Vpn

[patrick-]

Hallo zusammen,

ich brauche mal eure Hilfe!

Ich bekomme einfach keine ordentliche VPN Verbindung her

Ich baue im meinem Betrieb eine VPN - W-Lan Testumgebung auf.

Zum Aufbau:

1 x File-Server

1 x VPN bzw. RAS Server

1 x Notebook

1 x Router (D-Link 624+)

Im Router sind nun eingesteckt:

1 x Notebook an Port1

1 x VPN Server an WAN anschluß

Der VPN hat eine 2 Port Netzwerkkarte. Im zweiten Port ist ein HUB angeschlossen. Im HUB dann wiederrum der Fileserver und ein Notebook mit Sniffer (der ohne bedeutung ist).

Die IP's sind folgendermaßen verteilt:

_________________________

Router:

192.168.0.1

WAN PORT Static IP:

IP Adress: 192.168.1.1

ISP Gateway und DNS Adresse: 192.168.1.118 (Erste Netzwerkkarte des VPN Servers)

_________________________

Notebook:

192.168.0.111

_________________________

VPN Server:

1. Netzwerkkarte: 192.168.1.118

2. Netzwerkkarte: 192.168.2.100

_________________________

FileServer:

192.168.2.1

_________________________

Das sollten zunächst mal an Informationen ausreichen.

Auf dem VPN Server ist der RAS Dienst bereits eingerichtet.

Auf dem Notebook habe ich eine neue VPN-Verbindung etc. alles gemacht.

Als Einwahl IP nehme ich die 1. Netzwerkkarte des VPN-Servers (192.168.1.118). Das schöne daran ist, dass sich eine Verbindung aufbaut

Allerdings gibt es keinen Unterschied ob ich eine Verbindung habe oder nicht. Ich sehe nicht mehr und nicht weniger im Netzwerk.

________________________________________

Pingen ist folgendermaßen möglich:

Notebook:

- 1. & 2. Netzwerkkarte des VPN Servers

- Wan Port des Routers

- Router IP

VPN-Server:

- FileServer

File-Server:

- 2. Netzwerkkarte des Servers (192.168.2.100)

_________________________________________

Kann mir jemand sagen was ich machen muss, damit ich jetzt durch den Tunnel nur die sachen auf dem FileServer angezeigt bekomme?

Habe ich irgendwas wichtiges vergessen?

Brauche ich vielleicht ein Anmelde Skript?

Muss ich auf dem VPN-Server eventuell noch ein Active Directory einrichten?

(Habe leider nicht viel Erfahrung im Bereich VPN)

***

Nun mal kurz zum Sinn des ganzen:

VPN im Lan? -> eigentlich schwachsinn, ich weiss.

Allerdings soll hier W-Lan realisiert werden und der Bereichsleiter möchte es so sicher wie möglich haben! Vertreter oder Besucher der Firma soll es dann ermöglicht werden, über das W-Lan nur auf den Router zu kommen, und von dort aus dann nur via VPN-Tunnel weiter ins Netzwerk. Die ganzen sicherheitseinstellungen des Routers genügen da für den Bereichsleiter leider nicht

***

Ich danke schonmal im vorraus!

patrick

[Hunduster]

Hi Patrick,

also ich versteh eines nicht; wie willst du eine VPN Verbindung intern verbauen? Wie soll das gehen? Was nutzt du als Tunnel für die Verbindung? den Router?

Ich verstehe auch nciht wieso dein Chef das noch sicherer haben will. Bei Wlan machst du das netz unsichtbar und einen 64 Bit WAP code rein.

Dann vielleicht noch eine schwierige SSID. Wenn Kunden in euer Wlan sollen musst du ihnen den WLan Schlüssel geben und die SSID, dann würde ich direkt eine feste IP vergeben und nach der Ip die Nutzerrechte bestimmen.

Weiterhin kannst du den Fileserver ja als Netzlaufwerk freigeben für eure Kunden. Ich versteh nicht wieso du jetzt eine Tunnelverbingung brauchst. Eine Tunnelverbindung ist abhörsicher weil sie verschlüsselt ist dafür benutzt man VPN um sich mit anderen Netzwerken über das Internet zu verbinden, aber ihr habt ja nur ein Netzwerk und wer sollte da den Datentransfer abhören wollen?

[.DenkeDranJoe]

Kann mir jemand sagen was ich machen muss, damit ich jetzt durch den Tunnel nur die sachen auf dem FileServer angezeigt bekomme?

Wie du ausschließlich den Fileserver erreichen kannst, kann ich dir nicht sagen.

Ich habe das Problem davor allerdings so verstanden, daß du den Fileserver gar nicht erreichst.

Falls das der Fall ist, nimm mal in den Eigenschaften deiner VPN Verbindung unter ->Netzwerk

-> TCP/IP ->Eigenschaften -> Erweitert -> Allgemein

den Hacken "Standardgateway für das Remotenetzwerk heraus" und schau mal, ob du den Fileserver dann anpingen kannst.

[TheyCallMeGeek]

1. Welches VPN? PPTP? Mit MPPE? Dann min. 12 Zeichen Passwort (besser 20) sonst ist es auch nicht "möglichst sicher".

2. Kommt aufs VPN an, aber klingt nach Routing-Problematik, IP-Forward macht der VPN-Server?

Übrigens gibt es einen Router der alles kann: WRT54GS - mit Whiterussian (OpenWRT) und OpenVPN. Wollte hier und für unsere Kunden mal sowas einrichten bin aber leider noch nicht dazu gekommen.

WEP & WPA in jeder Stärke kann man knacken -> Aircrack.

[patrick-]

@Hunduster

Wie das genau gehen soll weiss ich leider selbst noch nicht

Dafür Probier ich es ja alles aus, ausserdem will ich in diesem Thema auch fitter werden und mich mehr darüber auskennen.

Mein Chef möchte es aus den Gründen, weil er meint dass ein W-Lan immer knackbar ist. Leider kenne ich mich da auch noch nicht sehr gut aus um dagegen was zu sagen.

Vorstellen könnt ich es mir allerdings schon, siehe -> Aircrack.

@DenkedranJoe

Habs gefunden, aber hat leider nichts gebracht, kann den FileServer nicht Pingen.

Ob mit oder ohne Aktive VPN Verbindung, klappt beides nicht!

Ausserdem möchte ich ihn eigentlich gar nicht Pingen können!

Es sei denn, eine VPN Verbindung besteht! Denn sonst wäre er ja wieder für jeden sichtbar.

@TheyCallMeGeek

Ich habe zunächst alles größtenteils in den Standardeinstellungen gelassen.

Demzufolge sollte es PPTP-VPN (wird mit einem Rechtsklick auf die Verbindung etc... auch bestätigt)

Ich weiss grad einfach nicht, wie ich weiter vorgehen soll!

Ich dachte mir in meinem kleinem Köpfchen, dass ich mich mit dem Laptop auf dem VPN-Server einlogge und somit irgendeinen Benutzername von ihm beziehe, der dann Rechte hat auf den FileServer zuzugreifen! Deswegen habe ich mir jetzt auf dem VPN Server Active Directory "eingerichtet". Mit einer Domäne test.com.

In der Domäne ist jetzt der VPN Server und der FileServer.

[Hunduster]

Mit Aircrack habe ich selber keine erfahrungen, ich habe einmal in der C'T gelesen, dass die WAP Verschlüsselung von dem besten Hacker in 1000 Jahren nicht geknackt werden könne. Ob das nu stimmt kann ich nicht sagen. Aber wenn ihr das Wlan sicher haben wollt dann vergib nur feste IP's. Mach den DHCP Server aus, so kann (sollte man das Wlan knacken) man keine IP zugewiesen bekommen.

[Time-walker]

zu wlan verschlüsselung wpe ist knack bar schon seit 2001/2002.

wpe wird dadruch geknackt das so 100 1000 mb traffic (nicht ganz sicher sein ob bei es immer noch so viel traffic geraucht wird)abgefangen werden

und die pakete dann entschlüsselt werden mit einem algoithmus.

wpa kann man nur via brute-force geknackt werden.

wenn wlan via vpn verschlüsselt wird und es z.b ein 1024 bit verschlüsselung genommen wird brauch man mit der heutigen technik ungefähr 1 jahr um es zu entschlüsseln, man kann auch 2048 nehmen wenn es einem mit 1024 bit nicht sicher genung ist.

Wieso brauchst du denn den router da ?

ich würde es anders machen

vpn-server(linux) dhcp-, openvpn2.0 etc installieren

(iptables ist ne besser firewall)

dann nimmst nen switch schließt den an das eine ende des server an.

an das 2te ende ein accesspoint

file-server an zwitch

wlan verbindung via openvpn2.0 mit 1024bit(billibig) verschlüsseln

und schon hast du ne sehr sichere wlan verbindung.

ausserdem wenn du möchtest kann man auch an den server nen dsl model

anschließen damit alle im netzwerk internet haben die du auch via openvpn verschlüsseln kannst.

Internet

|Linux-server|------|switch |------|File-server|

|

|

|

-------------

|Accesspoint|

-------------

[patrick-]

Ok, ist zur kenntniss genommen!

Aber trotzdem weiss ich bislang leider nicht wie ich nun weiter vorgehen soll.

Ich finde Online keine Hilfen mehr :/

Ich habe als Tipp nur mal bekommen, dass ich eine Route vom VPN-Server, auf den Fileserver einrichten soll. Im VPN/RAS Dienst gibt es diese Option, allerdings gibt es Probleme mit der Subnetz Maske --> "Die Subnetzmaske darf nicht Detaillierter als die IP sein." <-- ?

Meint ihr mein Vorhaben ist so überhaupt realisierbar??

Oder ist dies schon alles durch das LAN gar nicht möglich?

[.DenkeDranJoe]

Ist auf jeden Fall möglich.

Du kannst das Problem allein schon mit dem Wizzard bei der Einrichtung des VPN's lösen.

Also setz da am besten noch einmal an.

Habe das bei uns das gleiche Konzept nach einer Anleitung der Zeitschrift "mIT-Sicherheit" nachgebaut.

Hab den Artikel allerding nicht zur Hand und gerade nicht die Zeit mir das ganze noch einmal anzuschauen.

@Hunduster...du meinst wohl WPA ;-)

[Hunduster]

lol, jo hab mich vertan, natürlich WPA

[patrick-]

Mein Problem war:

Beim VPN-Server war in den Eigenschaften der DHCP nicht eingestellt... er konnte also keine IP's vergeben :/

naja, ich stufe dies jetzt mal als Anfänger-Fehler ein!

Trotzdem danke für eure Hilfe!

Kann mir jetzt noch jemand sagen, wo ich die stärke der Verschlüsselung einstellen kann? Oder die Art der Verschlüsselung? Ich trau mich da jetzt nichts mehr zu ändern weils grad läuft

[Hunduster]

Welche Verschlüsselung meinst du denn jetzt? Vom VPN Tunnel oder Wlan?

[patrick-]

Im meinem Beitrag meinte ich VPN.

Allerdings kenn ich mich im W-Lan Bereich auch nicht so riesig aus!

Ich hab beim W-Lan aus "Open System, Shared Key, WPA und WPA-PSK" jetzt erstmal WPA-PSK gewählt. "Passphrase" <- (whatever? *g* - eine art Kennwort Abfrage?) habe ich dann zunächst einen eintrag "FFFFFFFF" gemacht.

Soll ich lieber eine andere Verschlüsselung nehmen? Oder ist diese doch die sicherste?

Gibt es sonst noch SUPER DUPER MEGA wichtige Punkte auf die ich achten muss?

(wichtige Punkte könnt ihr gerne auch erwähnen )

Werde mir dazu heute Abend wohl mal ein wenig durchlesen müssen.

**edit**

Mir fiehl grad auch auf, dass ich als Sicherheitsaspekt natürlich auch die Reichweite des W-Lans einschränken kann!

Nur leider sagen mir die Werte da auch nich Wahnsinnig viel.

"Beacon interval: 100 (msec, range 1~1000)"

"DTIM Interval: 3 (range 1~255)"

"TX Rates: Auto (Mbps)"

"Wireless Mode: mixed mode (G Mode)"

"Power Control: Highest"

"Speed Enhanced Mode: Enabled"

"SSID Broadcast: Enabled"

Ich vermute mal, der Punkt SSID Broadcast ist dafür da, ob der Router ständig rumschreien soll "HIER IST W-LAN, WER WILL ZU MIR?".

Kann mir jemand Werte geben, damit ich so ca. 12-15 meter Wireless Lan habe? (Durch dünne Wände durch) oder gibt es keine groben Werte und ich muss echt alles ausprobiern?

mfg

patrick :X

[patrick-]

Kann meinen obrigen Beitrag leider nich mehr Editieren ... da steht zuviel Müll ... sorry

Hier habe ich einfach mal grad ein paar Fragen, die ich mir durch euch erhoffe, beantwortet zu bekommen:

1. Bei welcher Option kann ich dem VPN Server sagen, dass er den Tunnel nur mit L2TP betreiben soll? (diese Variante soll laut dem großen Internet um einiges sicherer sein)

2. WPA bzw. WPA-PSK

a) Was ist bei WPA der Radius Server?

Ist meine Auswahl (-> WPA-PSK) ok, oder soll ich lieber WPA nehmen?

Ich versteh da leider noch nicht ganz was besser ist.

[.DenkeDranJoe]

Ich nehme 2 a und b ;-)

Also soweit ich weiß :

WPA ist die Verschlüsselungsmethode, bei der der Schlüssel im Gegensatz zur WEP Verschlüsselung in bestimmten

Intervallen wechselt.

PSK bedeutet (P)re(S)hared(K)ey also vorverteilter Schlüssel. Das ist das Kennwort, dass du eingeben musst,

wenn du dich im WLAN authentifizierst. Dieser Schlüssel wird im Router bzw. Accesspoint gespeichert.

Weil das ärgerlich wäre, die 10 (oder weniger) Keys, die du in einem Accesspoint speichern kannst, auf 50

Leute zu verteilen, kannst du einen Server angeben, der für die Authentifizierung sorgt. So kann jeder seinen

eigenen Key bekommen. Dies erledigt halt der Radiusserver.

[Hunduster]

Nimm WPA-PSK, es ist in der Tat so, dass WPA sich in bestimmten Intervallen ändert und somit ist es kaum möglich den Schlüssel zu errechnen (Hacken).

Wie gesagt; das Wlan noch unsichbar machen, somit es Normaluser nicht sehen, denn Leute die sich mit Wlan auskennen haben Progs wie den NEtwork Stumbler, der die unsichtbaren Netze mittels scanning sichtbar macht. Und wie du auch sagtest, die Reichweite nur einstellen wie sie auch benötigt wird.

[patrick-]

Wenn es jemanden interessiert:

Bezüglich Frage 1:

Ich musste eine neue "Richtlinie"- TunnelTyp (mit L2TP) angeben.

Danach konnte man die Verbindung beim Client einfach auf L2TP umstellen. Jedoch lies er alle PPTP Verbindungen auch noch durch. Um das zu verhindern, müssen in den VPN-Port einstellungen des VPN-Dienstes alle verfügbaren PPTP Ports gelöscht werden.

Die L2TP müssen natürlich bleiben! Und schwupps -> alles funktioniert

vielen dank für eure Hilfe leute!

Würd euch jetz am liebsten doch glatt einen ausgeben

[Hunduster]

Würd euch jetz am liebsten doch glatt einen ausgeben

Alles klar wir kommen nach Köln, ab in Schmelztigel! :cool: