Bandito 10 Geschrieben 30. Januar 2003 Melden Teilen Geschrieben 30. Januar 2003 hallöchen, kann mir jemand sagen, ob noch weitere ports außer dem 500- und dem 1723 -er für einen vpn server nötig sind, um durch die firewall zu kommen? habe jetzt schon einige unets durchsucht aber leider nix konkretes gefunden. :o möchte einen vpn server hinter einer firewall einrichtern - alles w2k ( www - firewall - vpn - priv.netz ) wäre nett wenn mir da jemand weiterhelfen könnte :wink2: thanks Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 30. Januar 2003 Melden Teilen Geschrieben 30. Januar 2003 Hi bandito ! Für eine PPTP-Verbindung brauchst Du TCP/UDP - Port 1723 und das Protokoll Nr. 47 (GRE). Für L2TP den Port 500 und die Protokolle Nr. 50 eventuell 51 (Protokoll 51 ist aber nicht NAT-fähig- entfällt bei Dir wahrscheinlich sowieso). Wo ist Dein Problem, irgendwas scheint ja nicht zu funktionieren. Zu diesen Protokollen 47 und 50. Die sind bei den meisten Routern und Firewalls nicht explizit erwähnt, da klar ist, wenn Du eine PPTP-Verbindung durchläßt, daß Protokoll 47 benötigt wird und bei L2TP (wird oft auch als IPSec-Verbindung bezeichnet) Protokoll 50 benötigt wird. zuschauer Zitieren Link zu diesem Kommentar
Bandito 10 Geschrieben 6. Februar 2003 Autor Melden Teilen Geschrieben 6. Februar 2003 Thanks Zuschauer!!! Hat geholfen :) Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 13. März 2006 Melden Teilen Geschrieben 13. März 2006 OK der Beirag ist zwar etwas älter, aber passt genau auf mein Problem :) Für VPN habe ich den Port 1723 als eingehenden und ausgehenden Port auf der Firewall freigegeben. Leider war keine VPN Verbindung möglich, da die Firewall des Routers alle anderen ausgehenden Ports blockiert. Nun habe ich per TCPVIEW nachgeschaut und festgestellt das auf Port 1050 eine Anfrage kommt. Nach dem ich diesen Port auf der Firewall als ausgehnde Verbindung freigegeben hatte funktinierte auch VPN. Nach der Trennung von VPN und dem erneuten Versuch ging es leider nicht mehr, da als nächstes auf Port 1051 eine Anfrage kam. Somit habe ich nun auf der Firewall bis jetzt die Ports 1050 - 1100 freigegeben und auch per TCPVIEW festgestellt, daß jedesmal der Port hochgezählt wird. Also eine VPN Verbindung auf 1070 gemacht, die VPN Verbindung getrennt und bei der nächsten VPN Verbindung wird der Port 1071 genommen. Die Frage die sich mir nun stellt ist bis zu welchen Ports ich die Regel freigeben muß, also bis wohin maximal hochgezählt wird, oder kann ich dies bei den Servereinstellungen eventuell verhindern ? Als Server läuft ein SBS 2003 mit Routing und RAS und bei Routing und RAS habe ich als PPTP Port maximal 5 eingestellt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. März 2006 Melden Teilen Geschrieben 13. März 2006 Der Client benutzt Ports >1024 und verbindet sich mit dem Serverport 1723. Es ist also schwierig, eine Regel für eine bestimmte Clientportrange zu definieren, da der Port dynamisch vom Betriebssystem festgelegt wird. Meine Verbindung hier fängt zum Beispiel bei 1983 an ... Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 13. März 2006 Melden Teilen Geschrieben 13. März 2006 Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ?? Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt. Ich meine, wenn ich eine Firewall habe und mit dieser entsprechend nur bestimmte Ports für Applikationen freigebe wird es mir als administrator doch um so schwerer gemacht, wenn ich applikationen habe, welche nur mit dynamischen Ports arbeiten (Skype ist u.a. auch so ein Kandidat). Wenn das dann nur geht wenn ich die Ports 1-65535 öffne, dann kan ich ja auch gleich die Firewall unkonfiguriert lassen :( Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. März 2006 Melden Teilen Geschrieben 13. März 2006 Hmmm, aber fängt er irgendwann auch mal wieder an von vorne zu zählen ?? Mag sein, dass du so was we "Hochzählen" festgestellt hast, aber der Client krallt sich normalerweise einen beliebigen freien Port oberhalb von 1023. Du müsstest also korrekterweise alle Antwortports von 1024-65535 aufmachen. Bei solchen dynamiken kann man ja auch gleich eine Firewall weg lassen, denn immerhin bedeutet dies ja das wenn an einen Port öffnet auch ein kleines Türchen aufmacht und somit die Sicherheit etwas herabsetzt.( Nein. Du musst nur eine entsprechende Firewall haben, ich weiß nicht was du für eine hast, aber jede Durchschnittsfirewall kann Stateful Inspektion, d.h. sie macht die Ports auf (Antwortports), die für zugelassenen Verkehr benötigt werden. grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. März 2006 Melden Teilen Geschrieben 13. März 2006 Du hast genau einen Port auf, den TCP 1723. Der Client baut zu diesem Port eine Verbindung auf und muss deswegen auch einen Endpunkt definieren (seinen Client-Port + seine IP-Adresse). Ich verstehe ehrlich gesagt nicht, was Du meinst ... edit: zu langsam bin ich ... :D Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Die Sache liegt wie folgt. Es wurde ein Router mit Hardwarefirewall gekauft. Auf dieser Firewall wurde eingestellt das als ausgehende Ports nur der Port 110, 25, 80 und 443 für die IP desServers geöffnet ist. Alle anderen Ports werden geblockt. Auf dem Server läuft Routing und RAS, sowie DNS und die User gehen über den Server in das Internet. E-Mails holt der Server selbst ab. Als eingehende und ausgehende Regel habe ich nun den Port 1723 geöffnet, da VPN per PPTP gewünscht wird. Leider kommt aber keine Verbindung zustande, da eben der entsprechende Port der angefordert bzw. vergeben wird durch die letzt Regel blockt. Wie gesagt VPN funktioniert ja wenn ich die letzte Regel BLOCK ANY ALL deaktiviere. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Machst Du das eigentlich mit einer Portumleitung von der externen Routeradresse nach innen zum Server ? Der Server macht sicher NAT ... Ich weiss jetzt nicht, was man und wie man das an Deinem Router einstellt ... Inbound Quelladresse:Any Quellport:TCP>1024 Zieladresse:Adresse des Servers Zielport:TCP 1723 Outbound Quelladresse:IP des Servers Quellport:TCP 1723 Zieladresse:Any Zielport:TCP>1024 edit: http://www.hsc.fr/ressources/articles/win_net_srv/ch02s03.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.