Jump to content

VPN - Ports für Firewall?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallöchen,

 

kann mir jemand sagen, ob noch weitere ports außer dem 500- und dem 1723 -er für einen vpn server nötig sind, um durch die firewall zu kommen? :confused:

habe jetzt schon einige unets durchsucht aber leider nix konkretes gefunden. :o

 

möchte einen vpn server hinter einer firewall einrichtern - alles w2k

( www - firewall - vpn - priv.netz )

 

wäre nett wenn mir da jemand weiterhelfen könnte :wink2:

 

thanks

Link zu diesem Kommentar

Hi bandito !

Für eine PPTP-Verbindung brauchst Du TCP/UDP - Port 1723 und das Protokoll Nr. 47 (GRE).

Für L2TP den Port 500 und die Protokolle Nr. 50 eventuell 51 (Protokoll 51 ist aber nicht NAT-fähig- entfällt bei Dir wahrscheinlich sowieso).

Wo ist Dein Problem, irgendwas scheint ja nicht zu funktionieren.

 

Zu diesen Protokollen 47 und 50. Die sind bei den meisten Routern und Firewalls nicht explizit erwähnt, da klar ist, wenn Du eine PPTP-Verbindung durchläßt, daß Protokoll 47 benötigt wird und bei L2TP (wird oft auch als IPSec-Verbindung bezeichnet) Protokoll 50 benötigt wird.

 

zuschauer

Link zu diesem Kommentar
  • 3 Jahre später...

OK der Beirag ist zwar etwas älter, aber passt genau auf mein Problem :)

 

Für VPN habe ich den Port 1723 als eingehenden und ausgehenden Port auf der Firewall freigegeben.

Leider war keine VPN Verbindung möglich, da die Firewall des Routers alle anderen ausgehenden Ports blockiert.

Nun habe ich per TCPVIEW nachgeschaut und festgestellt das auf Port 1050 eine Anfrage kommt.

Nach dem ich diesen Port auf der Firewall als ausgehnde Verbindung freigegeben hatte funktinierte auch VPN.

Nach der Trennung von VPN und dem erneuten Versuch ging es leider nicht mehr, da als nächstes auf Port 1051 eine Anfrage kam.

Somit habe ich nun auf der Firewall bis jetzt die Ports 1050 - 1100 freigegeben und auch per TCPVIEW festgestellt, daß jedesmal der Port hochgezählt wird.

Also eine VPN Verbindung auf 1070 gemacht, die VPN Verbindung getrennt und bei der nächsten VPN Verbindung wird der Port 1071 genommen.

 

Die Frage die sich mir nun stellt ist bis zu welchen Ports ich die Regel freigeben muß, also bis wohin maximal hochgezählt wird, oder kann ich dies bei den Servereinstellungen eventuell verhindern ?

 

Als Server läuft ein SBS 2003 mit Routing und RAS und bei Routing und RAS habe ich als PPTP Port maximal 5 eingestellt.

Link zu diesem Kommentar

Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ??

 

Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt.

 

Ich meine, wenn ich eine Firewall habe und mit dieser entsprechend nur bestimmte Ports für Applikationen freigebe wird es mir als administrator doch um so schwerer gemacht, wenn ich applikationen habe, welche nur mit dynamischen Ports arbeiten (Skype ist u.a. auch so ein Kandidat).

Wenn das dann nur geht wenn ich die Ports 1-65535 öffne, dann kan ich ja auch gleich die Firewall unkonfiguriert lassen :(

Link zu diesem Kommentar
Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ??

Mag sein, dass du so was we "Hochzählen" festgestellt hast, aber der Client krallt sich normalerweise einen beliebigen freien Port oberhalb von 1023. Du müsstest also korrekterweise alle Antwortports von 1024-65535 aufmachen.

 

Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt.(

Nein. Du musst nur eine entsprechende Firewall haben, ich weiß nicht was du für eine hast, aber jede Durchschnittsfirewall kann Stateful Inspektion, d.h. sie macht die Ports auf (Antwortports), die für zugelassenen Verkehr benötigt werden.

 

 

grizzly999

Link zu diesem Kommentar

Die Sache liegt wie folgt.

 

Es wurde ein Router mit Hardwarefirewall gekauft.

Auf dieser Firewall wurde eingestellt das als ausgehende Ports nur der Port 110, 25, 80 und 443 für die IP desServers geöffnet ist.

Alle anderen Ports werden geblockt.

 

Auf dem Server läuft Routing und RAS, sowie DNS und die User gehen über den Server in das Internet.

E-Mails holt der Server selbst ab.

 

Als eingehende und ausgehende Regel habe ich nun den Port 1723 geöffnet, da VPN per PPTP gewünscht wird.

Leider kommt aber keine Verbindung zustande, da eben der entsprechende Port der angefordert bzw. vergeben wird durch die letzt Regel blockt.

 

Wie gesagt VPN funktioniert ja wenn ich die letzte Regel BLOCK ANY ALL deaktiviere.

Link zu diesem Kommentar

Machst Du das eigentlich mit einer Portumleitung von der externen Routeradresse nach innen zum Server ? Der Server macht sicher NAT ...

Ich weiss jetzt nicht, was man und wie man das an Deinem Router einstellt ...

Inbound

Quelladresse:Any Quellport:TCP>1024 Zieladresse:Adresse des Servers Zielport:TCP 1723

Outbound

Quelladresse:IP des Servers Quellport:TCP 1723 Zieladresse:Any Zielport:TCP>1024

edit:

http://www.hsc.fr/ressources/articles/win_net_srv/ch02s03.html

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...