Firewall behindert zugriff auf Firmen-VPN - Port 1723 ist freigeschaltet

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon remclean » Di 02.03.2004 - 11:28

Hallo zusammen,

ich bräuchte mal ein paar Tips. Ich habe die Vigor-Firewall so konfiguriert, das bestimmte Ports nach außen (80,25, 1723 etc.) durchgelassen werden und alle sonstigen gesperrt werden. Außerdem werden auch alle eingehenden Ports gesperrt. Der Zugriff auf das Firmen-VPN (PPTP) funktioniert nur wenn ich das Sperrung für alle eingehenden Ports aufhebe. Ich möchte aber nicht generell alle eingehenden Ports zulassen. Wenn ich die Sperrung wieder einbaue klappt die Vermittlung mit dem VPN-Server nicht. Im Vigor Protokoll steht was von:

64:53:07.400 lan @Group:Rule=0:6 b 213.xxx.xxx.xxx -> 192.168.1.17 PR 47 len 20 (82) IN

Ich vermute das PR 47 bezieht sich auf das Protokoll (nicht der Port) mit der Nummer 47, doch wie kann ich dass explizit freischalten in einer Firewall-Regel?

Danke für die Tips
Micha ???
remclean
Grünschnabel
 
Beiträge: 2
Registriert: Di 02.03.2004 - 11:15

Beitragvon remclean » Di 02.03.2004 - 11:49

Hier noch eine Ergänzung,

Es muß auch die Sperrung der Ausgehenden Ports aufgehoben werden um die VPN-Verbindung aufzubauen. Auch hier wird im Log das PR 47 erwähnt.
remclean
Grünschnabel
 
Beiträge: 2
Registriert: Di 02.03.2004 - 11:15

Beitragvon spooky » Di 02.03.2004 - 12:11

IP-Protokoll 47 ist Gre und wird von PPTP benötigt. Da dieses Protokoll nicht verfügbar ist im Vigor, musst du hofen daß er VPN-Fähig ist, sollte aber sein. Sprich du musst nur TCP 1723 portforwarden auf deinen vpn-server.
Da du das aber gemacht hast würde ich es mal mit einem Firmware-Update probieren.
spooky
User
 
Beiträge: 21
Registriert: Mo 01.03.2004 - 14:29

Beitragvon nitho » Mo 18.07.2005 - 15:31

Hallo

Das IP-Protokoll 47 welches sich im Vigor nicht extra Verwalten läßt,wird aber Dummerweise in Deinen letzten Filterregeln BLOCK ALL für IN und OUT mit geblockt wenn Du als Protokoll any anwählst.

Daher mußt Du Dir um Sicher zu sein 3 Block IN und Block OUT Regeln anlegen, wo Du explizit ICMP,IGMP, und TCP/UDP für alle blockst, und somit aber PR 47 offen bleibt.

Da Du ja Port 1723 schon offen hast sollte es jetzt gehen.
nitho
Grünschnabel
 
Beiträge: 3
Registriert: Do 25.09.2003 - 19:12

Beitragvon dimugi » So 05.08.2007 - 04:14

Hallo allerseits,

passiert da noch mehr?

Ich habe ICMP, IGMP und TCP/UDP außer jeweils den Port 47 geblockt (if no further match).

Dann geht erst mal nichts mehr in Sachen VPN, nur wenn ich Ports größer 47 auch öffne geht es wieder.

Was geht bei den höheren Ports noch ab? Ich dachte mal an Port 4500 doch der oder die Ports liegen noch höher.

Eigentlich sollte bei pptp doch nur der Port 1723 benötigt werden, oder?

Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste