ComputerBase Menü
Aktuelles

Über den VNC Port durch ein VPN Gateway auf ein System zugreifen

Ich danke dir VIELMALS! Ich habe dieses Thema in mehrere Foren gekloppt. Aber so richtig konnte/wolle mir niemand bei der ganzen Sache helfen. Du bist mein Held des Jahres!
Ich prüfe mal die Tage, ob ich das ganze reproduzieren kann auf ner anderen SD Karte
 
Kein Problem, dafür ist das computerbase Forum da.

Dati666 schrieb:
Ich prüfe mal die Tage, ob ich das ganze reproduzieren kann auf ner anderen SD Karte
Zum Vergrößern anklicken....
Das ist sehr zu empfehlen. Wie gesagt, vom blind abtippen lernt man nix und baut eben auch unbewusst Fehler mit ein wie es hier ja mangels der anfänglichen Skizze passiert ist. Im worst case baut man sogar aktiv Sicherheitslücken mit ein. Gerade wenn du dich berulich in die IT orientierst, sind Linux-Kenntnisse zwar (leider) keine Grundvoraussetzung, aber extrem hilfreich und auch gern gesehen. Vom KnowHow im Bereich Routing und Firewalling ganz zu schweigen.

Übrigens: Da ich nicht weiß was das für Netzwerke sind, in denen der VNC-PC steht, solltest du darüber nachdenken, den Rückweg vom Remote-Netz ins Büro-Netz innerhalb des PI oder spätestens innerhalb der Sophos ausschließlich auf die VNC-Verbindung zu begrenzen. Ansonsten besteht im worst case die Möglichkeit, dass ein fachkundiger Nutzer im Remote-Netz gezielt über den PI in euer Büro-Netzwerk eindringt.

Dazu würde ich in der Sophos Traffic blockieren, der nicht zur VNC-Verbindung gehört und über das VPN ins Büro-Netz soll. Theoretisch könnte man auch im PI etwas blocken, aber da der potentielle Angreifer physischen Zugang zum PI hat, kann er eben mit entsprechendem KnowHow auch eventuelle Sicherheitsmechanismen aushebeln. An die Sophos käme er aber nicht ran.
 
Raijin schrieb:
Gerade wenn du dich berulich in die IT orientierst, sind Linux-Kenntnisse zwar (leider) keine Grundvoraussetzung, aber extrem hilfreich und auch gern gesehen. .
Zum Vergrößern anklicken....
Und tatsächlich auch gut bezahlt... Ich habe einen zusätzlichen Linux Essentials Kurs in der Schule belegt. Um Linux werde ich in meiner Laufbahn nicht rumkommen. Daher am besten so früh wie möglich damit anfangen.
 
  • Gefällt mir
Reaktionen: Raijin
Eins noch: Hast du es jetzt eigentlich mit dem zusätzlichen Masquerade (Step 6) oder über die Firewall/Routing Tabelle des Ziel-PCs (Step 4+5)? Letzteres ist wie gesagt die sauberere Variante. Wenn du es mit Masquerade gemacht hast, wäre es doch mal einen Versuch wert, ob es mit der anderen Variante klappt ;)
 
Da gibts keine Masquerade Einträge mehr :P
Den Schritt habe ich gekonnt ausgelassen.
 
Na wunderbar, also ein voll geroutetes Setup. So soll's sein. Jetzt fehlt wie gesagt nur noch die Firewall in der Sophos, um ein Eindringen ins Firmennetzwerk zu verhindern. Das solltest du nicht unterschätzen. Gut, wenn man sie hat und nie braucht, dumm, wenn man sie nicht hat und gebraucht hätte.

Ich würde dazu auf dem VPN-Interface Regelset nehmen wie es üblicherweise auch bei WAN-Ports zum Einsatz kommt:

Interface: VPN
Richtung: eingehend

1 ACCEPT established/related
2 DROP invalid
3 ACCEPT irgendwas (optional)
Default DROP

Regel 3 ist optional. Hier würden Zugriffe definiert werden, die von außen initiiert werden, also von VPN-Seite. Vergleichbar mit einem Zugriff auf den eigenen Internet-Router von WAN-Seite aus. Eingehende Verbindungen werden vollständig geblockt, bis auf legitime Antwort-Pakete von Verbindungen, die ausgehend hergestellt wurden (zB der Aufruf einer Internetseite oder eben eine VNC-Verbindung).

Streng genommen müsstest du jetzt noch dafür sorgen, dass man auch nicht von Kunden-Netzwerk zu Kunden-Netzwerk kommt. D.h. client-to-client muss im VPN-Server deaktiviert sein.
 
Sach mal, ich wüsste nicht warum. Aber ist der gute so konfiguriert, dass er nur Routen in das 10.90.0.0 Netzwerk akzeptiert?
Die 10.242.3.0/24 müsste er auch noch reinlassen. Ich vestehe aktuell nur noch nicht warum er das nicht tut.

Hat sich gerade erledigt.
Ich bin nur doof und es ist spät..
Lösung: Ich hatte zwar eine Route in das 10.242.3.0 Netzwerk auf dem Ziel PC geschrieben, allerdings habe ich dabei übersehen dass es da eine andere Mask ist.. statt der 255.255.254 hat das Netzwerk 255.255.255...
Aber ich verstehe den Aufbau des ganzen Dings immer mehr!
Ich mache es zwar zwischendurch kaputt, bekomme es dann aber auch wieder repariert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

RockNLol
VPN Gateway mit debian
Antworten
7
Aufrufe
1.430
Raijin
Raijin
I
VPN "Gateway" zwischen Geräte und Router im Heimnetz installieren
Antworten
6
Aufrufe
1.391
BlubbsDE
BlubbsDE
H
Virtuelles Linux als VPN-Gateway
Antworten
7
Aufrufe
3.074
hodlgang
H
D
Drucken über eine VPN-Verbindung ( FritzBox als VPN-Gateway )
Antworten
3
Aufrufe
4.877
Datax
D
R
Endian Firewall als VPN Gateway
Antworten
4
Aufrufe
2.512
ronnyp
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz