebeln. In diesem Moment kommt es also auf die Sicherheits des weitergeleiteten Dienstes an. Daher auch die Warnung vor der Drucker-Weiterleitung, weil ich fast wetten möchte, dass ein halbwegs versierter Hacker binnen weniger Minuten in eurem Netzwerk wäre. Ich verstehe auch nicht so recht warum man von außen auf die GUI des Druckers zugreifen muss? Der Sinn erschließt sich mir nicht..

Generell bin ich gerade am Überlegen was die Portweiterleitungen überhaupt sollen, da sich das eigentliche Thema ja um eine VPN-Verbindung dreht. Ist man via VPN mit einem Netzwerk verbunden, sind Portweiterleitungen nicht notwendig, wenn das Routing stimmt und die Firewall(s) entsprechend konfiguriert sind. Die einzige Portweiterleitung, die dann notwendig wäre, ist jene, die die VPN-Ports an den VPN-Server weiterleitet.
 
Der Drucker ist gemietet und sendet automatisch Berichte an Canon, um die monatliche Rate bestimmen zu können.

Mein Ziel ist es, mich jederzeit mit einer Workstation von außen in das Firmennetzwerk einloggen zu können. (active directory)

Angenommen, wir können dem DynDNS-Anbieter vertrauen, wie kann ich eine Portweiterleitung richtig konfigurieren?

Oder fällt dir ein Weg ein, um eine VPN-Verbindung mit IPSec herstellen zu können?
 
Zuletzt bearbeitet:
Wenn der Drucker etwas sendet, braucht er keine Portweiterleitung, weil das eine ausgehende Verbindung ist. Das ist nichts anderes als wenn du an deinem PC eine Webseite aufrufst, einen Server im www anpingst oder dich auf einem TeamSpeak-Server einloggst. Wird von innen eine Verbindung nach außen initiiert, merkt sich der Router diese ausgehende Verbindung in einer Tabelle und hält für die Antwort vom Ziel sozusagen eine Tür offen.

Wird aber von außen eine Verbindung nach innen initiiert, ist das eine eingehende Verbindung und beim Router taucht aus heiterem Himmel am WAN-Port ein Paket auf, ohne dass dieser in der besagten Tabelle bereits eine passende ausgehende Verbindung registriert hat. Dann muss im Router explizit eine Portweiterleitung für das Ziel-Gerät im lokalen Netzwerk eingerichtet werden.

Sendet der Drucker also Daten ins Internet braucht er keine Portweiterleitung. Wird aber vom Internet aus aktiv aufgerufen, muss der Router eine Portweiterleitung haben. Aktuell kann also jeder auf IPvonBen1804:80 im Browser auf deinen Drucker zugreifen......................................................



DynDNS: Das ist nur ein DNS-Dienst. Es wird lediglich eine Domain wie blabla.irgendeinddns.de regelmäßig auf die aktuelle öffentliche IP des Anschlusses verwiesen. Mit der Verbindung hat der DDNS aber nichts zu tun.


Surfst du computerbase.de im Browser an, geht das so:

1. PC fragt bei seinem DNS-Server nach welche IP hinter computerbase.de steckt
2. PC baut eine Verbindung zu dieser IP auf.

Bei DDNS ist das nicht anders, nur dass eben bei jedem Check nach der IP von computerbase.de (oder eben blabla.irgendeinddns.de) jedes Mal eine andere IP-Adresse rauskommen kann. Mit Vertrauen hat das also nix zu tun, weil der DDNS-Anbieter einfach nur eine IP hinter die Domain schreibt und dann nie wieder etwas damit zu tun hat.
 
  • Gefällt mir
Reaktionen: snaxilian und Ben1804
Vielen Dank für die ausführliche Erklärung! Jetzt macht alles schon etwas mehr Sinn für mich.

Allerdings muss ich mich verbessern, da nicht der Drucker die Daten an Canon übermittelt, sondern Canon diese von außerhalb abfragt. Macht nach deiner Erklärung auch wieder mehr Sinn, oder?
Ergänzung ()

Wie könnte ich denn eine VPN-Verbindung herstellen?

Zuerst stelle ich eine neue VPN-Verbindung auf der Workstation ein, oder muss ich zuvor auf dem Server etwas genehmigen?

Anhang anzeigen 838134


Was müsst ich hier beispielhaft eintragen? (Anmeldung per Smartcard gewünscht)

Anhang anzeigen 838135

Bin euch wirklich sehr dankbar!
Ergänzung ()

Aktuell habe ich folgende Regel in der Firewall mit Port443 hinterlegt:

Nur über IPSec und bestimme Personen zulassen. Natürlich macht diese Regel aktuell nicht viel Sinn, wenn Port 443 bereits belegt ist...

Kann ich zum Testen den Drucker ausschalten oder ändert dies nichts an dem Portproblem, da Canon von außerhalb nach dem Drucker fragt bzw. weil der Port im Router für den Drucker eingestellt ist?

Anhang anzeigen 838147


Anhang anzeigen 838148
 
Zuletzt bearbeitet:
Ben1804 schrieb:
Allerdings muss ich mich verbessern, da nicht der Drucker die Daten an Canon übermittelt, sondern Canon diese von außerhalb abfragt. Macht nach deiner Erklärung auch wieder mehr Sinn, oder?
Zum Vergrößern anklicken....
Ja, so würde sich die Portweiterleitung für den Drucker erklären. Es wundert mich dennoch, dass dies über einen Zugriff von außen erfolgt, weil sich dadurch wie bereits erwähnt ein potentielles Sicherheitsrisiko für das Anwendernetzwerk ergibt. Ich hätte erwartet, dass man in der Drucker-Konfiguration zB ein Canon-Konto nebst Login hinterlegt und der Drucker die Daten dann aktiv dorthin schickt, also ausgehende Verbindung ohne die Notwendigkeit einer Portweiterleitung.

Abgesehen vom Sicherheitsgedanken ergibt sich nämlich noch ein weiteres Problem: Was macht Canon, wenn man 2, 5 oder 10+ Drucker im Haus hat? Und was ist, wenn der Kunde selbst einen Webserver auf 80/443 betreiben möchte? Sowas Verrücktes wie die Firmen-Webseite?

Ben1804 schrieb:
Wie könnte ich denn eine VPN-Verbindung herstellen?
Zum Vergrößern anklicken....
Da ich von der Windows-Server-Welt seeeeehr wenig Ahnung habe, kann ich dir das so leider nicht beantworten, insbesondere bei Geschichten wie Domänen, AD, SmartCard, etc.

Ich selbst würde einen Fernzugriff über ein VPN-Gateway bereitstellen, sei es in einem FortiGate, WatchGuard oder auch pfSense und Co.

Ben1804 schrieb:
Nur über IPSec und bestimme Personen zulassen. Natürlich macht diese Regel aktuell nicht viel Sinn, wenn Port 443 bereits belegt ist...
Zum Vergrößern anklicken....
Der Screenshot scheint aus der Firewall zu kommen. Damit stellt man letztendlich nur ein ob die eingehenden Pakete auf dem fraglichen Port erlaubt oder verworfen werden. Mit Weiterleitungen hat das erstmal nichts zu tun, abgesehen davon, dass die Weiterleitung die Pakete eben hier hinleitet und die Firewall dann die Entscheidung trifft ob ja/nein.

Ben1804 schrieb:
Kann ich zum Testen den Drucker ausschalten oder ändert dies nichts an dem Portproblem, da Canon von außerhalb nach dem Drucker fragt bzw. weil der Port im Router für den Drucker eingestellt ist?
Zum Vergrößern anklicken....
Einer Portweiterleitung ist es ziemlich egal ob das Zielgerät eingeschaltet ist oder nicht. Der Router leitet eingehende Pakete vom WAN-Port, die zB an TCP 443 gerichtet sind, einfach an die IP aus der Portweiterleitung weiter. Was mit den Paketen auf dem weiteren Weg passiert – inkl. der Bearbeitung im Ziel – kann der Router gar nicht beurteilen und schon gar nicht beeinflussen. Das einzige was in einem Router umgesetzt ist, ist die besagte Fehlererkennung, wenn man zwei quasi-identische Portweiterleitungen einrichtet, also zB extern 443 -> intern A:443 + extern 443 -> intern B:443.



Versteh mich nicht falsch, aber wenn es sich hierbei um ein Firmennetzwerk handelt, bekommt man allmählich Bauchschmerzen, wenn du daran rumbastelst, ohne zu wissen was du da tust. Es fehlt schon am Verständnis der Grundlagen und das wird unweigerlich zu einer Fehlkonfiguration führen - mit ungeahnten Folgen...
 
Try and Error, fehlendes Basiswissen über die grundlegenden Netzwerkprotokolle & -funktionen. Ich hoffe inständig, dies ist nicht für ein Unternehmen wo du der einzige "Admin" bist aber sei es drum. Deine Verantwortung und somit dein Problem, nicht meins^^

Ja, natürlich muss zuerst der VPN-Server korrekt eingerichtet sein und funktionieren bevor du mit dem Laptop eine Verbindung aufbauen kannst.

Was genau erhoffst du dir davon, auf dem Server, wo der VPN-Dienst vermutlich laufen soll, eine Firewallregel anzulegen?
In eurem Router wird eine Portweiterleitung eingerichtet sein:
Quelle: externe-IP Port 443, ggf. noch Protokoll TCP, Ziel: interne-IP-des-Canon-Druckers Port 443, ggf. noch Protokoll 443

Ein IPSec VPN nutzt jedoch die Ports 500 & 4500, beide je UDP. Du müsstest du in eurem Router einrichten und als interne IP natürlich die IP des Servers auf dem du den VPN-Server installiert hast. Damit funktioniert dann grundlegend auf ISO/OSI Layer 2 & 3 der Zugriff auf den VPN-Server. Welche Benutzer du dann die Verbindung erlaubst legst du im VPN-Server fest. Alle anderen Verbindungsversuche werden dann abgelehnt. Deine Screenshots der Windows Host-Firewall sind hier nicht relevant. Du musst aber natürlich sicher stellen, dass UDP500/4500 in der Host-Firewall erlaubt sind für die VPN-Anwendung.

Neben der offensichtlichen Tatsache, dass du so gut wie keine Ahnung hast was du da machst gehe ich davon aus, dass du auch nicht immer nachvollziehen kannst was @Raijin oder ich oder andere dir hier empfehlen.

Wenn jetzt jemand dir hier die vermeintlich perfekte Lösung auf dem Silbertablett präsentiert, du diese abtippst und es funktionierst kannst du nicht sicher sein, dass in der Anleitung nicht doch eine Hintertür ist oder du etwas mit einrichtest, was du eigentlich gar nicht wolltest. Sei es ein Cryptominer, Zugriff für unbefugte Dritte, etc. pp.
Das sind wie diese ganzen ranzigen vermeintlichen Anleitungen und Tutorials im Internet, die mit curl $url | sudo bash beginnen. Sollte man niemals nie blind machen, zumindest wenn das Zielsystem nicht in einem eigenen Netzsegment steht und entsprechend beobachtet wird. Man sollte sich immer angucken was da passieren soll und es zumindest nachvollziehen können denn sonst ist man im schlimmsten Fall nicht mehr der einzige mit administrativem Zugriff auf seinem System ;)
 
  • Gefällt mir
Reaktionen: Ben1804 und Raijin
snaxilian schrieb:
Wenn jetzt jemand dir hier die vermeintlich perfekte Lösung auf dem Silbertablett präsentiert, du diese abtippst und es funktionierst kannst du nicht sicher sein, dass in der Anleitung nicht doch eine Hintertür ist oder du etwas mit einrichtest, was du eigentlich gar nicht wolltest.
[..]
Man sollte sich immer angucken was da passieren soll und es zumindest nachvollziehen können denn sonst ist man im schlimmsten Fall nicht mehr der einzige mit administrativem Zugriff auf seinem System
Zum Vergrößern anklicken....
Besser hätte ich es nicht schreiben können. Ich würde gar soweit gehen, dass in so ziemlich jedem Tutorial mindestens ein Fehler drinsteckt oder zumindest das behandelte Szenario mehr oder weniger leicht von dem des Betrachters abweicht, dieser die Abweichung nicht bemerkt und es am Ende dann nicht funktioniert. Das muss noch nicht mal vorsätzlich sein, sondern ist absolut menschlich, egal ob der Tutorial-Schreiber ein Anwender mit gefährlichem Halbwissen oder ein versierter Fachmann ist. Auch letzterer kann Fehler machen, wenn er etwas, das er normalerweise mit einem Handgriff erledigt, plötzlich in 12 Schritten erklären muss.
 
  • Gefällt mir
Reaktionen: Ben1804
Guten Morgen zusammen,

vielen Dank für Eure ausführlichen Beiträge. Ich melde zeitnah nochmal, da ich gerade anderweitig sehr im Stress bin.

Lg,
Ben
 
Servus Leute,

entschuldigt bitte die späte Rückmeldung.

@snaxilian

Vielen Dank, dass du es nochmal so ausführlich erklärt hast. Habe es damit hinbekommen.

@Raijin

An dich auch nochmal ein dickes Dankeschön!
Ergänzung ()

-closed-
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Fritzbox 7530 und 7412 via VPN (IPSec) verbinden (Vodafone DS-Lite & 1&1 IP4)
Antworten
9
Aufrufe
499
grünerbert
grünerbert
R
Suche VPN-Client (ipsec) für Win 11
2
Antworten
21
Aufrufe
736
raimuell
R
H
Fritz VPN ipsec client Win10 einrichten
Antworten
9
Aufrufe
1.094
riversource
R
BloodGod
iPhone geht über VPN, ipad nicht (FRITZ!Box)
Antworten
11
Aufrufe
2.655
TomH22
T
D
MacMini + 2x 8TB Festplatten als NAS für Backup & Datengrab über VPN
Antworten
10
Aufrufe
601
end0fseven
end0fseven
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz