Was brauchs noch außer GRE (47) und TCP 1723?

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Was brauchs noch außer GRE (47) und TCP 1723?

Beitragvon dimugi » So 05.08.2007 - 08:21

Wie wirken Firewall, Nat open-Ports und NAT Port-Redirection, sowie DMZ?

Ich meine, in welcher Reihenfolge? Wie verzahnen diese.

Habe auf meinen VigorPro 5500 totale schwierigkeiten eine pptp Verbindung (ohne interne Router-VPN) hinzubekommen ohne das ich im Genaral-Setup von default-Rule "block" (so hätte ich es gerne) auf "pass" umstelle.

Am GRE Protokol liegt es nicht mehr, denn ich habe dafür gesorgt das der Port 47 für jedes Protokol durchkommt. Auch Port 1723 habe ich in der Firewall frei geschaltet.

Wenn ich nach einer Block Regel die mir außer Port 47 und 1723 alle Ports schließt nicht eine weitere Regel mache in dem nicht gerade alles wieder geöffnet wird, geht es mit dem pptp nicht mehr.

Was könnte da noch stören?

Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)

Beitragvon dimugi » Fr 26.10.2007 - 02:55

Hallo nochmal,

ich es muß etwas mit einem TCP-Port (LAN to WAN) nach außen zu tun haben. Stelle ich alle Ports nach außen offen gehts es.

Also entweder in Basis-Filter default = "alles durchlassen" oder Port 1723 (TCP) und IP-Prot 47 (GRE) alle TCP nach außen auf.
Open-Ports, DMZ und Port-Forwarding bringt nichts, da auch laut Draytek
die Firewall VPN-Verbindungen auch dann prüft, trotz abgeschalter Hausgemachter interner VPNs.

Das kann man nartürlich nicht so lassen.

Ich halte das für eine Fehler im Gerät und habe Draytek zur Rede gestellt.
Antwort wird noch erwartet. :evil:

Weis jemand noch Rat zur Sache? Wäre äußerst Dankbar für Denkansätze.

Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)

Beitragvon dimugi » Di 30.10.2007 - 03:37

Hallo allerseits,

verwende eine Draytek Vigor 5500Pro und bei einem anderen Netzwerk den Vigor 2950.
Beide Netze haben nichts miteinander zu tun, sie sollen jeweils nur von außen via VPN erreichbar sein, d.h. keine VPN unter einander. In beiden Netzen hängt der jeweilige Router vor einem Windows Server 2003 SBS, je mit 2 NICs (eine für WAN- andere für LAN-Seite).
Die Server Naten jeweils.


Möchte die Router internen VPN Möglichkeiten allerdings nicht nutzen und habe diese abgeschaltet.

Dann gibt es allerdings ein Problem.

Im Basis Filter wünsche ich mir bei jdem der Router per default auf "block" einzustellen.
In der Nat bringen open-Ports, Port-Forwarding bzw. DMZ gar nichts, da die Firewall die Verbindungen laut Draytek trotzdem kontrolliert. Für was hat man dann noch eine DMZ?

Wenn das nichts bringt, so dachte ich mir, mache ich halt unter anderem die Ports 1723 (TCP) und IP-Protokol 47 (GRE) nach innen und außen auf (pptp). Do geht das leider aber auch nicht.

Erst wenn sämtliche TCP-Ports (1-65535) nach außen geöffnet werden geht es. Nicht sonderlich toll, oder.

Draytek sagt:

- Basisfilter auf "block" macht keinen Sinn, da Filter eh nur von innen nach außen wirkt.
von außen nach innen wirkt die NAT und daher kann der Filter auf "pass" gestellt werden.
- Firewall kontrolliert sämtliche Verbindung auch bei DMZ, open-Ports, Port-Forwarding.
- Microsoft würde sich eventuell nicht an die RFC halten. Wir hatten versucht den TCP-Port
einzugrenzen, der von innen geöffnet werden muß, doch liegt scheinbar immer anders.
Daher haten wir Erfolg, als wir alle TCP nach außen geöffnet hatten.

Im Moment, bis zu Lösung des Problems, haben wir einen alten Vigor 2200i im Einsatz. Der macht nämlich alles. Laut Draytek arbeitete da noch die Firewall anders.

Weis da jemand mehr?
Wie verhält es sich mit dem SBS und RFC?
Hat Draytek mit seinen Behauptungen recht, oder ist das nur eine Ausrede bis das Problem gelöst ist?

Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)

Beitragvon nobody » Di 30.10.2007 - 11:26

Hi,
Wenn es so ist, wie Draytek sagt, dann kann man wohl nicht viel tun.
(warum es aber mit dem 2200 geht, das weiss ich auch nicht)

Eventuell kannst Du ja mal selber austesten, wie sich das verhält, indem Du mal in 10.000 schritten die geöffneten Ports einschränkst, und, wenn Du was findest, dann den geöffneten Bereich weiter einschränken bis Du was gefunden hast, das funktioniert.

Warum aber möchtest Du denn nicht das im Router eingebaute VPN nutzen ?
Ein Authentifizierung mittels Windows logins und passwörtern sollte ja mittels Radius ebenso möglich sein.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron