Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Sicherheit Fritzbox und VPN
46 views
Skip to first unread message
Bernd Boesch
Apr 20, 2012, 3:33:41 PM4/20/12
to
Hallo zusammen,
ich habe eine Fritzbox 3270 und hab jetzt mal versuchsweise die
VPN-Verbindung ausprobiert. Bevor ich sowas über eine unsichere
WLAN-Verbindung mache, will ich ganz sicher sein, dass es auch wirklich
funktioniert.
Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
Administratoren eingerichtet war, hab ich mir über die
Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
mehreren PCs und NAS; Netbook mit XP über UMTS als Client.
Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
ausserhalb des DHCP-Bereiches - völlig OK.
Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
feststellen, ob auch Zugriffe auf das Internet getunnelt werden? Ich
gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
den jeder Verkehr zunächst ins lokale Netz geschleust wird und von da
wie bei einem lokalen PC über NAT ins Internet.
Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
ich habe eine Fritzbox 3270 und hab jetzt mal versuchsweise die
VPN-Verbindung ausprobiert. Bevor ich sowas über eine unsichere
WLAN-Verbindung mache, will ich ganz sicher sein, dass es auch wirklich
funktioniert.
Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
Administratoren eingerichtet war, hab ich mir über die
Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
mehreren PCs und NAS; Netbook mit XP über UMTS als Client.
Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
ausserhalb des DHCP-Bereiches - völlig OK.
Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
feststellen, ob auch Zugriffe auf das Internet getunnelt werden? Ich
gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
den jeder Verkehr zunächst ins lokale Netz geschleust wird und von da
wie bei einem lokalen PC über NAT ins Internet.
Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
Thomas Krenzel
Apr 28, 2012, 5:22:26 PM4/28/12
to
Am 20.04.2012 21:33, schrieb Bernd Boesch:
> Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
> Administratoren eingerichtet war, hab ich mir über die
> Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
Ok, also es geht hier um eine VPN-Verbindung von einem deiner lokalen PC
> Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
> Administratoren eingerichtet war, hab ich mir über die
> Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
über die Fritzbox in die Firma?
Oder möchtest Du von extern übers Internet über die Fritzbox auf dein
lokales LAN zugreifen?
> Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
> 192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
> mehreren PCs und NAS; Netbook mit XP über UMTS als Client.
> Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
> möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
> Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
> und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
> Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
> Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
> an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
> ausserhalb des DHCP-Bereiches - völlig OK.
Fritzbox definieren? Hast Du das?
Hast Du für deine Tests die Netzwerkadapter nun deaktiviert im
Gerätemanager oder nicht?
> Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
> bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
> zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
> 'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
> direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
> sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
> Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
> feststellen, ob auch Zugriffe auf das Internet getunnelt werden?
sicher zu betrachten ;)
Nochmal zum Verständnis, Du willst von extern, oder meinetwegen von
intern, über eine VPN-Verbindung (die die Fritzbox als VPN-Server
bereitstellt) auch ins Internet gehen? Wenn Du deine Netzwerkkarten
deaktivierst?
Wie willst Du denn *ohne Internet* einen VPN-Tunnel aufbauen zu einer
Ressource, die nur über das Internet erreichbar ist? (das bezieht sich
noch auf den vorhergehenden Absatz ;)
Es muss also eine Richtlinie auf deinem Client vorhanden sein, die einen
Internetzugriff verbietet, *es sein denn* es ist eine gesicherte
VPN-Verbindung vorhanden. Oder Du hast eine Standleitung in dein
Unternehmen.
> gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
> den jeder Verkehr zunächst ins lokale Netz geschleust wird und von da
> wie bei einem lokalen PC über NAT ins Internet.
Fall von deinem Netbook zur Fritzbox (und den im LAN verfügbaren
Ressourcen). Im Firmenumfeld wird es eben ein VPN-Server sein. Und den
dort verfügbaren Ressourcen.
Du siehst die VPN-Verbindung in den Netzwerkverbindungen, ist sie aktiv,
dann kannst Du einen Server erreichen. Einen, den Einwahlserver.
Es ist dabei egal, ob die Verbindung geNATted wird, geroutet oder im
lokalen Netz weitergeleitet wird. Es ist eine Punkt-zu-Punkt-Verbindung!
Alles was dazwischen ist, ist unwichtig.
Wie das technisch abläuft können dir die Linux- und Cisco-Leute sagen.
Wenn Du eine Ressource freigegeben hast auf dem Einwahlserver, dann
kannst Du die am Netbook über die VPN-Verbindung mit Start-Ausführen ->
\\Servername\Freigabe im Explorer anzeigen lassen.
> Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
ist, ist auch nicht ganz einfach. Aber man sollte es auch nicht zu
kompliziert machen.
Schönes WE noch
Thomas K.
Bernd Boesch
Apr 29, 2012, 2:04:59 AM4/29/12
to
Am 28.04.2012 23:22, schrieb Thomas Krenzel:
> Am 20.04.2012 21:33, schrieb Bernd Boesch:
>
>> Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
>> Administratoren eingerichtet war, hab ich mir über die
>> Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
>
> Ok, also es geht hier um eine VPN-Verbindung von einem deiner lokalen PC
> über die Fritzbox in die Firma?
>
> Oder möchtest Du von extern übers Internet über die Fritzbox auf dein
> lokales LAN zugreifen?
>
>> Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
>> 192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
>> mehreren PCs und NAS; Netbook mit XP über UMTS als Client.
>
> Aha, ok.
Alles klar? Kein Zugriff aufs Firmennetz! Rein privat.
> Am 20.04.2012 21:33, schrieb Bernd Boesch:
>
>> Das Thema VPN ist mir durchaus geläufig, da es aber von unseren
>> Administratoren eingerichtet war, hab ich mir über die
>> Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.
>
> Ok, also es geht hier um eine VPN-Verbindung von einem deiner lokalen PC
> über die Fritzbox in die Firma?
>
> Oder möchtest Du von extern übers Internet über die Fritzbox auf dein
> lokales LAN zugreifen?
>
>> Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
>> 192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
>> mehreren PCs und NAS; Netbook mit XP über UMTS als Client.
>
> Aha, ok.
>
>> Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
>> möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
>> Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
>> und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
>> Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
>> Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
>> an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
>> ausserhalb des DHCP-Bereiches - völlig OK.
>
> Kann man den für die VPN-Verbindung vergebenen Adressbereich in der
> Fritzbox definieren? Hast Du das?
Nein! Unnötig! Es wird IMMER die erste Adresse nach dem DHCP-Bereich
>> Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
>> möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
>> Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
>> und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
>> Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
>> Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
>> an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
>> ausserhalb des DHCP-Bereiches - völlig OK.
>
> Kann man den für die VPN-Verbindung vergebenen Adressbereich in der
> Fritzbox definieren? Hast Du das?
genommen.
>
> Hast Du für deine Tests die Netzwerkadapter nun deaktiviert im
> Gerätemanager oder nicht?
Steht doch da. Sonst geht es nicht - warum auch immer!
> Hast Du für deine Tests die Netzwerkadapter nun deaktiviert im
> Gerätemanager oder nicht?
>
>> Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
>> bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
>> zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
>> 'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
>> direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
>> sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
>> Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
>> feststellen, ob auch Zugriffe auf das Internet getunnelt werden?
>
> Zum einen - XP kann kein IPsec, so gesehen ist die Verbindung nicht als
> sicher zu betrachten ;)
Mit Verlaub: Quatsch! Das hat überhaupt nichts mit XP zu tun, der Tunnel
>> Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
>> bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
>> zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
>> 'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
>> direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
>> sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
>> Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
>> feststellen, ob auch Zugriffe auf das Internet getunnelt werden?
>
> Zum einen - XP kann kein IPsec, so gesehen ist die Verbindung nicht als
> sicher zu betrachten ;)
endet an der Fritzbox und das Client-Programm kann das. Mal davon
abgesehen betreiben wir mit XP seit Jahren VPNs zur Wartung von
Maschinen. Sämtliche Aussendienstler greifen über VPN auf den
Exchange-Server zu. Also erzähl mir nicht, das geht nicht. Vielleicht
nicht mit 'Bordmitteln' von XP.
>
> Nochmal zum Verständnis, Du willst von extern, oder meinetwegen von
> intern, über eine VPN-Verbindung (die die Fritzbox als VPN-Server
> bereitstellt) auch ins Internet gehen? Wenn Du deine Netzwerkkarten
> deaktivierst?
>
> Wie willst Du denn *ohne Internet* einen VPN-Tunnel aufbauen zu einer
> Ressource, die nur über das Internet erreichbar ist? (das bezieht sich
> noch auf den vorhergehenden Absatz ;)
>
> Es muss also eine Richtlinie auf deinem Client vorhanden sein, die einen
> Internetzugriff verbietet, *es sein denn* es ist eine gesicherte
> VPN-Verbindung vorhanden. Oder Du hast eine Standleitung in dein
> Unternehmen.
(nicht nur die auf den Bereich 192.168.xxx.xxx) getunnelt werden sollen.
Das habe ich mit ja beantwortet und will jetzt prüfen, ob das auch stimmt.
>
>> gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
>> den jeder Verkehr zunächst ins lokale Netz geschleust wird und von da
>> wie bei einem lokalen PC über NAT ins Internet.
>
> Nein. VPN-Verbindungen sind *Punkt*zu*Punkt*-Verbindungen. In deinem
> Fall von deinem Netbook zur Fritzbox (und den im LAN verfügbaren
> Ressourcen). Im Firmenumfeld wird es eben ein VPN-Server sein. Und den
> dort verfügbaren Ressourcen.
>
> Du siehst die VPN-Verbindung in den Netzwerkverbindungen, ist sie aktiv,
> dann kannst Du einen Server erreichen. Einen, den Einwahlserver.
>
> Es ist dabei egal, ob die Verbindung geNATted wird, geroutet oder im
> lokalen Netz weitergeleitet wird. Es ist eine Punkt-zu-Punkt-Verbindung!
> Alles was dazwischen ist, ist unwichtig.
Das steht ja auch nicht zur Diskussion. Wenn ich eine Adresse im
>> gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
>> den jeder Verkehr zunächst ins lokale Netz geschleust wird und von da
>> wie bei einem lokalen PC über NAT ins Internet.
>
> Nein. VPN-Verbindungen sind *Punkt*zu*Punkt*-Verbindungen. In deinem
> Fall von deinem Netbook zur Fritzbox (und den im LAN verfügbaren
> Ressourcen). Im Firmenumfeld wird es eben ein VPN-Server sein. Und den
> dort verfügbaren Ressourcen.
>
> Du siehst die VPN-Verbindung in den Netzwerkverbindungen, ist sie aktiv,
> dann kannst Du einen Server erreichen. Einen, den Einwahlserver.
>
> Es ist dabei egal, ob die Verbindung geNATted wird, geroutet oder im
> lokalen Netz weitergeleitet wird. Es ist eine Punkt-zu-Punkt-Verbindung!
> Alles was dazwischen ist, ist unwichtig.
Lokal-Bereich anspreche, ist das so, also ob mein Netbook in der
Fritzbox physikalisch eingesteckt wäre.
>
> Wie das technisch abläuft können dir die Linux- und Cisco-Leute sagen.
Hatte ich nicht schon gesagt, dass ich weiß wie das geht?
> Wie das technisch abläuft können dir die Linux- und Cisco-Leute sagen.
>
> Wenn Du eine Ressource freigegeben hast auf dem Einwahlserver, dann
> kannst Du die am Netbook über die VPN-Verbindung mit Start-Ausführen ->
> \\Servername\Freigabe im Explorer anzeigen lassen.
Das ist der Sinn der Sache.
> Wenn Du eine Ressource freigegeben hast auf dem Einwahlserver, dann
> kannst Du die am Netbook über die VPN-Verbindung mit Start-Ausführen ->
> \\Servername\Freigabe im Explorer anzeigen lassen.
>
>> Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
>
> Naja, ich habs vielleicht nicht ganz verstanden was deine Fragestellung
> ist, ist auch nicht ganz einfach. Aber man sollte es auch nicht zu
> kompliziert machen.
Nein, das hast du nicht verstanden.
>> Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
>
> Naja, ich habs vielleicht nicht ganz verstanden was deine Fragestellung
> ist, ist auch nicht ganz einfach. Aber man sollte es auch nicht zu
> kompliziert machen.
Neuer Versuch: nimmt man ein 'Annonymiesiernungs-Proxy wie CyberGhost
wir ein VPN-Tunnel zu Server gebildet und ALLE Internetzugriffe laufen
erst auf den Proxy auf.
Hier könnte man es sich genauso vorstellen. Bei ALLEN Zugriffen, ob
Internet oder nicht geht es über den Tunnel (Punkt zu Punkt!!) in lokale
Netz und von dort wie bei einem physikalisch angeschlossenen PC über den
Router ins Internet (NAT).
>
>
Zugegeben es IST nicht einfach, aber schon lange kein Zauberspruch der
IT'ler mehr.
Thomas Krenzel
Apr 29, 2012, 4:02:10 AM4/29/12
to
Am 29.04.2012 08:04, schrieb Bernd Boesch:
> Steht doch da. Sonst geht es nicht - warum auch immer!
> Steht doch da. Sonst geht es nicht - warum auch immer!
> Mit Verlaub: Quatsch! Das hat überhaupt nichts mit XP zu tun, der Tunnel
> Das steht ja auch nicht zur Diskussion.
> Hatte ich nicht schon gesagt, dass ich weiß wie das geht?
> Das ist der Sinn der Sache.
> Nein, das hast du nicht verstanden.
> Neuer Versuch: nimmt man ein 'Annonymiesiernungs-Proxy wie CyberGhost
> wir ein VPN-Tunnel zu Server gebildet und ALLE Internetzugriffe laufen
> erst auf den Proxy auf.
Du hast gar keine Frage - Du willt nur die Zeit anderer Menschen
> Neuer Versuch: nimmt man ein 'Annonymiesiernungs-Proxy wie CyberGhost
> wir ein VPN-Tunnel zu Server gebildet und ALLE Internetzugriffe laufen
> erst auf den Proxy auf.
verbrauchen.
Schönen Sonntag noch
Thomas K.
Bernd Boesch
Apr 29, 2012, 8:53:26 AM4/29/12
to
Ich will nicht erklärt haben, wie es funktioniert, ich suche nach einem
Tool oder einer Methode definitiv festzustellen, ob es geht und wenn ja,
ob es auch gesichert ist.
Wenn du dir noch mal deine 'zeitraubenden' Antworten ansiehst, wird du
feststellen, dass es besser gewesen wäre erst GANZ zu lesen, DANN
nachzudenken, und dann erst etwas ggf. sinnvolles zu schreiben.
Bernd Boesch
Apr 29, 2012, 9:07:22 AM4/29/12
to
Am 29.04.2012 10:02, schrieb Thomas Krenzel:
> Du hast gar keine Frage - Du willt nur die Zeit anderer Menschen
> verbrauchen.
>
Noch was, falls dir das noch nicht aufgefallen sein sollte. Es hat sich
> verbrauchen.
>
ca. eine Woche keiner zu Wort gemeldet und in diesem Forum sind sind
Leute, die echt Ahnung haben. Ich habe mir auch schon einen Wolf
gegoogelt und selber eine Menge Zeit 'verschwendet', wenn du das so
siehst. Aber wenn du denken und speziell nachdenken als
Zeitverschwendung erachtest.....?
0 new messages