Mit Shrew und Port 443 auf Fritzbox

[smodo1977]

Hallo,

ist es möglich mit Shrew und Port 443 zur Fritzbox eine VPN-Verbindung auf zu bauen. Die Verbindung mit Port 500 funzt. Port 443 ist halt in den meisten Frimen offen.

Danke

Smodo

 

[frank_m24]

Hallo,

nicht mit den Bord-Mitteln der Fritzbox, und nicht über IPSEC (ist unter anderem wegen VPN Passthrough auf Port 500 UDP festgelegt).

Übrigens ist das Aufbauen einer VPN Verbindung oder eines Tunnels generell in den meisten Firmennetzen strengstens untersagt, da man damit ein riesiges Loch in die Firewall bohrt. Abmahnungen und Kündigungen können (zurecht!) die Folge sein.

 

[smodo1977]

schade. Warum ein großes Loch in die Firewall? wenn ich Jetzt nur Port 500 von innen nach außen öffne und von aussen nach innen nur Port 80 und 443 offen ist, dann funzt der Tunnel doch und wo ist dann das große loch?

Gruß und danke

Smodo

 

[frank_m24]

Hallo,

der Tunnel ist das Loch. Damit kannst du ungehindert Daten hinter die Firewall fließen lassen, die sonst nicht durch die Firewall/Proxys/Virenwalls kommen würden.

 

[smodo1977]

ah, du meinst in diesem Fall bin ich das loch, da keiner sieht was ich durch den Tunnen schicke, oder?
Von aussen besteht aber keine Gefahr, oder?

Gruß

Smodo

 

[frank_m24]

Hallo,

doch, gerade von Außen besteht die Gefahr.

Ich würde dir dringend ans Herz legen, auf das Experiment verzichten. Es ist mehr als offensichtlich, dass du nicht den Hauch einer Ahnung hast, welchen Schaden du damit anrichten kannst.

 

[smodo1977]

wär super, wenn du mirs erklären könntest, würde es gerne verstehen, wo das loch ist.

Danke

Smodo

 

[Silent-Tears]

Das "Loch" entsteht dadurch, dass du einen Tunnel aufbaust, durch den ungehindert Daten fliessen können, die sonst abgehalten werden würden, da sie vorher durch Proxy, Firewall, Virenprogramme, etc gefiltert werden. Der Tunnel öffnet einfach eben den Durchgang zu dem Netz, wohin du die Verbindung aufbaust. Dieses Netz ist von den Firmenadministratoren nicht kontrollierbar, somit ein potentielles Sicherheitsloch, egal, was du da versicherst oder eben nicht, und ein guter Admin würde dir da auch nicht vertrauen, egal wie er sonst zu deinen Leistungen steht. Punktum.
Und nicht zu vergessen ist es verboten, bestehende Sicherheitsvorkehrungen zu umgehen, was eben auch das Tunneln eines anderen Netzes macht. Die Sicherheitsvorkehrungen werden umgangen.
Als Chef würde ich dir alleine bei einem Versuch den Internetzugang sperren und gleichzeitig abmahnen. Und als Hinweis: Wir haben für solche Sachen schon jemandem gekündigt, nachdem er auf die Abmahnung nicht reagiert hat.
Ach ja, potentiellen Datendiebstahl kann man da auch noch unterstellen, denn auch dieser Traffic ist nicht kontrollierbar, somit kannst du ohne irgendein Problem Firmendaten auf deine Server spielen.

Also lass es einfach, oder frag vorher, ob du das darfst und lass es dir schriftlich geben. Die Administratoren werden dir, wenn sie Anweisung erhalten, dort behilflich sein.

 

[smodo1977]

okay, danke

Gruß

Smodo

 

[eisvogel2010]

Hallo,
wollte fragen wie es jett doch möglich ist über Port 443 den VPN Tunnel aufzubauen, da ich das gerne aus der FH machen würde und sicherlich nicht mit einer Abmahnung rechnen muss ;-)
Besten Dank schon mal vorab.
Gruß

 

[sf3978]

Hallo,
wollte fragen wie es jett doch möglich ist über Port 443 den VPN Tunnel aufzubauen, [...]

Möglich ist das schon. Wenn es auch erlaubt und sinnvoll ist und mein Server und Client eine Linux- oder Unixkiste ist, würde ich den VPN-Tunnel mit vtund aufbauen:
Beispiel für die Konfigurationsdatei des Servers (vtund-server.conf):

options {
  port 443;
  type inetd;
  syslog        daemon;
  ifconfig      /sbin/ifconfig;
  route         /sbin/route;
  firewall      /usr/sbin/iptables;
  ip            /bin/ip;
}
default {
  compress no;
  speed 0;
  multi yes;
}
# server
tun_443 {
  password <geheim**********>;
  type tun;
  proto tcp;
  speed 256:512;
  encrypt blowfish256ecb;
  compress lzo:1;
  keepalive yes;
  up {
        ifconfig "%% 10.6.0.1 pointopoint 10.6.0.2";
        route "add -net 192.168.155.0 netmask 255.255.255.0 gw 10.6.0.2";
	firewall "-t nat -A POSTROUTING -o %% -j MASQUERADE";
  };
   down {
        ifconfig "%% down";
        route "del -net 192.168.155.0 netmask 255.255.255.0 gw 10.6.0.2";
	firewall "-t nat -D POSTROUTING -o %% -j MASQUERADE";
   };
}

vtund-Server starten mit:

/usr/bin/vtund -s -f /Pfad/zur/vtund-server.conf -i -P 443

Beispiel für die Konfigurationsdatei des Clienten (vtund-client.conf):

options {
#  port 443;
  type stand;
  syslog        daemon;
  ifconfig      /sbin/ifconfig;
  route         /sbin/route;
  firewall      /usr/sbin/iptables;
  ip            /bin/ip;
}
default {
  compress no;
  speed 0;
}
# client
tun_443 {
  password  <geheim**********>;
  timeout 60;
  persist yes;
  up {
        ifconfig "%% 10.6.0.2 pointopoint 10.6.0.1";
        route "add -net 192.168.166.0 netmask 255.255.255.0 gw 10.6.0.1";
  };
  down {
        ifconfig "%% down";
       route "del -net 192.168.166.0 netmask 255.255.255.0 gw 10.6.0.1";
   };
}

vtund-Client starten mit:

/usr/bin/vtund -f /Pfad/zur/vtund-client.conf -P 443 tun_443 <dyndns.adresse.org>

 

[eisvogel2010]

Hi sf3978
danke für den Vorschlag.

Hab leider kein Linux Server am Laufen. Gibts für die Fritzbox selbst keine Möglichkeit den Port auf 443 umzustellen?
vlg

 

[sf3978]

Gibts für die Fritzbox selbst keine Möglichkeit den Port auf 443 umzustellen?

Ja das geht auch mit der FritzBox (ist ja Linux), mit einem VPN-Server (z. B. vtun) der an Port 443 lauscht.