VPN ohne verschlusselung?

[persiay 10]

hi leute,

ich habe einen router der nicht VPN fähig ist. Der server (XP-Prof.)steht bei mir. habe bei dem router den Port 1723 freigegeben.

Also wenn ein client (win2000) eine verbindung herstellen will kommt die meldung "die zertifizierung stimmt nicht überein" .

 

was habe ich jetzt für möglichkeiten one VPN-Router ?

ich dachte vielleicht daran die verschlüsselung zu deaktivieren ich weiß aber nicht wie!?

 

für Ideen bin ich dankbar

Danke

[grizzly999 11]

VPN ohne Verschlüsselung gibt es nicht, sonst wäre es kein VPN. Was willst du auf dem Rechner machen? Eine Konsole öffnen? Dann geht auch Remotedesktop, der verschlüsselt, wenn der Client mitspielt, oder andere Remoteverwaltungsprogramme wie VNC, Dameware oder so, die verschlüsseln.

 

 

grizzly999

[IvkovicD 10]

Original geschrieben von grizzly999

VPN ohne Verschlüsselung gibt es nicht, sonst wäre es kein VPN.

 

Mit dieser Aussage stimme ich nicht überein, ein VPN ist erstmal eine Abtrennung/Verkapselung von IP-Paketen gemeint, der Faktor Verschlüsselung ist ein Addon auf diese Methode. Wobei VPN erstmal gar nichts definiert, ausser einer Verbindung zwischen Quelle und Ziel, wobei das darunter liegende Medium als Transportebene benutzt wird, und die Pakete eine besondere Behandlung erfahren (tunneln/verschlüsseln/versiegeln/etc)

 

Heutzutge wird immer von einer Verschlüsselung ausgegangen, wenn man VPN sagt (wird wohl das ’V’ sein)...

 

Eine ’Ausschaltung’ ist vom eingesetzten Kommunikations-Protokoll abhängig, welches im Zuge einer VPN-Bildung benutzt wird...

 

Gruß

 

Dejan

[Dr.Melzer 191]

Was soll den an einem V (virtual) P (private) N (network) privat sein, wenn d nicht verschlüsselst?

 

Der Trick ist ja die Verschlüsselung, damit dü öffentliche Leitungen (Internet) nutzen kannst um private Daten so zu transportieren, dass sie keiner lesen kann.

 

Das ist das Gleiche wie Brief und Postkarte, ohne Verschlüsselung hast du nur eine Postkarte, sie kommt zwar auch an, aber jeder kann lesen was drinnensteht.

 

Das ist dann auch ein VPN, V (virtual) P (public) N (network) :D ;)

[IvkovicD 10]

Sorry persiay,

 

hier findet gerade ein OT statt :D

 

Original geschrieben von Dr.Melzer

Was soll den an einem V (virtual) P (private) N (network) privat sein, wenn d nicht verschlüsselst?

 

Der Trick ist ja die Verschlüsselung, damit dü öffentliche Leitungen (Internet) nutzen kannst um private Daten so zu transportieren, dass sie keiner lesen kann.

 

Das ist das Gleiche wie Brief und Postkarte, ohne Verschlüsselung hast du nur eine Postkarte, sie kommt zwar auch an, aber jeder kann lesen was drinnensteht.

 

Das ist dann auch ein VPN, V (virtual) P (public) N (network) :D ;)

 

Jetz bin ich aber erstaunt über diese recht skurrile Erklärung!

 

VPN definiert, wie du sagst, ein virtuelles privates Netzwerk, aber in dem Sinn, dass du eine WAN-Verbindung zwischen deinem und einem externen Standort (was auch immer das ist, LAN, DFÜ-Klient,etc.) schaffst, und diese Verbindung als dein quasi privates Netzwerk ansiehst, d.h. deine Daten laufen über deine Netze (deine IP-Struktur, deine Gateways). Dass es so nicht ist, zeigt ja die Tatsache, dass die dazwischen liegenden Netze eben nicht dir gehören, sondern einen Provider (Internet-ISP, einem MPLS-Provider. einem Frame-Relay-Provider), der so ziehmlich alles benutzen kann und wird, deine Daten von A nach B zu schaffen (also auch Medienwechsel, Protokollwechsel). Du kannst das nicht beeinflussen, und sollst es ja auch nicht, du benutzt deine zwei Netze, dein Transfernetz, und fühlst dich wie zu Hause. Dein "Virtuelles privates Netzwerk".

 

Früher hast du dir auch keine großen Gedanken gemacht wegen Verschlüsselung, wer sollte denn schon ein packetiertes Framerelay absniffen, wo du quasi nicht weisst, welchen Weg diese Pakete nehmen. Leider geht dieses Gedankenansatz schief im Internet, also musste eine Weg gefunden werden die Pakete zu schützen (Veränderung, Integrität, Abhörsicherheit).

