Muelli

Hi Hannes, kommt immer auf die Umsetzung an. Wir haben z.B. den VPN Server im Hardwarerouter mit drin und nicht im W2K Server oder DC. Den Router interessiert in erster Linie erst mal nicht irgendeine Domänenanmeldung. Wenn der Client die Berechtigung zum Tunnelaufbau hat, bekommt er eine IP aus dem Remotenetz und der Router leitet alles weitere ins Netz durch. Welche Domänenrecourcen dann für den Client nutzbar sind steht auf einem anderen Blatt. Die andere Seite ist natürlich die, dass der Router seitens des Clients auch VPN Pakete durchlassen muss. Dazu muss er "VPN pass through" fähig sein oder als neuere Ausführung ein VPN-T (Traversal) Router sein. Gruß Mülli

Hi t-ommi, tracert ist ein Command Befehl - sprich die Konsole (DOS Box :D ) öffnen und tracert 'IP Adresse' eingeben. Dann listet er alle Stationen auf, die das Paket lurchläuft. Ansonsten würde ich aber erst mal eine Minimalkonfiguration testen, d.h. sämtliche MAC Zugangskontrollen, Verschlüsselungen und SSID Versteckspiele im AP abschalten. Wenn das dann läuft, eins nach dem anderen wieder reinnehmen. Ich hatte auch schon öfters den Fall, dass zwar eine Verbindung angezeigt wird, sprich er hat sich mit dem WLAN Netzwerk verbunden, eine wirkliche Datenübertragung aber auf Grund von Verschlüsselungsungereimtheiten oder falschen IP Adressen nicht zustande kam. Gruß Mülli

Hi, erst mal Dank für den Tipp. Habe das mal getestet. Auf jeden Fall einfach und intuitiv zu bedienen. Allerdings keine Freeware. Weiterhin stört mich, dass quasi nur Screenshots aneinandergereiht werden. man kann zwar die "Schussfolge" auf 0,2 s einstellen, wenn man dass aber dann als avi exportiert, sind die Sprünge trotzdem einfach zu groß, insbesondere weil ich auch 3D Animationen damit mitschneiden will. Gruß Mülli

Moin Community, möchte bestimmte Arbeitsschrittabfolgen bei der Benutzung verschiedener Software unter Windows für unsere User in der Firma mal als Demo avi mitschneiden. Ich will also bestimmte Bedienschritte bei mir durchführen und ein Tool im Hintergrund "filmt" sozusagen alles mit und macht daraus ein AVI, welches sich dann unsere User bei Bedarf ansehen können. Kann jemand solch ein Freeware-Tool empfehlen, wenn möglich mit Download Link? Grüße Mülli

Hi jmm, habe zu Hause einen Vigor 2200W+ und in der Firma einen Vigor 2900G, beide also mit WLAN und bei beiden wird es auch genutzt. Bei beiden hatte ich auch schon mal Probs, dass die Verbindung sporadisch beim 2200er abbrach oder aber gar keine Verbindung (2900er) mehr zustande kam. Beim 2200er dachte ich, mein Notebook WLAN Modul hätte einen Knacks weg, da ein anderer Rechner mit Funk PCI Karte problemlos funtzte. Notebook also zweimal zur Reparatur. Doch ohne Erfolg. Am Ende half nur die MAC Zugangskontrolle im Router abzuschalten (obwohl sie ein Jahr lief), welche also nur registrierte Netzwerkkarten für den Funkzugriff zuließ. Nunmehr läuft er nur noch mit Verschlüsselung aber ohne MAC ZUgriffskontrolle. Seit dem geht's wieder. Unser 2900er in der Firma ließ vor zwei Tagen überhaupt keinen mehr über Funk ran. Hatte den Router mehrfach über das Webinterface neu starten lassen (Warmstart quasi) aber ohne Erfolg. Fing schon an, an den Notebook herumzudocktern. Am Ende habe ich den Router einmal mit dem Schalter an der Rückseite komplett abgeschaltet und dann neu gestartet, Seit dem läuft's wieder. Werde mal weiter beobachten. Gruß Mülli

lokal ist zumindest überall 'ne KERIO PFW drauf. Http ist offen, natürlich nur für bestätigte Programme a la IE und Firefox. Zugriffe auf Freigaben nur für "trusted Network" sprich eigenes Subnet. Tiefere Analyse der http Pakete findet nicht statt, falls Du das mit http Scanner meinst. ... ist das dolle schlimm? Auch in der Firma läuft nur die beschriebene Router FW, die aber eigentlich gut abgedichtet wurde. Zumindest lasse ich das von Zeit zu Zeit mal mit Portscans testen. Irgendwo muss ich leider aufhören mit Security (kleine Firma, kein Budget für sooon Zeugs, offiziell verantwortlich ist sowieso keiner, ....) Grüße Mülli

Hi Data, Das glaube ich auch. Dann ist es wohl 'business as usual' den Clients zu trauen. Zumindest werde ich aber den Internetverkehr von den Clients bei bestehender VPN Verbindung nicht übers VPN laufen lassen. Das soll er sich mal schön lokal besorgen. ;) Bin halt nur auf die Problematik gestoßen, weil DrayTek ein Firmwareupdate für den Router bereit gestellt hat, welches die Filterung des VPN Verkehrs als neues Feature enthält. Gruß Mülli

War ein bisschen dümmlich die Frage. Sicherlich muss der Port offen sein, sonst würde ja keine VPN Einwahl laufen. Muss also letztendlich auf die sichere Implementierung des VPN Dienstes im Router hoffen, so dass sich keine Angriffsmöglichkeiten ergeben. Der Schreck war halt nur groß, als zwischen all meinen gefilterten Ports auf einmal ein roter offener Port aufleuchtete. Man denkt dann sofort, dieser offene Port lacht förmlich auch alle Hacker an. Gruß Mülli

Moin Community, Bei uns ist der Firewall NAT Router (Draytek Vigor 2900G) auch der VPN Server. Die Einwahl erfolgt über PPTP (CHAP + MPPE 128). Der Router macht keinen Reply auf PING Pakete und die Firewall ist bis auf die notwenigen Ports (von innen nach außen) und deren Antwortpakete dicht. Nunmehr ist aber der VPN Server aktiviert, was bei Portscans ein großes Loch bei 1723 PPTP zeigt. Muss man sich darüber Gedanken machen? Der Port muss ja leider offen sein, um die Einwahl zu ermöglichen. Eine weitere Problematik, worüber ich mir gerade Gedanken mache, ist die Möglichkeit, den gesammten VPN Verkehr auch über die Firewall filtern zu lassen. Das ist grundsätzlich als Zusatzoption möglich. Nur dann funzt der ganze Windows Verkehr nicht mehr, weil dieser, andere zusätzliche Ports und SMB haben will. Wenn ich meine FW Regeln nicht verändere, komme somit als Beispiel auf keine Netzwerkumgebung mehr. Die Alternative ist, die Firewall aufzubohren. Das will ich aber nicht. Also leite ich den VPN Verkehr an der FW vorbei. Wie sind so Eure Erfahrungen und Meinungen? Gruß Mülli

Moin Community, gibt es eine Möglichkeit die Login Scripte, die bei Domänenanmeldung vom DC abgerufen werden, auch bei späterer VPN Einwahl noch automatisch auszuführen? Eine batch datei auf den Desktop zu legen, welche dann manuell ausgeführt werden muss, ist natürlich auch noch machbar aber nicht so elegant. Innerhalb des Netzwerks werden über die Scripte in Abhängigkeit vom User Netzlaufwerke verbunden. Wenn die XP Notebooks aber nun unterwegs sind und die Anmeldung an die Domäne beim Start aus dem Cache erfolgt ist, fehlen nach der VPN Einwahl natürlich die Netzlaufwerke. Ich könnte natürlich auch in allen Notebooks die Netzlaufwerke fest einrichten. Doch das ist sehr unschön und macht nur Arbeit. ;) Der VPN Server ist übrigens ein Vigor FW Router also nicht der Windows Server selber. Grüße Mülli

Hi Data, vielen Dank für den Hinweis. Diese ständige Updateritis macht einen ja vielleicht fertig. Anyway. Auch mit dem neuen SmartVPN Client das selbe Spielchen. Mit PPTP reagiert alles relativ zügig, mit L2TP over IPSec sehr sehr träge. Wobei ein anderer Effekt festzustellen ist. Wenn ich mich erst einmal zu einer Datei auf dem Remotenetzwerk durchgehangelt habe und dann die Kopierzeit auf den Client über VPN stoppe, gibt es kaum Unterschiede. Die L2TP Verbindung ist sogar etwas schneller, was aber auch streuen kann. Jedenfalls scheint also der Kopiervorgang als solches nicht das Prob zu sein sondern eher der Windows Explorer. Kann es sein, dass L2TP Probleme mit SMB hat und deshalb der Explorer sooooo langsam die Netzwerkumgebung durchsucht? Gruß Mülli ach so, was ich vergessen habe: von den 46kBit/s Modemverbindung zu Arcor bleiben real beim Kopieren ca. 30kBit übrig. Sauschnelles Arbeiten damit :D ...nur mal so zur Info

Moin Data & Co. wie sehen so Eure Erfahrungen im Vergleich von PPTP (CHAP + MPPE) gegenüber L2TP mit IPSec Transport Mode (DES + MD5 oder 3DES + MD5) aus? Worauf ich hinaus will, ist die Geschwindigkeit. Auch wenn ich z.Zt. nur über Modemeinwahl teste (und das lässt schon arg zu wünschen übrig) geht PPTP noch halbwegs. Ordnerstrukturen vom Remotenetzwerk werden innerhalb von ca. 5 - 10 Sekunden im Explorer erweitert. Dagegen geht bei L2TP mit IPSec fast gar nichts. Die Verbindung kommt sauber zu Stande, allerdings nur über den SmartVPN Client von DrayTek. Doch dann muss ich auf jede Aktion Ewigkeiten warten. Wenn ich mir im Statusmonitor vom VPN Server (Router) die TX und RX Pakete ansehe erhöht sich deren Anzahl im Laufe der Verbindung nur sehr langsam im Gegensatz zu PPTP. Nach jeweils 10 Sec. Updatezeit im Monitor habe ich nur 2-3 Pakete dazu bekommen. Nun erzeugt zwar IPSec einen gewissen Headeroverlay durch AH und ESP, aber dass das gleich soviel ausmacht? Ansonsten sollten der Rechner und der Router eigentlich schnell genug für die DES Verschlüsselung sein. Wie sind Eure Erfahrungen im direkten Vergleich? Grüße Mülli

Ja, diesbezüglich müssen die Vigors wohl noch passen. Hier ein Link wo beschrieben ist, was geht und was nicht: http://www.draytek.com/support/support_note/router/faq/vpn/17.php Das muss ich im Einzelnen erst mal alles durchprobieren, mal über DFÜ und mal über NAT Router. Das ist wohl der einzige Weg, das alles halbwegs zu begreifen auch wenn man noch so viel darüber gelesen hat. Gruß Mülli

Das muss ich doch glatt mal checken. Habe natürlich den Smart VPN Client von meinem älteren Router zu Hause genommen. Geh gleich mal und suche mir die CD zu unserem neuen 2900er raus. Allerdings geht wohl IPSec sowieso nicht so recht als pass through über einen NAT Router hinweg. Insofern kann ich wohl IPSec dann nur bei normaler Einwahl nutzen und sobald ich mich hinter einem NAT Router befinde muss ich auf PPTP ausweichen. das WE wird wieder mit Testen verbracht. Gruß und Dank Mülli

Hi Data, die Seiten sind mir bekannt, auch der SmartVPN Client. Leider will er explizit erst eine Einwahl ins Internet durchführen bevor er den Tunnel aufbaut. Nur gehen meine User nicht nur über eine DFÜ Einwahl ans Netz sondern haben mitunter auch eine direkte Netzanbindung über LAN. Die I-Net Verbindung möchte ich also vorher immer selber herstellen, wie auch immer. Der VPN Client soll sich darum nicht scheren sondern nur den Tunnel aufbauen. Gruß Mülli

Hi Data, der DrayTek Vigor steht in der Firma als VPN Server (gleichzeitig FW NAT Router). Als Client für die Remoteeinwahl dient der standardmäßige XP VPN Client. Zu Hause habe ich zwar auch einen Vigor stehen, der arbeitet aber nur als VPN Pass Through und ist erst mal nicht Betrachtungsgegenstand. Der Vigor kann natürlich auch L2TP mit IPSec Transport Mode oder sogar IPSec TunnelMode. Nur dafür bräuchte ich einen guten frei verfügbaren VPN Client, den ich meinen Leuten aufs Notebook spiele. Fällt Dir da was ein? Lebe lange und in Frieden. Grüße Mülli

