Habe die Absicht, mich beispielsweise von meiner Firma über das WWW auf mein Heimnetzwerk mit dem angeschlossenen Homeserver, oder auch auf eingeschaltete PC´s einzuwählen.
An beiden Stellen sind DSL-Anschlüsse mit angeschlossenen Routern.

1) Brauche ich spezielle Router (mit VPN-Funktionaität) oder tut es ein "normaler" Router?

2) Wie sieht beispielsweise die Befehlszeile im Browserfenster aus, um den anderen Rechner zu erreichen http://ip_des_routers?

Danke für Eur Tips!

Original geschrieben von viceversa
Habe die Absicht, mich beispielsweise von meiner Firma über das WWW auf mein Heimnetzwerk mit dem angeschlossenen Homeserver, oder auch auf eingeschaltete PC´s einzuwählen.
An beiden Stellen sind DSL-Anschlüsse mit angeschlossenen [/url]


hab zwei kein EIB aber das ist eine reine Netzwerkgeschichte
- um übers i-net auf das Heimnetz zugreifen zu können muß die IP bekannt sein, diese wechselt aber bei einem DSL Anschluß daher
sollte man z. B. den Dienst dyndns.org nutzen
hier läßt man sich eine Adresse vergeben z. B.
http://viceversa.dyndns.org
die login Daten die man by DynDns erzeugt hat gibt man an entsprechender Stelle in seinem HeimRouter ein: Funktion Dyndns.
Der Router sorgt nun dafür das diese Dyndnsadresse am leben bleibt.
wenn man jetzt von der Firma aus http://viceversa.dyndns.org anwählt landet man nur auf dem HeimRouter und nix passiert.
im HeimRouter muss man nun das Weiterleitungsziel für diese Anfrage eingeben.
wenn du den WEB Dienst des Routers nutzen willst und der
den Port 80 WWW nutzt. muß an entsprechender Stelle
das in den Heimrouter eingetragen werden. Port und IP des Homeservers.
wenn es sich um den Standartport 80 handelt bleibt die Adresse
wenn der Web Dienst vom homeserver aber einen besoonderen Port nutzt sieht das ganze so aus.
http://viceversa.dyndns.org:xxxx
ACHTUNG: alles was man auf diese Art ins Netz stellt ist ungesichert und lein leichtes spiel für böse Jungs.
Wenn aber ein weiterer PC immer online ist kann man diesen als
proxy server nutzten und die Sache absichern. Anleitung hierzu findet man in einen der letzten CHIP Zeitungen.

Hallo vicersa,

also ich habe genau diese Sache umgesetzt, die Frage welche sich stellt ist was möchtest du:

Willst du über das WAN in dein LAN und dann auf deine PC's zugreifen, dh. dich bewegen wie als wenn du dich zuhause in deinem LAN bewegst Beispiel Daten von PC 1 auf PC 2 schieben.
Dann brauchst du eine VPN Verbindung diese kannst du auf zwei Protokoll Arten relaisieren:

PPTP oder IP SEC beide Protokolle werden von Windows 2000 unterstützt.

Wenn du via Internet steueren möchtest (Homeserver) dann benötigst du eine dyndns Adresse da du ja nicht immer deine IP Adresse weisst. Da ich den Homeserver nicht kenne erkläre ich dir kurz wie ich es realisiert habe (Siemens / IPAS IP Gateway Lösung)

1 x Rechner P II
1 x Windows 2000
1 x Webserver Appache
1 x Software zum aktualisieren der IP Adresse, da nicht alle Router das Update 100% ig durchführen.
1 x DSL Router inkl. leistungsstarker Firewall

An der Firewall werden dann die benötigten Ports freigeschaltet auf alle Fälle brauchst du den Port 80 für die www anforderung sowie einen weiteren Port dieser frei definierbar.

Dadurch dass der Rechner ständig online ist, hast du auch kein Problem eine VPN Verbindung aufzubauen d.h. VPN Verbindung mit beispielsweise: viceversa.dyndns.org


Deinen Rechner zuhause erreichst du dann über

http://viceversa.dyndns.org du kommst aber immer an deinem Webserver raus, nicht an einen Xbeliebingen PC


Problematisch bei VPN ist nur dass bei PPTP das PW im Klartext übermittelt wird, bei IP Sec schaut die Sache ganz anders aus sehr viel sicherer da der Schlüssel immer wieder getauscht wird. Ebenfalls wird hierbei ein Zertifikat verwendet.

Über diese VPN Verbindung kannst du im übrigen dann auch den EIB Programmieren (I ETS) ich habe es bereits erfolgreich bei einem Kunden im Einsatz.

Die ganze Sache ist überhaupt kein Hexenwerk nur bei der Firewall gibts ein paar Kniffe auf die man achten muss.

Auch zu dem Thema Sicherheit stehe ich soweit dass es durch den Einsatz einer Leistungsstarken Firewall zu keinen Probleme kommen kann.
Nichts ist 100%ig sicher:
Aber mal ehrlich wer will denn schon etwas von Privatanwendern oder Kleinfirmen, da gibts andere Größen die gehackt werden.

Über diese ganze Sache gibts in kürze einen Erfahrungsbericht.

Anleitung hierzu findet man in einen der letzten CHIP Zeitungen.

nicht CHip sonder Ct
http://www.heise.de/abo/ct/pdfs/03/inhalt-ct0324.pdf

Wenn es geht, würde ich schon gern beides machen. Den Homeserver bedienen und bei Bedarf Daten auf einem PC zu Hause einsehen oder verwalten.

Die Geschichte mit dem Homeserver habe ich soweit verstanden. Werde es demnächst mal probieren. Der DSL-Anschluß zu Hause kommt erst demnächst.

Mein Problem ist es im Moment, das ich mir schon einen Router bestellt habe, aber jetzt im Nachgang gesehen habe, es gibt auch Router mit VPN.
Nun ist es meine Sorge, das mein Router es generell nicht kann, da er kein VPN hat.

So wie es EIB-tech jedoch geschrieben hat, ist VPN auch über ein Softwareprotokoll möglich.

AUCH BEI WINDOWS 98 SE ?

Du brauchst kein VPN, um auf den HS zu kommen. Es genügt, wenn der Router ein Umsetzung der Portadressen schafft- und das kann jeder. VPN ist natürlich besser, aber nicht nötig. Über die Seite von DACOM kommst Du auf meinen Demo-HS. Der hängt auch nur an einem einfachen DSL-Router. Im Router ist nur definiert, dass Anfragen auf einen bestimmten Port auf eine Adresse im LAN umgeleitet werden.

http://www.dacom-homeautomation.de/page.php?pageid=dehs22ref

Hallo,

also VPN und Win 98 würde ich auf keinen Fall machen, da wie ja bekannt Win 98 offen wie eine Scheuentüre ist.
Mein Tip verwende ausschließlich Win 2K.

Ob es mit Win 98 funktioniert kann ich dir nicht sagen, aber zum

Thema DSL Router gute Router sind beispielsweise:

Netscreen
SMC
Bintec

und der Mercedes Cisco

diese haben auch schon teilweise eine gute Firewall sowie einen VPN Server intigriert.

Aber auch ein Linux PC ist als Firewall sehr gut verwendbar.

Das Thema hatten wir vor zwei Monaten schonmal ( http://www.eib-userclub.de/forum/showthread.php?s=&threadid=1094&highlight=router)

Windows 98 taugt bestenfalls (mit zusätzlicher Software) als VPN-Client.

Einen DSL-Router mit VPN (meistens PPTP) und integriertem DynDNS-Client kriegst Du für unter EUR 100,--.

VPN hat den Vorteil das Du den Router nicht aufmachen musst und der dann nicht offen ist für alles was von draussen auf den HS zugreifen will. Bei VPN bleibt der Router dicht, wer aber den VPN-Zugriff hat kann durch den Router aufs ganze Netz hinter dem Router zugreifen.

So wie ich Deine Kenntnisse einschätze solltest Du von Cisco die Finger lassen, die Konfiguration von Cisco-Geräten ist nicht trivial (aussedem gibt es von Cisco keine Geräte mit DynDNS-Client und die Einstandspreise für Cisco liegen deutlich über EUR 400,--).

@EIB-TECH
Die Aussageen bez. IPsec & Key-Rotation & Zertifikaten stimmt so nicht. IPsec schreibt bewusst keinen Kryptomechanismus vor, man kann IPsec mit PKI lösen, es gibt aber auch genügend Implementierungen die mit statischen Keys arbeiten.

