Zum Inhalt springen

Firewall Portfreigabe bei IPSEC / VPN


Empfohlene Beiträge

Geschrieben

Hallo,

ich will auf einem Win2003 Server einen VPN Server aufsetzen, dieser Rechner sitzt hinter einem WinProxy 4.0 Firewall Rechner (Win NT).

Weiss einer von Euch welche Ports ich für IPSEC bei der Firewall offen halten muss?

Oder gibt es sonst irgendwas zu beachten?

Danke

Weezel

Geschrieben

Hallo.

Mit dem Proxy wirst du Probleme bekommen. Es ist nicht möglich, IPSEC durch einen Proxy zu betreiben. Schon bei Routern ist es mit NAT problematisch.

Dennoch hier die Ports:

TCP Port 50 für Kommunikation

UDP Port 500 für ISAKMP, IKE

Am besten direkt hinter einen router ohne NAT. Dann gehts sicherlich.

Der Ausbilder

Geschrieben

Hallo,

danke erstmal für deine Antwort.

Das Problem ist das der Rechner mit WinProxy 4.0 drauf Windows NT als Betriebssystem hat, und meines Wissens nach kann ich unter Win NT keinen VPN Server installieren der IPSEC unterstützt, sondern nur PPTP.

Daher wollte ich den VPN Server auf einem Win2003 Server in der Domäne einrichten, und muss deshalb die Ports für VPN auf der Firewall öffnen.

Oder hast du vielleicht einen Vorschlag wie ich es sonst machen könnte?

Danke

Weezel

Geschrieben

PPTP nutzt zur Kapselung das GRE-Protokoll.

D.h. das GRE-Protokoll muss durchgelassen werden.

Falls GRE in der Liste der unterstuetzten Protokolle nicht auftaucht, versuche es mit dem IP-Protokoll Nr. 47.

Zusaetzlich muss der TCP-Port 1723 fuer VPN-Verbindungen offen sein.

Geschrieben

das VPN-Gateway ins LAN zu stellen halte ich für keine so gute Idee. Am besten ist es wohl in einer DMZ aufgehoben. Datenverkehr jedweder Art sollte nie direkt in ein LAN getunnelt werden. Das komt Selbstmord gleich.

Genauso ist es empfehlenswert, Proxy und VPNGateway nicht auf der selben Maschine laufen zu lassen.

VPNClient ---> externe FW/Router ---> VPNGateway ---> Proxy ---> interne FW/

Router ---> LAN

Der Ansatz mit W2K und L2TP+IPSec ist tatsächlich sicherer als PPTP und sollte auch eingesetzt werden.

Neben dem oben erwähnten Port 500 (externe FW, in+outbound), 50 (für ESP = Encapsulating Security Payload; Kapselung mit IPSec) sollte noch Port 51 für AH nach innen offen sein.

Je nach dem wer oder was die VPN-Clients sind, wär noch die Verwendung von digitalen Zertifikaten für die Authentifizierung ratsam.

Wie man den Komplikationen mit NAT am elegantesten ausweicht, würde mich selber auch brennend interessieren.

mfg,

Thomas

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...