Stellt DMZ ein Sicherheitsproblem dar?

Hallo,

ich habe einen MS Windows Server 2003 Standard als Terminalserver laufen. Damit die User sich übers Insternet anmelden können, hab ich eine 2. Netzwerkkarte eingebaut und RAS/VPN installiert.

Als DSL-Router verwende ich einen Linksys WRV54G.

Damit das Netzwerk aus dem Internet erreichbar ist, hab ich im Router "Software DMZ" aktiviert und dort die IP des Terminalservers eingetragen.

Stellt dass jetzt eine Sicherheitslücke dar?

Ich hab gelesen, dass dadurch die Firewall des Routers ausser Kraft gersetzt wird und alles Ports offen sind. Stimmt das ???

Alles wird zum TS geleitet, und das ist nicht gut. Damit Du einen VPN-Server betreiben kannst, musst Du keine Software DMZ einrichten. Es reicht, die entsprechenden Ports zum RRAS (der als NAT-Gerät mit Basisfirewall konfiguriert ist) zu leiten . Über das VPN greifst Du dann auf den TS zu ...

Hallo IThome,

wie genau stelle ich das denn an?

Ich hab den DSL-Router Linksys WRV54G.

Statt DMZ zu aktivieren hab ich folgende Einstellungen versucht:

-------------------------

Applications & Gaming / Port Range Forwarding / Port Range:

Start: 47, End: 47, Protocol: both, IP Address 192.168.2.1 (IP des Terminalservers)

Start: 1723, End: 1723, Protocol: both, IP Address 192.168.2.1

Applications & Gaming / Port Triggering:

Triggered Range: Start Port: 47, End Port: 47, Forwarded Range: Start Port: 47, End Port: 47, Protocol: both

Triggered Range: Start Port: 1723, End Port: 1723, Forwarded Range: Start Port: 1723, End Port: 1723, Protocol: both

-------------------------

Damit war es aber nicht möglich eine VPN-Verbindung aufzubauen.

Du musst den Port TCP 1723 an die externe IP des Servers weiterleiten. Weiterhin muss auch noch IP-Protokoll 47 (nicht TCP oder UDP) weitergeleitet werden. Gibt es bei dem Router etwas wie VPN-Passthrough oder PPTP-Passthrough ? Der RRAS muss natürlich auch entsprechend konfiguriert sein. Du solltest ihn als VPN/NAT Server einrichten.

Also VPN-Passthroughs hab ich aktiviert:

http://froigo.de/pics/foren/vpn1.jpg

IP 192.168.2.2 (Subnet 255.255.255.252) ist die Netzwerkkarte in meinem Server, die mit dem Router verbunden ist. Die 2. Netzwerkkarte im Server ist mit dem Switch für das Intranet verbunden und hat die IP 192.168.1.2 (Subnet 255.255.255.0)

Die Konfiguration des RAS hab ich mit dem Assistenten erledigt. VPN/NAT Server ist dem entsprechend korrekt konfiguriert.

Die Port-Weiterschaltungen sehen im Router so aus:

http://froigo.de/pics/foren/vpn2.jpg

http://froigo.de/pics/foren/vpn3.jpg

Trotzdem kann ich nicht von Außen zugreifen.

Aktiviere ich im Router DMZ, funktioniert es aber.

Was mach ich da nur wieder falsch ?!?

Hi,

installiere auf dem Server doch mal Ethereal (oder einen anderen Netzwerksniffer) und lausche mal mit, wenn Du Dich extern per VPN einwählen willst. Einmal mit DMZ Funktion und einmal nur mit den weitergeleiteten Ports.

Wenn Du die Ergebnisse vergleichst, sieht man vielleicht, welche Ports/Protokolle nicht vom Router weitergereicht werden.

Gruß

Andre

Hi Operator,

ich habs schon mal mit "wallwatcher" versucht, konnte dem aber irgendwie keine Daten entlocken.

Werde es mal mit Ethereal probieren.

Ich hab aber im Router auch versuchsweise überall "0 to 65535" eingertragen.

Auch damit konnte ich keine VPN-Verbindung von Außen herstellen.

Den Port 47 benötigst Du nicht (das ist TCP oder UDP und nicht IP-Protokoll) in Port Range Forwarding. Dort benötigst Du nur TCP (nicht BOTH) 1723. Ebenso benötigst Du dann nur das PPTP-Passthrough, die anderen beiden nicht. Ich denke, in Port Triggering musst Du gar nichts einstellen, nur in Port Range Forwarding.

Aber es hat doch sicher keinen Einfluss auf die Funktion, wenn ich "nicht benötigte" Einstellungen im Router mache, ODER ??

In Port Range Forwarding hab ich ja auf jeden Fall den Port 1723 eingestellt.

Aber: Leider keine Verbindung möglich.

Entferne mal die Konfiguration aus Port Triggering und schaue bei Verbindungsaufbau ins Log des Routers.

Bin der Verzweilung nahe.

Nachdem ich mit wrv54g_LogViewer_fw.exe (wird auf der Treiber-CD vom Router mitgeliefert) dem Router kein Logging entlocken konnte, hab ich es mit wallwatcher versucht. Leider auch vergeblich.

Nach ein paar Stunden Endloskampf und Telefonaten mit LINKSYS, hab ich´s jetzt mit Kiwi Syslog probiert. Auch dieses Manual kenn ich mittlerweile auswendig, aber Log-Dateien hab ich immer noch keine.

Weiß nicht mehr wo ich den Fehler noch suchen soll.

S O S

Habe nun schon über 30 Arbeitsstunden damit verbracht, um unseren MS Server 2003 Std per VPN zugänglich zu machen.

War leider weder mit Netgear noch mit D-LINK oder LINKSYS Routern erfolgreich. Am Router wird es also wahrscheinlich nicht liegen.

Grundätzlich funktioniert es, wenn ich im Router DMZ aktiviere. Aber dann werden scheinbar alle Ports frei gemacht und somit die Firewall des Routers außer Kraft gesetzt.

Klar, die NAT/Basisfirewall auf dem Server ist noch aktiv, aber zufriedenstellend ist die Lösung sicher nicht.

Das Thema scheint derart kompliziert und umfangreich zu sein, dass es so ohne Weiteres nicht realisierbar ist; zumindest nicht für einen Amateur wie mich :-)

Werd also wohl aufgeben müssen ?!?

Wer sich die Sache per Remote mal anschauen möchte, gerne.

Ach ja:

scheinbar bin ich auch zu dusselig, um eine Logdatei aus dem Router zu bekommen. (siehe meine vorherigen postings weiter oben).

Die Analyse des Problems ist also dadurch sehr eingeschränkt.

Wenn ich Dir helfen würde, wäre mein erster Ansatz nach wie vor der Einsatz eines Sniffers wie Ethereal. Ist zwar auch kein Anfänger-Tool für Computerbild-Abonnenten, aber trotzdem sehr gut für dein Problem geeignet.

Ich würd ja helfen, aber vermutlich wohnst Du nicht in PLZ-Gebiet 48.

Sniffe bitte mal wie im oberen Posting von mir beschrieben die beiden Einwahlvorgänge mit und ohne DMZ Funktion und stell mir die Dumps gezippt irgendwo bereit, dann kann ich mal drüberschauen.

Am besten ne kurze PM schicken, dann kann ich zeitnah drauf reagieren.

Gruß

Andre

IMHO benötigst Du auf dem Router nur die VPN-Weiterleitung oder den VPN-Tunnel.

VPN-Weiterleitung:

Den VPN-Endpunkt kannst Du auf einem Windows Server einrichtern (RRAS-Dienst), der dann auf die Terminalserverdienste weiterleitet.

VPN-Tunnel

Oder Du richtest auf dem Linksys einen VPN-Tunnel (=VPN-Server?? Tip: Handbuch (Beschreibung) lesen, falls nicht genau, den Linksys-Service befragen) ein, das scheint auf diesem Gerät zu funktionieren. Da solltest Du keinen extra Server benötigen, das sieht zumindest auf Deinem Screenshot so aus.

In beiden Fällen solltest Du das Portrange Forwarding und das Porttriggering nicht benötigen.

Kleiner Tipp zum Linksys Service: Je genauer Du Deine Ziele dem Service definierst, desto besser kann Dir geholfen werden - funktioniert i.d.R. ganz gut.