Gruss
Markus

Hallo Markus,

es ist doch richtig dass bei IP Sec die Schlüssel zyklisch ausgetauscht werden und Zertifikate verwendet werden ???
Ich hab ein IP Sec PDF mit 122 Seiten allerdings bin ich da noch nicht durch, wenn du es wissen solltest dann bitte erkläre mir dies mal kurz. Meine Aussage welche ich getätigt habe wurde mir so von jemanden mitgeteilt welcher sich mit IT Sicherheit befasst, es kann sein dass dies so nicht stimmt Ok.

Bitte kläre mich auf da mir das Thema unter den Nägeln brennt.

Original geschrieben von EIB-TECH
es ist doch richtig dass bei IP Sec die Schlüssel zyklisch ausgetauscht werden und Zertifikate verwendet werden ???
Ich hab ein IP Sec PDF mit 122 Seiten allerdings bin ich da noch nicht durch, wenn du es wissen solltest dann bitte erkläre mir dies mal kurz. Meine Aussage welche ich getätigt habe wurde mir so von jemanden mitgeteilt welcher sich mit IT Sicherheit befasst, es kann sein dass dies so nicht stimmt Ok.

Ahja - scheint so als ob sich nicht unbedingt jeder, der sich mit etwas befasst, auch damit auskennt.


Original geschrieben von EIB-TECH
Bitte kläre mich auf da mir das Thema unter den Nägeln brennt.

Ahja - normalerweise halte ich über dieses Thema Vorträge über ein, zwei Tage :D :D :D

VPN: Oberbegriff für gesicherte Kommunikation über ein Datennetz.

Sichergestellt werden sollen dabei i.d.R. die Identität der Kommunikationspartner und die Richtigkeit der übertragenen Daten - und das "Unbefugte" nicht mitlesen können.

Es gibt mittlerweile zig Implementierung mit denen man sich ein VPN zusammenbauen kann, z.B. PPTP (Microsoft), L2TP, L2F, SSL, IPsec u.s.w.

IPsec ist ein offener Standard der IETF (http://www.ietf.org/html.charters/ipsec-charter.html) - nachzulesen in den Dokumenten des IETF IPsec-Charters und diversen RFCs, ausgedruckt ein paar hundert Seiten ziemlich trockenen Stoffs.

Kurzfassung:

Für die Schlüsselverwaltung spezifiziert IPsec zwei Varianten:

IKE: Internet Key Exchange - automatischer Schlüsselaustausch über das Internet. Dazu braucht man eine PKI (Public Key Infrastructure) als Mittlerinstanz, die die Schlüssel verwaltet. Es gibt div. grosse Anbieter ("Trust Center", z.B. Verisign, Telekom) die PKI als Dienstleistung anbieten, alternativ kann man sich sowas auch selber stricken, jede bessere Linux-Distribution hat die reforderliche Software dabei (gibt es auch als Payware von verschiedenen Herstellern). Die PKI verwaltet die Schlüssel in s.g. "Zertifikaten", da steht neben dem Schlüssel auch noch drin, wem der Schlüssel gehört und bis wann er gültig ist. IKE ist ein ziemlich komplexes Thema, deswegen leisten sich normalerweise nur grosse und / oder reiche Firmen so ein System. PKI funktioniert so ähnlich wie z.B. PGP mit einem öffentlichen und einem privaten Schlüssel. Die öffentlichen Schlüssel liegen auf den Zertifikatsservern der PKI wo sie im Prinzip jeder abrufen kann. Wenn also zwei Companies (A und B) miteinander über IPsec quasseln wollen müssen sie sich auf eine PKI einigen die die Zertifikate beider Kommunikationspartner verwaltet. Beim Verbindungsaufbau ruft dann Company A den öffentlichen Schlüssel von Company B bei der PKI ab und Company B ruft den öffentlichen Schlüssel von Company A bei der PKI ab. A verschlüsselt die Daten für B mit dem Schlüssel von B und schickt sie an B, B entschlüsselt dann die Daten mit dem geheimen (privaten) Schlüssel und hat Klartext, bei A entsprechend andersrum. Vorteil: Man hat eine "vertrauenswürdige" PKI die die Schlüssel vorhält. Wenn man den Schlüssel ändern will / muss reicht es, das bei der PKI zu machen - und alle Kommunikationspartner können sich bei Bedarf den aktuellen Schlüssel holen.

Manuelle Schlüsselverwalter: Die Kommunikationspartner einigen sich vorher auf einen gemeinsamen "geheimen" Schlüssel ("preshared key" und "shared secret"), der wird dann im VPN-Device eingetragen. Kommunikationsaufbau erfolgt dann mit diesem Schlüssel, ergo: Wer den Schlüssel kennt kann zumindest mithören. Dementsprechend ist es angeraten, diese Schlüssel ab und zu zu tauschen - und nicht für alle Kommunikationspartner den gleichen Schlüssel zu verwenden. Diese "einfache" Variante ist die gängige bei kleineren und mittleren Unternehmen die sich eine PKI nicht leisten können oder wollen - oder die PKI nicht kapieren :D

PKI ist komplex, teuer und sehr sicher, Preshared Key, shared Secret sind "billig", etwas umständlich in der Handhabung - und nicht ganz so sicher (weil zwei Parteien den gleichen Schlüssel haben und auch der Schlüsselaustausch "belauscht" werden kann).

Eine IPsec-Implemetierung nach IETF sollte beide Varianten unterstützen.

Wenn Du dann das PDF gelesen (oder eine Schulung bei mir besucht hast) hast solltest Du auch noch wissen was AH, ESP und SA sind - und warum sich IPsec und NAT nicht so dolle vertragen :D :D :D

Gruss
Markus

Zum Thema: ".. vom Firmennetz mit VPN in's Heimnetzwerk.. "

Das geht so meistens nicht!

Der Zugriff auf das Internet sollte bei Firmen über einen Proxy und eine Firewall führen. Ich bezweifele, dass die Firewall für gehende VPN-Verbindungen freigeschaltet ist. Zumindest ist die meine Erfahrung bei 2 Grosskonzernen für die ich tätig war / bin. Es gibt auch keinen Grund eine gehende VPN-Verbindung von einem Client des Firmennetzwerks zu erlauben. Für diese Problematik gibt es entsprechende Lösungen die in den aktiven Netzwerk-Komponenten realisiert werden können.

Mein Vorschlag wäre, einen Terminal-Server hinter den Router zu setzen und dann per Internet Browser eine http-Terminal-Session darauf zu öffnen und dann diesen internen Rechner zu benutzen.

Hierzu sind entweder kostenintensive M$-Produkte zu nutzen oder alternativ Linux. Da die o.a. Grosskonzerne leider alle mit Windows arbeiten, kann ich nur die M$-Variante beschreiben.

Hier benötigt man einen Windows 2000 Server und den "Terminal Services Web Client".
Im DSL-Router wir, wie schon beschrieben, der Port 80, 81 und ggf. 443 geöffnet und auf die IP des W2k-Server geschickt. DynDNS erledigt die Namensauflösung der Web-Adresse. Die Eingabe der Web-Adresse (z.B.: myHS.dyndns.net) verbindet den Browser mit dem W2k-Server, dieser fordert einen Usernamen und ein Passwort an (muss natürlich so eingerichtet werden), wenn der Benutzer zugelassen ist, gelangt er auf die Seite des "Terminal Services Web Client". Hier kommt jetzt der M$-Hasenfuss der ganzen Sache. Es wird eine ActiveX-Komponente auf den Client geladen, die natürlich ein M$-Betriebssystem und einen Internet-Explorer > 5.0 voraussetzt. Sollte dies kein Problem sein, erhält man nun die bildschirmfüllende Oberfläche mit Anmeldeaufforderung des W2k-Servers. Nach Eingabe eines Benutzernamens und dem zugehörigen Passwortes ist man dann auf dem Desktop des Heim-PCs und kann in seinem lokalen Netzwerk tun und lassen was man will. Verschlüsselung des ganzen Vorgangs kann über SSL erfolgen (dafür Port 443).

Gruß,

Marcus

Original geschrieben von marcus
Zum Thema: ".. vom Firmennetz mit VPN in's Heimnetzwerk.. "

Mein Vorschlag wäre, einen Terminal-Server hinter den Router zu setzen und dann per Internet Browser eine http-Terminal-Session darauf zu öffnen und dann diesen internen Rechner zu benutzen.
...

Hier benötigt man einen Windows 2000 Server und den "Terminal Services Web Client".


Kids, don't try this at home!

Dafür braucht man nicht nur Software für einen knappen Tausi, auf der Maschine muss dann auch noch der IIS laufen, sonst wird das mit dem TS-Web-Client nix.

Um so ein System auch nur einigermassen dicht (im Sinne von "sicher") zu kriegen braucht man einiges an know how und Erfahrung. Ein Webserver der am Internet hängt ist kein lustiges Spielzeug.

So ein System steht normalerweise abgeschottet in einer DMZ hinter einer Firewall, alles permanent betreut von Leuten die davon wirklich Ahnung haben.

In einem privaten Netz sollte man sowas tunlichst unterlassen.

Gruss
Markus

Ok, ok, Markus hat sicher recht.

Die Konfiguration eines IIS ist weit davon entfernt trivial zu sein. Sieht man leider daran, dass sich Würmer, die schon seit Monaten bekannt sind, noch immer im Internet verbreiten.

Als IT-Systemarchitekt sehe ich das natürlich von einer anderen Warte. Regelmässiges updaten mit MS-Sicherheitspatches ist natürlich ein MUSS! Rechtekonfiguration eines W2k-Servers ist auch nicht ohne, aber...

... ALLES, was von "draussen" erreichbar ist, ist schon eine Sicheheitslücke! Ich kenne kein Konfiguration, wie sie hier angestrebt wird, die nicht ein umfassendes IT-Knowhow erfordert. Wer seinen Router für den Zugriff aus dem Internet öffnet sollte sich immer den Gefahren bewusst sein. Eine sichere und einfache Konfiguration gibt es nicht! Egal, ob mit Linux oder Windows gearbeitet wird, beide Systeme wollen sicher konfiguriert sein und müssen immer auf dem aktuellen Patch-Level sein.

Kostenmäßig bin ich in der glücklichen Lage eine MSDN-Lizenz zu haben und kann daher alle Produkte in Kleinmengen einsetzen.:)

Nochmal! Ich kann nur jeden warnen, der einen Zugriff auf sein lokales Netzwerk erlaubt: Ihr MÜSST wissen, was Ihr tut!

Gruß,

Marcus

Original geschrieben von marcus
Ok, ok, Markus hat sicher recht.

Nochmal! Ich kann nur jeden warnen, der einen Zugriff auf sein lokales Netzwerk erlaubt: Ihr MÜSST wissen, was Ihr tut!
Gruß,
Marcus

dem kann ich nur zustimmen!
ohne Sicherung ist es recht einfach wie oben bereits beschrieben.
dyndns Adresse besorgen
dyndns in den Router rein
router so konfigurieren das anfragen auf den Besagten Port zum Homeserver geschläusst werden fertig.

wenn man sicherheit will und trotzdem von überall her auf seinen Homeserver will sollte einen Proxy Server so wie in der CT
(Ausgabe siehe weiter oben) beschrieben aufbauen.

die Anfragen die dann an den Router gerichtet werden leiter dieser immer an den Proxy weiter, dieser setzt die Anfrage um und komuniziert seinerseits mit dem homeserver.
ein direkter Zugriff auf den Homeserver ist so nicht möglich.
der Proxy server kann dann auch andere Dinge übernehmen
z. B einen FTP Server bereitstellen.
FTP server freeware WAR FTP.

Original geschrieben von marcus
Kostenmäßig bin ich in der glücklichen Lage eine MSDN-Lizenz zu haben und kann daher alle Produkte in Kleinmengen einsetzen.:)


Dann lies nochmal was in den MSDN-Lizenzbestimmungen steht: Die "Kleinmengen" sind genau definiert und der Einsatz von MSDN-Lizenzen auf einem Produktivsystem ist nicht zulässig.

Gruss
Markus

Wer hat denn hier gesagt, dass es sich um ein produktives System handelt? Die maximale Anzahl der installierten Produkte ist mir durchaus bekannt, ich habe schliesslich eine echte, offizielle Lizenz und kenne daher auch den Lizenz-Vertrag.

Ich denke unsere Diskussion wird immer mehr OT und Lizenzfragen sollte man in anderen Foren führen, oder?

Gruß,

Marcus