 

Und jetzt kommt erst der Faktor Verschlüsselung ins Spiel, und nicht vorher. VPNs sind deutlich älter als z.B. IPSec oder die Verbindung zweier Standorte über Internet.

 

Alles was du verbindest, und in dieser Verbindung tunnelst, ohne auf die äußere Transportform einzugehen ist ein VPN, ein virtuelles privates Netzwerk, zwischen Dir und deinem Ziel.

 

Schau dir mal L2TP an, das schafft einen VPN Zugang über Medienwechsel, kann aber nicht verschlüsseln....

 

Das heutzutage VPN automatisch Verschlüsselung impliziert, heisst noch lange nicht, dass VPN nur mit Verschlüselung funktioniert. Oder VPN Verschlüsselung bedeutet.

 

DVD heisst ja auch nicht Digital Video Disk (auch wenn es viele glauben)

 

:D

 

Gruß

 

Dejan

[persiay 10]

ja vielen dank für die erklärung. Aber es ist mir vollkommen klar was VPN ist und wozu das benutzt wird. Ich hatte ja aber oben geschrieben daß mein Router kein VPN unterstützt. Also wollte ich das mal einfachmal zur testzwecke ohne verschlüsselung machen damit ich überhaupt eine verbindung bekomme.

 

gruß aus berlin

[persiay 10]

hallo IvkovicD,

ich sehe das genau so. und genau das war die frage ;-)

Deine erklärung ist perfekt. eigentlich wollte ich das ja machen aber ich hatte nicht soviel zeit und geduld diesen langen text zu schreiben.

danke

 

gruß

[IvkovicD 10]

Hi persiay,

 

:D, kommen wir zu deinem Problem zurück, schauen wir mal, ob wir helfen können.

 

Du schreibst, dass du TCP1723 geöffnet hast, also klingt das nach PPTP. Hast du auch Protokoll 47 (GRE - nicht Port), auf deinem Router geöffnet? Dann sollte PPTP, auch zwischen Client (XP) und Client (W2K) funktionieren.

 

Nach MS funktioniert PPTP mit MPPE (Microsoft point-to-point ecryption ab RC4 RSA 40 Bit aufwärts). Das kannst du nicht deaktivieren. Du kannst höchstens manipulieren (indem Fall die Schlüssellänge - hmmm, beim Client??? nicht sicher). Wenn du wirklich eine unverschlüsselte (natürlich empfehle ich das nicht) VPN-Anbindung über Internet machen willst, dann benutze L2TP, das kann nicht verschlüsseln.

(Der letzte Hinweis ist rein hypothetisch, ich empfehlen natürlich nur L2TP mit IPSec in Verbindung :D)

 

Aber dafür benötigst du ebenfalls einen RRAS-Server, dein LCient kann das als Server nicht, nur PPTP/PPP.

 

Gruß

 

Dejan

[persiay 10]

hmmm,

 

ich kenne mich da echt nicht aus. was meinst du mit GRE 47 auf dem router ?

kannst du vielleicht etwas detailierter beschreiben was ich machen soll ? Ich errinere nochmal daß mein router kein VPN unterstützt.

 

danke

[Dr.Melzer 191]

@IvkovicD:

 

Ich beuge mich deiner fundierten Erklärung. ;)

 

 

@persiay:

 

Ich halte mich jetzt raus, um nicht noch mehr Verwirrung zu schaffen. :rolleyes:

[persiay 10]

ich danke dir trotzdem für deine hilfsbereitschaft Dr.Melzer.

ich werde hoffentlich auch in zukunft von deinem wissen profitieren

 

gruß

[Wildi 10]

Hallo, was IvkovicD meinte ist,

 

wenn Dein Router nicht Passthrogh unterstützt, kannst Du den Port 1723 so oft auf machen wie Du willst, ein VPN Paket kommt dann fehlerhaft am VPN Server an und wird nicht akzeptiert.

 

GRE47 = Passthrough = unverändertes Passieren von Paketen an ein Ziel, dass es akzeptiert werden kann.

 

Die meisten Router machen Passthrough. Es gibt vereinzelt welche, für die muss man dafür eine Lizenz kaufen. Namentlich genannt fällt mir da mein pers. Hasshersteller BinTec ein ;)

 

Aber sonst machen selbst die primitivsten Router Passthrough.

 

Ich glaube, Du machst Dir mit Deiner Einstellung einfach zu viel Gedanken und tendierst in den Verdacht: Wenn der Router kein VPN'er ist, geht das dann überhaupt?

 

Ganz klar. Wenn der Router Passthrough (GRE47) kann und wenn Du Port 1723 auf Dein Ziel, den eigentlichen VPN Server leitest, geht das. Das Ziel muss halt dann auch ein VPN Server sein. Der ist dann dafür verantwortlich VPN Pakete zu akzeptieren oder zu verwerfen. Der Router ist in dem Fall nur der 'Durchreicher'

 

Wegen Deiner Verschlüsselungsidee. Wenn Du nur mit Port 1723 herumspielst, hast Du das kleinste mögliche VPN. Mit einem Mindermas an Sicherheit, welches aber in der Regel schon reicht. Willst Du dann, später, also wenn dieses Mindestmas dann funktioniert noch große Sicherheit, Stichwort: IPSec, Certificate, IKE usw. dann müsstest Du DANN noch Port 500 forwarden und auf dem VPN Server Zertifikate usw. installieren.

 

Aber kleiner als Standard VPN mit Port 1723 kannst Du eh kein VPN aufziehen.

 

Kurz wegen der Diskussion von oben. VPN definiert zwar nicht wirklich eine Verschlüsselung, jedoch bedingt durch die Technologie über ein öff. Netz ist ein Mass an Verschlüsselung mit integriert. Wo man wohl kaum von verschlüsselung reden würde ist PPTP. Da ist halt nur ein Tunnel vorhanden, aber selbst der ist ja für heutige Verhältnisse sehr einfach zu manipulieren. Ich weiß zwar nicht wie, aber man sagt es :D

[IvkovicD 10]

Original geschrieben von persiay

hmmm,

 

ich kenne mich da echt nicht aus. was meinst du mit GRE 47 auf dem router ?

kannst du vielleicht etwas detailierter beschreiben was ich machen soll ? Ich errinere nochmal daß mein router kein VPN unterstützt.

 

danke

 

@Dr. Melzer:

 

nicht doch, so war das nicht gemeint.... :shock:

 

zum Thema:

VPN ist mal nur ein Wort ohne Bedeutung in diesem Fall. Nachdem es etliche Formen von VPNs gibt, müssen wir feststellen, welche dein Router unterstützt. Eine pauschale Antwort, das der Router das nicht kann, ist erst mal zu belegen ;)

 

Kurz zur Basis:

 

So wie du unter TCP und UDP Ports definierst, die auf Anfragen hören oder Anfragen senden (25 SMTP, 80 HTTP, usw.) (siehe dazu %systemroot%\system32\drivers\etc\services) hast du für die Netzwerkschicht (hier IP) ebenfalls eine Definition, welche Transportkommunikation im IP-Paket verwendet wird:

 

(siehe dazu %systemroot%\system32\drivers\etc\protocol und http://www.faqs.org/rfcs/rfc1700.html)

 

Die bekanntesten vertreter sind:

 

1 ICMP Internet Control Message [RFC792,JBP]

2 IGMP Internet Group Management [RFC1112,JBP]

6 TCP Transmission Control [RFC793,JBP]

17 UDP User Datagram [RFC768,JBP]

 

und dann kommen wir schon zu den oben genannten Protokollen, die ebenfalls geöffnet werden müssen (hier nur IP/47 GRE - 50/51 nur als Beispiel für IPSec)

 

47 GRE General Routing Encapsulation [Tony Li]

50 SIPP-ESP SIPP Encap Security Payload [steve Deering]

51 SIPP-AH SIPP Authentication Header [steve Deering]

 

Vom Werk aus ist ein SoHo-IP-Router so eingestellt, dass er mind. die IP-Protokolle 1, 6 und 17 (ICMP, TCP und UDP) "erkennt" und entsprechend verarbeitet. Für PPTP muss jetzt noch IP/47 geöffnet werden. Dazu musst du auf deinem Router irgendwo die Möglichkeit finden, Protokolle zu aktivieren (falls schon vorhanden) oder zu definieren/aktivieren.

 

Wenn du das nicht kannst, weil das dein Router nicht hergibt, dann kannst du diese Art von VPN nicht verwenden. Naja, mann kann immer noch über SSL irgend etwas zaubern, aber ein neuer Router ist da wohl "schneller am Ziel"

 

Gruß

 

Dejan

[Dr.Melzer 191]

Original geschrieben von IvkovicD

@Dr. Melzer:

 

nicht doch, so war das nicht gemeint.... :shock:

 

 

Ist schon OK, so habe ich es auch nicht verstanden. ;)

[DerRob 10]

Original geschrieben von persiay

was habe ich jetzt für möglichkeiten one VPN-Router ?

ich dachte vielleicht daran die verschlüsselung zu deaktivieren ich weiß aber nicht wie!?

du könntest evtl. mal openvpn ausprobieren (http://openvpn.sourceforge.net/)

 

damit kann man eine vpn-verbindung über einen einzelnen beliebigen tcp- oder udp-port aufbauen, das müsstest du mit eigentlich jedem router forwarden können :)