Zum Inhalt springen

Empfohlene Beiträge

Geschrieben (bearbeitet)

Hallo,

folgende Frage bzw Ausgangsstellung:

Client und Server, beide im gleichen Netzwerk 192.168.1.0\24
Ich möchte auf dem Client eine Software laufen lassen die sich mit diversen Ports, uA dynamischen Ports vom Server verbindet.
Ich möchte aber die Firewall nicht unnötig löchern und von daher gezielt eine VPN Verbindung zwischen Client und Server aufbauen.
Erste Frage: Dann müsste man doch nur die Ports der VPN Verbindung in der Firewall (ich nutze hier die von Windows) freigeben?
Der Rest der Ports wird ja getunnelt?
Die Ports habe ich soweit freigegeben und die VPN Verbindung klappt auch bei aktiver Windows Firewall.
Zweite Frage: Leider scheint die Software aber nicht den Tunnel zu nehmen bzw die Ports im Wireshark sind immer die gleichen wie vorher.
Kann Wireshark das richtig erkennen oder nicht?
Dritte Frage: Ist sowas überhaupt möglich, da ja beide Computer immer noch über den Router 192.168.1.1 verbunden sind mit ihren jeweiligen anderen IP Adressen.
Man kann Tunneln erzwingen, aber da scheint an zu sein, laut Dr. Google  "Use default Gateway on remote network" ist gesetzt.
Oder müsste ich hier noch eine fixe Route setzen über den Tunnel?


PS

VPN der von Windows Server, PPTP

Bearbeitet von Graustein
Gast Interrupt
Geschrieben (bearbeitet)

Hallo,

vor 3 Stunden schrieb Graustein:

Erste Frage: Dann müsste man doch nur die Ports der VPN Verbindung in der Firewall (ich nutze hier die von Windows) freigeben?
Der Rest der Ports wird ja getunnelt?

Vollkommen richtig. Aus diesem Grund wird sowas auch nicht praktiziert und wird auch niemals empfohlen. Ein VPN wird immer an einer Firewall terminiert. Niemals an einem Client hinter einer Firewall. Ansonsten bohrt man sich nur Löcher in das Netz. Das ist ein ziemlich unnötiges Sicherheitsrisiko.

Was spricht gegen eine Terminierung und einer Freischaltung direkt an der Firewall?

vor 3 Stunden schrieb Graustein:

Zweite Frage: Leider scheint die Software aber nicht den Tunnel zu nehmen bzw die Ports im Wireshark sind immer die gleichen wie vorher.

Die Frage verstehe ich ehrlich gesagt nicht. Klar ist der Port des Listeners von der Software immer der gleiche. Welchen Weg ein IP Paket nimmt wird beim Routing festgelegt. (Einzige Ausnahme stellen L2 Tunnel dar)

Zitat

Dritte Frage: Ist sowas überhaupt möglich, da ja beide Computer immer noch über den Router 192.168.1.1 verbunden sind mit ihren jeweiligen anderen IP Adressen.
Man kann Tunneln erzwingen, aber da scheint an zu sein, laut Dr. Google  "Use default Gateway on remote network" ist gesetzt.

Mit Tunnel "erzwingen" meinst du, dass er die default Route auf den VPN Server umbiegt? Kann man machen ja, aber nur um den einzelnen Dienst auf der Gegenseite zu erreichen absolut unnötig. Außerdem kannst du dann keinen anderen (lokalen) Dienst mehr erreichen (ohne Umweg über den VPN).

Informier dich mal über die Routing Grundlagen. Dann wird dir das alles klarer wie das ganze funktioniert. 😉

Edit:

Zitat

VPN der von Windows Server, PPTP

Dir ist klar, dass PPTP total veraltet und inzwischen sogar sehr leicht zu knacken ist? Nimm bitte ein modernes VPN Protokoll wie OpenVPN, IPSEC oder Wireguard.

MfG

Bearbeitet von Interrupt
Geschrieben
vor 2 Minuten schrieb Interrupt:

Was spricht gegen eine Terminierung und einer Freischaltung direkt an der Firewall?

Die Idee dahinter ist bzw was ich testen wollte:

Unsere Software wird im Kundennetz benutzt, inkl. diverser Ports darunter auch dynamische Ports.
Nun fragten mehrere Kunden schon nach Doku aller Ports was letztens von Entwicklung und Produktmanager nicht abgeschmettert wurde aber es wurde gesagt, soll der Kunde doch einen VPN einsetzen, dann geht das alles durch den Tunnel.
No Comment dazu :D 

Nun wollte ich mal testen wie praktikabel das ist, aber scheinbar ist es das ja nicht eine direkte Verbindung in einem schon bestehenden Netzwerk wo Server und Client schon miteinander verbunden sind aufzubauen.

vor 6 Minuten schrieb Interrupt:

Die Frage verstehe ich ehrlich gesagt nicht. Klar ist der Port des Listeners von der Software immer der gleiche. Welchen Weg ein IP Paket nimmt wird beim Routing festgelegt. (Einzige Ausnahme stellen L2 Tunnel dar. Aber auch hier kommt es natürlich aufs Ziel drauf an)

Im Wireshark sehe ich ja von welchem Port wohin es geht beispielsweise 433 auf 433 oder dynamischer Port auf 433 usw
Dachte da sieht man ggf dass es auf den Port xyz vom VPN wechselt.

Ich hab jetzt eh ein Dokument von uns gefunden wie wir uns das vorstellen, nur wollen wir da quasi ein eigenes Netzwerk nur für unsere Software, nur wird sich kein Kunde das in seinj eigenes Netzwerk basteln...
Naja.

Zitat

Informier dich mal über die Routing Grundlagen. Dann wird dir das alles klarer wie das ganze funktioniert.

Ja, müsste das Wissen mal auffrischen, nur brauch ich es im Alltag kaum...

Geschrieben

Die Frage wird ja eher daher kommen, dass Clients und Server nicht im gleichen Netz sind und eine Firewall die Kommunikation zwischen den Netzen regelt. Damit man hier nun eure Software sinnvoll betreiben kann, muss man eben wissen, welche Ports hier benötigt werden.

Dass die Anfragen hier von dynamischen Ports kommen, spielt eher weniger eine Rolle. Wichtig ist, dass die Zielports die gleichen sind.

Ein Beispiel dafür wäre so was wie hier: https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

Geschrieben
vor 9 Stunden schrieb Graustein:

..laut Dr. Google  "Use default Gateway on remote network" ist gesetzt.
Oder müsste ich hier noch eine fixe Route setzen über den Tunnel?

Ich benutze OpenVPN und das macht mir das automatisch setzen (am ClientPC in die Routingtabelle).

Das VPN-Tunnelnetz sollte auf jeden Fall ein anderes sein als das normale 192.168.1.0\24.

In OpenVPN config steht dann sowas:

remote 192.168.1.x (IP des VPN-Servers) 12345 (VPN-Port)

Dein Router sollte den Port 12345 freigeben. Also die VPN-Verbindung wird über das normale Netz aufgebaut, ist aber dann ein komplett anderes Netz (privat getunneltes).

 

  • 11 Monate später...
Geschrieben

 

Zu Frage 1: Ja, wenn Sie eine VPN-Verbindung zwischen Client und Server aufbauen, müssen Sie nur die Ports der VPN-Verbindung in der Firewall freigeben. Der Rest der Ports wird durch den Tunnel getunnelt.

Zu Frage 2: Wireshark kann den Datenverkehr innerhalb des Tunnels normalerweise nicht direkt erkennen, da er verschlüsselt ist. Es ist jedoch möglich, dass die Software nicht ordnungsgemäß auf den Tunnel zugreift. Es könnte hilfreich sein, die Einstellungen der Software zu überprüfen, um sicherzustellen, dass sie den Tunnel verwendet.

Zu Frage 3: Es ist möglich, eine VPN-Verbindung zwischen zwei Computern herzustellen, die sich im selben Netzwerk befinden. Hier mehr Infos dazu. Die beiden Computer werden weiterhin über den Router 192.168.1.1 verbunden sein, aber der Datenverkehr zwischen ihnen wird über den VPN-Tunnel geleitet. Wenn die "Use default Gateway on remote network"-Option aktiviert ist, sollte dies ausreichen. Es könnte jedoch auch nützlich sein, eine statische Route für den Tunnel zu setzen, um sicherzustellen, dass der Datenverkehr ordnungsgemäß geroutet wird.

 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...