Hi, Dank erst mal für die Kommentare. Stimmt, jetzt wo Du es sagst, es wird ja gar kein Passwort übertragen sondern nur der Hashwert, der dann auf der Gegenstelle verglichen wird. Damit kann dann ein anderer nicht so schnell was anfangen. Den anderen Thread muss ich mir mal in Ruhe heut abend reinziehen. Grüße Mülli

Hi weg5st0, nur CHAP überträgt zwar das Passwort verschlüsselt - doch für die Verschlüsselung wird nirgends ein Schlüssel abgefragt, d.h. es werden irgendwelche Standardverschlüsselungsverfahren genutzt, die auf jedem Rechner gleich sein müssen, damit man das verschlüsselte Passwort, welches z.B. der VPN Server vom Client geliefert bekommt, auch mit den eingerichteten Passwörtern der einzelnen User vergleichen kann. Also kann doch ein Hacker sich dazwischenhängen und benötigt auch nur einen Rechner, der CHAP kann - mal übertrieben einfach gesagt. Oder vergesse ich da was? .. und ähnlich sind meine Befürchtungen bei der eigentlichen Datenverschlüsselung mit MPPE. Auch hier wird nirgens ein selbstkreierter Schlüssel hinterlegt, mit dem der Datenstrom verschlüsselt wird. Alles ist einfach Standard. Nach außen zwar verschlüsselt, aber kann jeder der MPPE kann nun auch meinen Datenstrom entschlüsseln? Kann mir da jemand meine Ängste nehmen? Gruß Mülli

Moin Community, habe jetzt in unserer kleinen Firma ein VPN Zugang für ausgewählte User eingerichtet und würde gern mal Eure Meinung zum Thema Sicherheit wissen. Haben hier eine W2k Domäne mit einem PDC, welcher auch File-, Fax- und Emailserver ist. Ansonsten ca. 10 Clientrechner mit W2k und XPpro gemischt. Über einen Hardware-FW-Router Vigor 2900G sind wir per NAT ans Netz angebunden. Die FW Regeln sind restriktiv sprich alles ist "zu" und nur ausgewählte Ports sind offen aber gefiltert. Durchgeführte Portscans zeigen alles im grünen Bereich. Der Router ist nun auch der VPN Server. Als VPN User sind 3 Personen im VPN Server angelegt, welche mit XP Notebooks (nur XP VPN Client) ausgestattet sind. Der größste gemeinsame Nenner in Sachen Sicherheit, welchen ich durch Testen aller möglichen Kombinationen herausbekommen habe, ist: PPTP mit CHAP und MPPE. MPPE angeblich mit 128bit Verschlüsselung. Das kann ich jedenfalls auf VPN Server Seite als "gefordert" einstellen. Im Statusmonitor des Routers sehe ich dann auch die verschlüsselte Verbindung ohne natürlich etwas über die Verschlüsselungsqualität zu erfahren. Steht halt nur PPTP mit MPPE (Microsoft Point to Point Encapsulation). L2TP mit IPSec hat leider nicht funktioniert. Eine Verbindung kommt zwar zustande, jedoch zeigt mir der Statusmonitor des Routers an, das die Verbindung unverschlüsselt ist. IPSec Tunnel Mode geht gar nicht. Nun bin ich als VPN Neueinsteiger natürlich nicht sicher, ob ich alles mir derzeit Mögliche getan habe, um Sicherheit zu gewährleisten. Natürlich ist eine Anbindung ans Internet oder eine Verbindung über das Internet nie 100%ig sicher. Desweiteren habe ich auch keinerlei Freiräume bezüglich zusätzlicher Hardware, sprich DMZ aufbauen, RADIUS Server hinstellen u.s.w. Wir sind halt nur 'ne kleine Firma und ich bin schon froh, dass ich den FW/VPN Hardwarerouter anschaffen durfte. Zusätzliche Sicherheit gibt einem natürlich schon die Domänenstruktur. Nur wenn sich ein Notebook, was Mitglied der Domäne ist, über VPN verbindet, bekommt es auch Zugang auf alle Domänenrecourcen und Freigaben. Mit einem Nicht-Mitglieds-Notebook kann man zwar den Tunnel aufbauen, kommt dann aber nicht weiter. In wie weit das "Hacker-fest" ist, weiß ich aber nicht. Weiterhin hat ein VPN User natürlich für die Domänenanmeldung bei Notebookstart und die Einwahl ins VPN jeweils unterschiedliche Usernamen und Passwort erhalten. Nur für den Fall, dass ein Notebook geklaut wird, sind dann schon mal zwei Hürden zu nehmen. Das ist unsere kleine Umgebung. Wäre schön, wenn ein paar Spezialisten von Euch mal ihren Kommentar und/oder Kritikpunkte schreiben würden Gruß Mülli

Moin, kurze Rückmeldung für andere Gleichgesinnte. Eine VPN Verbindung von zu Hause über einen eigenen NAT FW Router (hier Vigor 2200W+) hin zur Firma bei der als VPN Server auch ein NAT Router (statische öffentliche IP) steht, funzt jetzt. Ich musste natürlich erst den kleinsten gemeinsamen Nenner zwischen XP VPN Client und Firmen Router (Vigor 2900G) finden. Am Ende klappte es mit CHAP als Authentisierung und MPPE als Verschlüsselung. Das MPPE konnte ich zwar nicht explizit auswählen, weder im Client noch im Server, allerdings kann man im Client ein Häkchen bei Verschlüsselung auswählen, was dann wohl MPPE zur Folge hat. Der Vigor in der Firma kann es scheinbar verarbeiten, jedenfalls zeigt er an, dass die Daten verschlüsselt ankommen. Weiterhin musste ich die Heim FW im Router leicht öffnen und zwar den Port 1723 (PPTP) in beide Richtungen sowie das GRE Protokoll durchlassen. Da der Router in seiner FW nicht explizit das GRE Protokoll zur Auswahl hatte, konnte ich am Ende nicht einfach eine DENY ALL Regel laufen lassen, sondern musste TCP/UDP, ICMP und IGMP einzeln für in IN und OUT Direction sperren. Alles andere darf durch und somit auch das GRE Protokoll. Auch die KERIO PFW auf dem Clientrechner musste für 1723 und GRE geöffnet werden. Da wir in der Firma 'ne Domäneninfrastruktur haben, habe ich von zu Hause auch alles mit einem Notebook probiert, welches Mitglied ist. Damit kam ich dann auf alle Freigaben in der Firma. Anders sah es mit meinem privaten Notebook aus, welches nicht Mitglied der Domäne ist. Die VPN Einwahl am Firmenrouter funktioniert problemlos. Auch kann ich einzelne Rechner im Firmennetz anpingen. Mehr geht aber nicht. Ich bekomme nicht mal die Arbeitsgruppe (Domänenrechner) in der Netzwerkumgebung zu sehen. Auch die Suche nach einzelnen Rechnern bringt kein Ergebnis. Nehme an, dass das ein gewolltes Sicherheitsfeature der Domäne ist. Allerdings kann ich, wenn ich in der Firma bin, mit Arbeitsgruppenrechnern, welche nicht Mitglied sind, zumindest die Netzwerkumgebung mit allen Domänenrechnern bestaunen, auch wenn ich nicht zugreifen kann. Was ist mir noch aufgefallen: Über ISDN (ohne Kanalbündelung) gehen irgendwelche Dateiübertragungen seeeehr schleppend. Der Verbindungsaufbau geht dagegen zügig von statten. Aber richtig arbeiten kann man damit nicht. Zum Beispiel das Drucken einer Textdatei mit 3 Wörtern auf einen Firmendrucker dauerte ca. 5 min. Mit Word noch viel länger. Dateistrukturen mit dem Explorer durchsuchen dauert immer ca. 20 sec. bis eine Reaktion kommt und der Verzeichnisbaum weiter aufklappt. VNC zur Rechnerfernsteuerung ging gerade noch so. Wie sind so Eure Erfahrungen? Wie läuft die Sache mit LAN-zu-LAN VPN und IP Zuweisung. Das wäre nämlich mein nächster Test. Ich könnte ja die beiden Router sich direkt verbinden lassen. Allerdings wie bekomme ich dann an meinem Rechner eine IP aus dem Firmennetz? Soweit meine derzeitigen Erfahrungen als Neuling in Sachen VPN. Wen's interessiert .... Grüße Mülli

gleich noch was dazu: nachdem unser VPN Server aktiviert und zunächst zu Testzwecken im Netz hängt, wird nun der PPTP Port 1723 als vollkommen offen bei einem Portscan angezeigt. Muss das so sein? Gruß Mülli

Moin Community, mich interessieren mal Eure Erfahrungen mit diversen Software VPN Clients, welche unter XP laufen und auch die höheren Sicherheitsanforderungen wie IPSec mit L2TP oder PPTP erfüllen. Natürlich sollen sie auf Clientseite sowohl bei Einwahl über DFÜ als auch über einen NAT Router hinweg funktionieren. Haben bei uns firmenseitig einen Vigor VPN Router in Betrieb genommen, welcher eigentlich alle Protokolle kann. Clientseitig habe ich aber nur den Windows Standard zur Verfügung. Oder kann ich auch hiermit höhere Sicherheit einschließlich Verschlüsselung erreichen auch wenn auf der anderen Seite kein Windows VPN Server arbeitet? Arbeite mich gerade erst tiefer in das Thema rein und brauche mal ein paar praktische Tipps. Wie gesagt, Sicherheit hat bei mir höchste Priorität, insbesondere da ich meine Pappenheimer in der Firma kenne und deren leichtfertiges Verhalten mit ihren Notebooks. Gruß Mülli

Hi Günther, die Quelle ist schon nicht schlecht. Hilft mir aber nicht wirklich weiter, da ich kein LAN to LAN VPN aufbauen will sondern ein VPN Client to LAN. Dabei sitzt der Client zu Hause hinter einem NAT Router, welcher halt alles was mit VPN zu tun hat durchlassen muss ohne selber irgendetwas damit zu tun zu haben. Dazu ist halt Port 1723 in beide Richtungen offen. Neben den normalen anderen geöffneten Ports (http, ...) gibt es am Ende aber eine Regel in der Router FW welche alles andere blockt - DENY ALL. Damit blockt er dann wohl auch das GRE Protokoll 47 für das ich keine eigene Regel erstellen kann. Nun riet mir jemand aus dem vigor-users Forum nach Abarbeitung aller Regeln für ein Paket nicht einfach alles anere zu blocken, sondern einzelne Blockierungsregeln für TCP, ICMP, UDP zu erstellen. Doch dann wird alles andere, was ich damit nicht erfasst habe, durchgelassen. Das passt mir nicht sonderlich. das ist der Hintergrund. Dein Link hat mich aber noch auf eine andere sache aufmerksam gemacht. Unter http://www.draytek.com/support/support_note/router/application/vpn_solution/3/a_pptp.php verbinden sie zwei LANs miteinander, bei denen die jeweiligen Netze in unterschiedlichen privaten Adressbereichen liegen. Beim normalen VPN Client bekommt der Rechner ja nach der Einwahl eine IP aus dem Remotenetzwerk zugewiesen. Doch wie läuft das hier. Der Vigor Router Client wählt sich zwar beim VPN Server ein, dann hat aber der Rechner im Client Netz doch noch lange keine neue IP aus dem Remote Netz. Grüße Mülli

Moin Commuity, bin gerade am VPN Testen. Will von meinem XP Pro über VPN Tunnel zum VPN Server der Firma durchdringen. Per Modemeinwahl ins Internet funzt alles über PPTP. Als nächste Hürde soll das Ganze natürlich am Besten auch von zu Hause über das Heimnetzwerk und den Router (DrayTek Vigor 2200W+) laufen. Bei der Router Firewall ist der Port 1723 in beide Richtungen geöffnet. (Braucht man den in beide Richtungen?). Ferner ist dieser Port auch bei der Kerio FW auf dem XP Rechner offen. Dazu das Protokoll 47 (GRE) in beide Richtungen. Das kann ich aber leider nicht beim Router einstellen. Jedenfalls bekomme ich ein VPN Tunnel nur aufgebaut, wenn ich die FW des Routers komplett abschalte bzw. für die Verbindung zum VPN Server alle Ports öffne. Das passt mir aber ganz und gar nicht. Leider hat der Vigor kein GRE oder Protokoll 47 zum freischalten. Hat jemand 'ne Idee? Gruß Mülli

-----