VPN Ports durch Kaspersky Firewall routen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

Diddi-TI

Neuer User
Mitglied seit
9 Mai 2008
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hallo!

Ich habe erfolgreich eine VPN-Verbindung zwischen 2 Fritz Boxen 7170 hergestellt.
Bei abgeschalteter Firewall (Kaspersky 2009) kann ich auch auf sämtliche Ordnerfreigaben etc. zugreifen. Leider nicht, wenn ich die Firewall einschalte.

AVM schreibt dazu folgendes:
Sehr geehrter Herr XXX,

vielen Dank für Ihre Anfrage.

Um mit FRITZ!Fernzugang durch eine Firewall (z.B. einen vorgeschalteten
NAT-Router) eine VPN-Verbindung zur FRITZ!Box herzustellen, nehmen Sie folgende Einstellungen in der Firewall vor:

HINWEIS:
In den meisten NAT-Routern (z.B. FRITZ!Box) sind die für FRITZ!Fernzugang benötigten Einstellungen standardmäßig aktiv und müssen nicht manuell vorgenommen werden. Bei Fragen zur Konfiguration der Firewall wenden Sie sich bitte direkt an den Hersteller derselben.

- Ein- und ausgehende Verbindungen an UDP-Port 53 (DNS) zulassen

- Ein- und ausgehende Verbindungen für UDP-Port 500 (ISAKMP) zulassen

- Ein- und ausgehende ESP-Pakete ("Encapsulated Security Payload"; IP-Protokollnummer 50) zulassen.

HINWEIS:
Das Durchlassen von ESP-Paketen wird oftmals als "IPsec-Passthrough"
bezeichnet.

Mit freundlichen Grüßen aus Berlin
xxx (AVM Support)
Zum Vergrößern anklicken....

leider funktioniert das ganze nicht! Es funktioniert lediglich, wenn ich das komplete Subnetz der entfernten Box bzw. die einzelne IP-Adresse des zugreifenden PCs freigebe. Dann brauch ich aber die Ports nicht freigeben.

Da ich auch teilweise in anderen Subnetzen bin und dann Fritz Fernzugang nutze, bringt mir das ganze aber nichts. Ich kann ja nicht alle Subnetze die es gibt freigeben.

Außerdem: Ich kann ESP nur freigeben ohne die Protokollnummer anzugeben. Ich bin der Meinung das ESP automatisch Protokoll 50 ist. Oder ist das nicht so?
Und: Der Zusatz DNS bzw. ISAKMP steht doch nur wofür ich diesen Port freigebe. Ich brauche doch einfach nur die UDP-Ports freigeben und gut oder muss ich z.B. angeben das der Port für DNS ist?

Ich wäre euch sehr dankbar, wenn ihr mir helfen könntet.

Grüße Diddi
 
Hallo Diddi-TI,

deine Firewall kann nur automtisch dein eigenes lokales Netz kennen. Die der Gegenstellen (Netzwerke) kann sie nicht kennen. Dazu musst du diese Netze freigeben (also Firewall-Regel erstellen) um uneingeschränkten Zugriff zu bekommen. In welchen Netz du dich selber befindest sollte sie automatisch erkennen, also egal in welchen Subnetz du dich befindest.
Um aber z.B. alle Class-C-Netze freizugeben müsstest du eine Regel einrichten für das Netzwerk 192.168.0.0/16 (192.168.0.0/255.255.0.0).

Zu dein "Außerdem": Die IP-Protokoll-Nummern haben einen bestimmten Namen, z.B die Nr. 50 hat den Namen ESP. Bei manchen Firewalls wird das über den Namen konfiguriert, bei anderen über die Nummer. Als ESP bedeutet das Protokoll 50. Siehe hier

Genauso verhält es sich mit den Ports. Die Ports 0-1024 (well known ports) sind für bestimmte zwecke reserviert wie z.B. der UDP-Port 53 für den DNS reserviert ist. Siehe hier
 
Hallo Miniatur,

d.h. also ich muss jedes Mal das Netz freigeben in dem sich der zugreifende Pc sich befinden. z.B. heimische Box 192.168.56.0 und die fremde ist 192.168.57.0 dann muss ich die 57er Adresse immer freigeben bzw. dauerhaft öffnen.
Das habe ich ja schon rausgefunden. Ich bin beruflich manchmal in verschiedenen Netzen unterwegs, dann müsste ich ja therotisch alle Netze öffnen...geht das überhaupt?

Also nur über Ports wird es wohl nicht gehen oder?

Diddi
 
Das lokale Netz, wo sich der Rechner befindet von dem du aus zugreifen möchtest sollte durch deine Firewall automatisch freigegeben sein. Sonst hast du auch keinen Zugriff auf die anderen Rechner in diesem Netz.
Nur das Netz auf das du per VPN zugreifen möchtest muss du per Hand freigeben. Wenn du also von deinem Standort/Netz auf das Netz von zuhause zugreifen möchtest, musst du nur das Netz von zuhause freigeben (also Remotenetzwerk=192.168.56.0/24).

Alle Netze kannst du wie gesagt mit 192.168.0.0/16 freigeben.

Portfreigaben für z.B. die Dateifreigabe solltest du nicht benutzen, da diese sonst auch von Internet her erreichbar wären (wenn sie nicht sowieso vom Router geblockt werden). Also müsstest du das Zielnetz wieder mit angeben. Also kannst du auch gleich das ganze Zielnetz freigeben. Das ist nicht schlimm, da die Privaten Netzwerke im Internet nicht geroutet werden.

Ich kenne leider die Firewall nicht, daher kann ich dir nicht genau sagen wo du welche Einstellungen machen musst.
 
Zuletzt bearbeitet:
Ok Vielen Dank!!

hab jetzt alle Adressen freigegeben!

Das Problem letztlich war einfach das ich immer dachte ich muss jede IP-Adresse einzeln zulassen...

DANKE!!! :groesste:

Diddi
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 622 (Mitglieder: 47, Gäste: 575)

Neueste Beiträge

Statistik des Forums

Themen
246,042
Beiträge
2,244,943
Mitglieder
373,448
Neuestes Mitglied
Dyoga
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück