Mit Shrew und Port 443 auf Fritzbox

smodo1977

Mitglied
Mitglied seit
29 Mrz 2009
Beiträge
217
Punkte für Reaktionen
4
Punkte
18
Hallo,

ist es möglich mit Shrew und Port 443 zur Fritzbox eine VPN-Verbindung auf zu bauen. Die Verbindung mit Port 500 funzt. Port 443 ist halt in den meisten Frimen offen.

Danke

Smodo
 
Hallo,

nicht mit den Bord-Mitteln der Fritzbox, und nicht über IPSEC (ist unter anderem wegen VPN Passthrough auf Port 500 UDP festgelegt).

Übrigens ist das Aufbauen einer VPN Verbindung oder eines Tunnels generell in den meisten Firmennetzen strengstens untersagt, da man damit ein riesiges Loch in die Firewall bohrt. Abmahnungen und Kündigungen können (zurecht!) die Folge sein.
 
schade. Warum ein großes Loch in die Firewall? wenn ich Jetzt nur Port 500 von innen nach außen öffne und von aussen nach innen nur Port 80 und 443 offen ist, dann funzt der Tunnel doch und wo ist dann das große loch?

Gruß und danke

Smodo
 
Hallo,

der Tunnel ist das Loch. Damit kannst du ungehindert Daten hinter die Firewall fließen lassen, die sonst nicht durch die Firewall/Proxys/Virenwalls kommen würden.
 
ah, du meinst in diesem Fall bin ich das loch, da keiner sieht was ich durch den Tunnen schicke, oder?
Von aussen besteht aber keine Gefahr, oder?

Gruß

Smodo
 
Hallo,

doch, gerade von Außen besteht die Gefahr.

Ich würde dir dringend ans Herz legen, auf das Experiment verzichten. Es ist mehr als offensichtlich, dass du nicht den Hauch einer Ahnung hast, welchen Schaden du damit anrichten kannst.
 
wär super, wenn du mirs erklären könntest, würde es gerne verstehen, wo das loch ist.

Danke

Smodo
 
Das "Loch" entsteht dadurch, dass du einen Tunnel aufbaust, durch den ungehindert Daten fliessen können, die sonst abgehalten werden würden, da sie vorher durch Proxy, Firewall, Virenprogramme, etc gefiltert werden. Der Tunnel öffnet einfach eben den Durchgang zu dem Netz, wohin du die Verbindung aufbaust. Dieses Netz ist von den Firmenadministratoren nicht kontrollierbar, somit ein potentielles Sicherheitsloch, egal, was du da versicherst oder eben nicht, und ein guter Admin würde dir da auch nicht vertrauen, egal wie er sonst zu deinen Leistungen steht. Punktum.
Und nicht zu vergessen ist es verboten, bestehende Sicherheitsvorkehrungen zu umgehen, was eben auch das Tunneln eines anderen Netzes macht. Die Sicherheitsvorkehrungen werden umgangen.
Als Chef würde ich dir alleine bei einem Versuch den Internetzugang sperren und gleichzeitig abmahnen. Und als Hinweis: Wir haben für solche Sachen schon jemandem gekündigt, nachdem er auf die Abmahnung nicht reagiert hat.
Ach ja, potentiellen Datendiebstahl kann man da auch noch unterstellen, denn auch dieser Traffic ist nicht kontrollierbar, somit kannst du ohne irgendein Problem Firmendaten auf deine Server spielen.

Also lass es einfach, oder frag vorher, ob du das darfst und lass es dir schriftlich geben. Die Administratoren werden dir, wenn sie Anweisung erhalten, dort behilflich sein.
 
Hallo,
wollte fragen wie es jett doch möglich ist über Port 443 den VPN Tunnel aufzubauen, da ich das gerne aus der FH machen würde und sicherlich nicht mit einer Abmahnung rechnen muss ;-)
Besten Dank schon mal vorab.
Gruß
 
Hallo,
wollte fragen wie es jett doch möglich ist über Port 443 den VPN Tunnel aufzubauen, [...]
Möglich ist das schon. Wenn es auch erlaubt und sinnvoll ist und mein Server und Client eine Linux- oder Unixkiste ist, würde ich den VPN-Tunnel mit vtund aufbauen:
Beispiel für die Konfigurationsdatei des Servers (vtund-server.conf):
Code:
options {
  port 443;
  type inetd;
  syslog        daemon;
  ifconfig      /sbin/ifconfig;
  route         /sbin/route;
  firewall      /usr/sbin/iptables;
  ip            /bin/ip;
}
default {
  compress no;
  speed 0;
  multi yes;
}
# server
tun_443 {
  password <geheim**********>;
  type tun;
  proto tcp;
  speed 256:512;
  encrypt blowfish256ecb;
  compress lzo:1;
  keepalive yes;
  up {
        ifconfig "%% 10.6.0.1 pointopoint 10.6.0.2";
        route "add -net 192.168.155.0 netmask 255.255.255.0 gw 10.6.0.2";
	firewall "-t nat -A POSTROUTING -o %% -j MASQUERADE";
  };
   down {
        ifconfig "%% down";
        route "del -net 192.168.155.0 netmask 255.255.255.0 gw 10.6.0.2";
	firewall "-t nat -D POSTROUTING -o %% -j MASQUERADE";
   };
}
vtund-Server starten mit:
/usr/bin/vtund -s -f /Pfad/zur/vtund-server.conf -i -P 443

Beispiel für die Konfigurationsdatei des Clienten (vtund-client.conf):
Code:
options {
#  port 443;
  type stand;
  syslog        daemon;
  ifconfig      /sbin/ifconfig;
  route         /sbin/route;
  firewall      /usr/sbin/iptables;
  ip            /bin/ip;
}
default {
  compress no;
  speed 0;
}
# client
tun_443 {
  password  <geheim**********>;
  timeout 60;
  persist yes;
  up {
        ifconfig "%% 10.6.0.2 pointopoint 10.6.0.1";
        route "add -net 192.168.166.0 netmask 255.255.255.0 gw 10.6.0.1";
  };
  down {
        ifconfig "%% down";
       route "del -net 192.168.166.0 netmask 255.255.255.0 gw 10.6.0.1";
   };
}

vtund-Client starten mit:
/usr/bin/vtund -f /Pfad/zur/vtund-client.conf -P 443 tun_443 <dyndns.adresse.org>
 
Hi sf3978
danke für den Vorschlag.

Hab leider kein Linux Server am Laufen. Gibts für die Fritzbox selbst keine Möglichkeit den Port auf 443 umzustellen?
vlg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.