Zum Inhalt wechseln


Foto

VPN - Ports für Firewall?


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 Bandito

Bandito

    Newbie

  • 31 Beiträge

 

Geschrieben 30. Januar 2003 - 11:53

hallöchen,

kann mir jemand sagen, ob noch weitere ports außer dem 500- und dem 1723 -er für einen vpn server nötig sind, um durch die firewall zu kommen? :confused:
habe jetzt schon einige unets durchsucht aber leider nix konkretes gefunden. :o

möchte einen vpn server hinter einer firewall einrichtern - alles w2k
( www - firewall - vpn - priv.netz )

wäre nett wenn mir da jemand weiterhelfen könnte :wink2:

thanks

#2 zuschauer

zuschauer

    Board Veteran

  • 6.558 Beiträge

 

Geschrieben 30. Januar 2003 - 23:32

Hi bandito !
Für eine PPTP-Verbindung brauchst Du TCP/UDP - Port 1723 und das Protokoll Nr. 47 (GRE).
Für L2TP den Port 500 und die Protokolle Nr. 50 eventuell 51 (Protokoll 51 ist aber nicht NAT-fähig- entfällt bei Dir wahrscheinlich sowieso).
Wo ist Dein Problem, irgendwas scheint ja nicht zu funktionieren.

Zu diesen Protokollen 47 und 50. Die sind bei den meisten Routern und Firewalls nicht explizit erwähnt, da klar ist, wenn Du eine PPTP-Verbindung durchläßt, daß Protokoll 47 benötigt wird und bei L2TP (wird oft auch als IPSec-Verbindung bezeichnet) Protokoll 50 benötigt wird.

zuschauer

#3 Bandito

Bandito

    Newbie

  • 31 Beiträge

 

Geschrieben 06. Februar 2003 - 18:13

Thanks Zuschauer!!!

Hat geholfen :)

#4 Tomy Tom

Tomy Tom

    Member

  • 208 Beiträge

 

Geschrieben 13. März 2006 - 16:15

OK der Beirag ist zwar etwas älter, aber passt genau auf mein Problem :)

Für VPN habe ich den Port 1723 als eingehenden und ausgehenden Port auf der Firewall freigegeben.
Leider war keine VPN Verbindung möglich, da die Firewall des Routers alle anderen ausgehenden Ports blockiert.
Nun habe ich per TCPVIEW nachgeschaut und festgestellt das auf Port 1050 eine Anfrage kommt.
Nach dem ich diesen Port auf der Firewall als ausgehnde Verbindung freigegeben hatte funktinierte auch VPN.
Nach der Trennung von VPN und dem erneuten Versuch ging es leider nicht mehr, da als nächstes auf Port 1051 eine Anfrage kam.
Somit habe ich nun auf der Firewall bis jetzt die Ports 1050 - 1100 freigegeben und auch per TCPVIEW festgestellt, daß jedesmal der Port hochgezählt wird.
Also eine VPN Verbindung auf 1070 gemacht, die VPN Verbindung getrennt und bei der nächsten VPN Verbindung wird der Port 1071 genommen.

Die Frage die sich mir nun stellt ist bis zu welchen Ports ich die Regel freigeben muß, also bis wohin maximal hochgezählt wird, oder kann ich dies bei den Servereinstellungen eventuell verhindern ?

Als Server läuft ein SBS 2003 mit Routing und RAS und bei Routing und RAS habe ich als PPTP Port maximal 5 eingestellt.
Tschau

Tomy Tom

Never Surrender

#5 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 13. März 2006 - 16:24

Der Client benutzt Ports >1024 und verbindet sich mit dem Serverport 1723. Es ist also schwierig, eine Regel für eine bestimmte Clientportrange zu definieren, da der Port dynamisch vom Betriebssystem festgelegt wird. Meine Verbindung hier fängt zum Beispiel bei 1983 an ...
Ich bin S-1-5-XXX-500, ich darf das ...

#6 Tomy Tom

Tomy Tom

    Member

  • 208 Beiträge

 

Geschrieben 13. März 2006 - 17:05

Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ??

Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt.

Ich meine, wenn ich eine Firewall habe und mit dieser entsprechend nur bestimmte Ports für Applikationen freigebe wird es mir als administrator doch um so schwerer gemacht, wenn ich applikationen habe, welche nur mit dynamischen Ports arbeiten (Skype ist u.a. auch so ein Kandidat).
Wenn das dann nur geht wenn ich die Ports 1-65535 öffne, dann kan ich ja auch gleich die Firewall unkonfiguriert lassen :(
Tschau

Tomy Tom

Never Surrender

#7 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 13. März 2006 - 17:10

Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ??

Mag sein, dass du so was we "Hochzählen" festgestellt hast, aber der Client krallt sich normalerweise einen beliebigen freien Port oberhalb von 1023. Du müsstest also korrekterweise alle Antwortports von 1024-65535 aufmachen.

Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt.(

Nein. Du musst nur eine entsprechende Firewall haben, ich weiß nicht was du für eine hast, aber jede Durchschnittsfirewall kann Stateful Inspektion, d.h. sie macht die Ports auf (Antwortports), die für zugelassenen Verkehr benötigt werden.


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#8 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 13. März 2006 - 17:13

Du hast genau einen Port auf, den TCP 1723. Der Client baut zu diesem Port eine Verbindung auf und muss deswegen auch einen Endpunkt definieren (seinen Client-Port + seine IP-Adresse). Ich verstehe ehrlich gesagt nicht, was Du meinst ...
edit: zu langsam bin ich ... :D
Ich bin S-1-5-XXX-500, ich darf das ...

#9 Tomy Tom

Tomy Tom

    Member

  • 208 Beiträge

 

Geschrieben 15. März 2006 - 12:29

Die Sache liegt wie folgt.

Es wurde ein Router mit Hardwarefirewall gekauft.
Auf dieser Firewall wurde eingestellt das als ausgehende Ports nur der Port 110, 25, 80 und 443 für die IP desServers geöffnet ist.
Alle anderen Ports werden geblockt.

Auf dem Server läuft Routing und RAS, sowie DNS und die User gehen über den Server in das Internet.
E-Mails holt der Server selbst ab.

Als eingehende und ausgehende Regel habe ich nun den Port 1723 geöffnet, da VPN per PPTP gewünscht wird.
Leider kommt aber keine Verbindung zustande, da eben der entsprechende Port der angefordert bzw. vergeben wird durch die letzt Regel blockt.

Wie gesagt VPN funktioniert ja wenn ich die letzte Regel BLOCK ANY ALL deaktiviere.
Tschau

Tomy Tom

Never Surrender

#10 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 12:55

Machst Du das eigentlich mit einer Portumleitung von der externen Routeradresse nach innen zum Server ? Der Server macht sicher NAT ...
Ich weiss jetzt nicht, was man und wie man das an Deinem Router einstellt ...
Inbound
Quelladresse:Any Quellport:TCP>1024 Zieladresse:Adresse des Servers Zielport:TCP 1723
Outbound
Quelladresse:IP des Servers Quellport:TCP 1723 Zieladresse:Any Zielport:TCP>1024
edit:
http://www.hsc.fr/re...rv/ch02s03.html
Ich bin S-1-5-XXX-500, ich darf das ...