Sicherheit Fritzbox und VPN

20/04/2012 - 21:33 von Bernd Boesch | Report spam
Hallo zusammen,

ich habe eine Fritzbox 3270 und hab jetzt mal versuchsweise die
VPN-Verbindung ausprobiert. Bevor ich sowas über eine unsichere
WLAN-Verbindung mache, will ich ganz sicher sein, dass es auch wirklich
funktioniert.

Das Thema VPN ist mir durchaus gelàufig, da es aber von unseren
Administratoren eingerichtet war, hab ich mir über die
Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.

Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
mehreren PCs und NAS; Netbook mit XP über UMTS als Client.

Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
ausserhalb des DHCP-Bereiches - völlig OK.

Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
feststellen, ob auch Zugriffe auf das Internet getunnelt werden? Ich
gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
den jeder Verkehr zunàchst ins lokale Netz geschleust wird und von da
wie bei einem lokalen PC über NAT ins Internet.

Oder sehe ich das falsch und wenn, wie kann man das überprüfen?
 

Lesen sie die antworten

#1 Thomas Krenzel
28/04/2012 - 23:22 | Warnen spam
Am 20.04.2012 21:33, schrieb Bernd Boesch:

Das Thema VPN ist mir durchaus gelàufig, da es aber von unseren
Administratoren eingerichtet war, hab ich mir über die
Möglichkeiten einer Sicherheitsüberprüfung nie Gedanken gemacht.



Ok, also es geht hier um eine VPN-Verbindung von einem deiner lokalen PC
über die Fritzbox in die Firma?

Oder möchtest Du von extern übers Internet über die Fritzbox auf dein
lokales LAN zugreifen?

Versuchseinrichtung: FB als VPN-Sever mit Lokalnetz IP
192.168.178.xxx/24, DHCP-Bereich 192.168.178.30-192.168.178.200 mit
mehreren PCs und NAS; Netbook mit XP über UMTS als Client.



Aha, ok.

Verbindungsaufbau ging nach Anleitung problemlos, aber kein PING
möglich. Dazu mussten erst beide Adapter (LAN und WLAN) im
Hardwaremanager deaktiviert werden. Wie denn das? Wenn kein Kabel steckt
und WLAN ausgeschaltet ist kann doch nirgendwo im Laptop eine IP aus dem
Zieladressraum vorhanden sein? 'IPCONFIG' zeigt jedenfals nur MAC
Adressen. Vielleicht weiss einer warum - aber ok, es geht. Die FB zeigt
an, dass der Laptop die Adresse 192.168.178.201 bekommen hat, also
ausserhalb des DHCP-Bereiches - völlig OK.



Kann man den für die VPN-Verbindung vergebenen Adressbereich in der
Fritzbox definieren? Hast Du das?

Hast Du für deine Tests die Netzwerkadapter nun deaktiviert im
Geràtemanager oder nicht?

Aber wie jetzt herausfinden, wie der Lauf der Datenpakete ist. Das
bisherige Ergebnis ist, nun ja - seltsam. 'TRACERT' auf z.B. www.avm.de
zeigt die richtige Anzahl 'Hops', aber alle mit der Zieladresse.
'TRACETCP' findet keine Schnittstelle und 'Path Analyzer' zeigt eine
direkte Verbindung zur Endadresse an? Baut man die VPN-Verbindung ab,
sind die Anzeigen normal. Es ist unstrittig dass Zugriffe auf das
Lokalnetz über den VPN-Tunnel sicher sind, aber wie kann man
feststellen, ob auch Zugriffe auf das Internet getunnelt werden?



Zum einen - XP kann kein IPsec, so gesehen ist die Verbindung nicht als
sicher zu betrachten ;)

Nochmal zum Verstàndnis, Du willst von extern, oder meinetwegen von
intern, über eine VPN-Verbindung (die die Fritzbox als VPN-Server
bereitstellt) auch ins Internet gehen? Wenn Du deine Netzwerkkarten
deaktivierst?

Wie willst Du denn *ohne Internet* einen VPN-Tunnel aufbauen zu einer
Ressource, die nur über das Internet erreichbar ist? (das bezieht sich
noch auf den vorhergehenden Absatz ;)

Es muss also eine Richtlinie auf deinem Client vorhanden sein, die einen
Internetzugriff verbietet, *es sein denn* es ist eine gesicherte
VPN-Verbindung vorhanden. Oder Du hast eine Standleitung in dein
Unternehmen.

gehe davon aus dass im Laptop ein virtueller Adapter erzeugt wird über
den jeder Verkehr zunàchst ins lokale Netz geschleust wird und von da
wie bei einem lokalen PC über NAT ins Internet.



Nein. VPN-Verbindungen sind *Punkt*zu*Punkt*-Verbindungen. In deinem
Fall von deinem Netbook zur Fritzbox (und den im LAN verfügbaren
Ressourcen). Im Firmenumfeld wird es eben ein VPN-Server sein. Und den
dort verfügbaren Ressourcen.

Du siehst die VPN-Verbindung in den Netzwerkverbindungen, ist sie aktiv,
dann kannst Du einen Server erreichen. Einen, den Einwahlserver.

Es ist dabei egal, ob die Verbindung geNATted wird, geroutet oder im
lokalen Netz weitergeleitet wird. Es ist eine Punkt-zu-Punkt-Verbindung!
Alles was dazwischen ist, ist unwichtig.

Wie das technisch ablàuft können dir die Linux- und Cisco-Leute sagen.

Wenn Du eine Ressource freigegeben hast auf dem Einwahlserver, dann
kannst Du die am Netbook über die VPN-Verbindung mit Start-Ausführen ->
\\Servername\Freigabe im Explorer anzeigen lassen.

Oder sehe ich das falsch und wenn, wie kann man das überprüfen?



Naja, ich habs vielleicht nicht ganz verstanden was deine Fragestellung
ist, ist auch nicht ganz einfach. Aber man sollte es auch nicht zu
kompliziert machen.



Schönes WE noch
Thomas K.

Ähnliche fragen