Anleitung wie ihr euer Netzwerk sicher macht

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Ich gehe da step by step vor, das ist natürlich klar.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Anders wäre es, wenn hinter dem Netgear noch ein weiterer Router mit seinen Geräten sitzen würde, richtig?

Danke für deine Hilfe!!!

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Korrekt. Dann hättest du auf beiden Seiten den selben Aufbau und deine Geräte wären vom CS getrennt.
Freut mich das du es verstanden hast.

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Danke

Meine letzte Frage ist jetzt nur noch: Ist aus aus eurer Sicht erforderlich das über VPN abzusichern, oder haltet ihr das für übertrieben?

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Gerne doch

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Das muss meiner Meinung nach jeder für sich entscheiden. Ich habe mich aus mehreren Gründen dazu entschlossen.

1.) Ganz legal ist es ja nicht was wir hier machen. Also wenn man es macht, sollte man sichergehen das es nur derjenige mitbekommt, für den es auch gedacht ist.
2.) Durch die VPN bekomme ich die Möglichkeit jederzeit einzelne User zu Kicken, was ich sonst nicht könnte da ich es über meinen Receiver realisiere und dieser keine User/Passwortabfrage macht.
3.) Sollte sich meine DynDNS Adresse irgendwann rumsprechen, nützt es niemandem was. Ohne VPN Verbindung bekommt er nix auf seinem Receiver zum laufen.

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht



Das ist interessant, zu Punkt 3: Wäre der Router denn nicht trotzdem über das Internet bzw. seine DynDNS-Adresse zu erreichen? Der Cardreader ist ofensichtlich über die IP des Routers erreichbar...?

Wie erkenne ich, dass zwingend eine VPN Verbindung erforderlich ist?

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Er ist auch über das Internet erreichbar. Muss er ja sein, sonst kann ihn der zweite Router (der die VPN aufbauen will) nicht finden.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Das kann ich mir nicht vorstellen. Und selbst wenn, fehlt immernoch der Port über den das ganze läuft. Solang du den Port nicht nach außen freimachst kann auch keiner darauf zugreifen (außgenommen die per VPN verbundenen).
Deswegen sagte ich ja, bei VPN, nix freimachen sonst hat das VPN keinen Sinn...

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Wie meinst du das denn? Versteh ich nicht

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Ok, vielleicht stehe ich wieder auf dem Schlauch.

Genau: Die Fritzbox ist ja direkt ans Internet angeschlossen. Aber da kein Port offen ist, kann von außen keiner darauf zugreifen, das ist der Knackpunkt, stimmts? Ich hatte das mit dem Port vergessen. Andernfalls müsste ich ja einen Port aufmachen! (Laut anderem Thread ist der Cardreader über die IP des Routers mit Portangabe zu erreichen)

Ich ging davon aus, dass es so gesehen ja keinen Unterschied macht, ob ich die DynDNS-Adresse mit oder ohne VPN aufrufe, da ja beide Verbindungen funktionieren würden. Aber der Port ist nur aus dem VPN erreichbar! Muss ich diesen intern eigentlich noch freigeben, also für das lokale Netzwerk?

Versteht man, was ich meine? ;-)

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Stimmt!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Stimmt!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Das weiss ich nicht, habe es noch nie über die Fritzbox mit Cardreader gemacht.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Hmmmm... Du scheinst NAT nicht zu verstehen... Ich versuchs mal mit einfachen Worten und einem kleinen Beispiel:

NAT steht für Network Adress Translation was dir sicherlich bekannt ist Netzwerk Adress Übersetzung heisst.

Dabei übersetzt NAT (in dem Fall ein Dienst auf deinem Router) die Öffentliche IP Adresse in eine private und andersherum.
Wenn du also eine Anfrage schickst:

Computer 192.168.1.15 (private Adresse) will Seite www.digital-eliteboard.com aufgerufen bekommen, nimmt dein Router das entgegen, trägt die Daten in seine Routingtabelle ein und schickt die selbe anfrage aber mit seiner Öffentlichen IP adresse und Port 80 ins internet.
Die Antwort kommt natürlich an die öffentliche Adresse deines Routers zurück (denn von da kam ja die Anfrage), er schaut wieder in die Tabelle und sieht: AHA, es war der Computer 192.186.1.15 der die Anfrage gestartet hat, also leite ich sie ihm das auch weiter. So in etwa läuft es wenn von innen nach aussen eine Anfrage gestartet wird.

Jetzt andersrum:

Von aussen Kommt eine Anfrage an die Öffentliche IP deines Routers:

Computer 217.92.199.55 (Öffentliche Adresse) schickt eine Anfrage an deinen Router auf port 10 000. Die Anfrage kommt an deinem Router auch an. Dein Router denkt sich jetzt: " OOOOO ICH HABE 4 RECHNER AN MIR DRAN UND AN WEN SOLL ICH DAS JETZT WEITERLEITEN WENN NICHT DEFINIERT WURDE WER FÜR PORT 10 000 ZUSTÄNDIG IST?" Dann verwirft er das Paket da er damit nix anfangen kann...

Das ist NAT mit einfachen Worten erklärt.

Langer Rede Kurzer Sinn. Was sagt uns das?

Im Internen Netzwerk brauchst du nix freigeben, da du da mit privaten Adressen arbeitest und nicht mit öffentlichen. Wenn du deinem Router sagst: ich möchte Gerät 192.168.1.15 auf port 10.000 haben, weiss dein router wo das Gerät ist, denn er ist der Gateway dieses Gerätes.

Wenn du jedoch von Aussen über die Öffentliche kommst, muss der Router die Adresse in eine Private übersetzen um sie weiter zu leiten. Dies kann er aber nicht wenn ihm nicht hinterlegt wurde das Computer 192.168.1.15 der jehnige ist, der für Port 10 000 zuständig ist.

Du brauchst also garnix freigeben. Selbst deine Clients die von aussen kommen sind per VPN verbunden und sind dem entsprechen TEIL DEINES NETZWERKS. Du kannst also auch von dort mit den privaten Adressen arbeiten.

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du bist der Hammer....alles verstanden DANKE!

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Danke. Aber eigentlich bin ich nur von Fach. Und das was ich dir zumindest versucht habe nahe zu bringen, ist genau der trockene Theorieschrott den ich damals in meinem Studium gehasst hab.

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Danke

Aber nur um sicher zu gehen: Ports muss ich nicht freigeben oder weiterleiten, so wie es zB hier steht (UPD Port 500):

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Nein. Das müsstest du nur, wenn deine Fritzbox hinter dem DLINK stehen würde und die VPN über die Fritzbox laufen soll. Dein DLINK müsste also wissen, dass wenn eine Anfrage auf port 500 UDP kommt, er die Öffentliche Adresse mit der Adresse deiner Fritzbox zu übersetzen hat.

Würde so aussehen:

Aufrage über 88.215.179.85 (Öffentliche Adresse) an Port 500 UDP --->DLINK ROUTER Schaut in die Tabelle mit den freigegebenen Ports und sieht da folgendes:
Port UDP 500--->Weiterleitung an 192.168.178.1 (deine Fritzbox).

Da deine Fritzbox aber selbst die Internetverbindung durchführt, gibt es keinen Router vor ihr, dem entsprechend brauchst du auch nix freischalten oder weiterleiten.

 

[martin_1]

Macht total Sinn! DANKE nochmal

Hallo nochmal,

wenn ein Receiver nur Client ist, und ich alles überflüssige sperren möchte, reicht das dann so aus:

ALLOW TELNETINFO: no
ALLOW WEBINFO: no
SERVER LISTEN PORT : 0

Oder sind noch weitere Eintragungen erforderlich?

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Da musst du jetzt jemand anderen fragen, das ich das so nicht mache. Ich habe ganz normale Edision Receiver und benutze die ILTV Firmware mit Homecamd. Da brauch ich nix einstellen und es funktioniert TOP. Sicherlich würde ich mehr erreichen, wenn ich das ganze über meine Fritzbox machen würde, jedoch ist mir der Konfigurationsaufwand da zu hoch. Mit der jetzigen Methode hab ich das was ich eigentlich will, und das reicht dann auch.

 

[aragorn]

AW: Anleitung wie ihr euer Netzwerk sicher macht

also zunächst sollte man wissen das man nicht einfach so port weiterleitungen für irgendwas einrichtet und das wiederum bedeutet das kein rechner/receiver/wasauchimmer aus dem internet erreichbar ist und somit auch nicht für internet nutzer abgesichert werden muss

generell sollte man ausschlieslich beim server den entsprechenden port weiterleiten der von clients genutzt wird um sich verbinden zu können
zb: der cs-server läuft auf port 12000. dann wird beim server im router eine portweiterleitung als externer/internet/von port "12222" eingestellt und als interner/lan/an port "12000". ansonsten werden keine portweiterleitungen benötigt.
die ganzen cs-clients die sich übers internet verbinden brauchen 0,0 port weiterleitungen als keine!

solange du also keine portweiterleitung für deinen client-receiver einrichtest musst du den auch nicht expliziet absichern


ansonsten ist es aber natürlich ratsam die server-funktionalitäten auf einem reinen client-receiver abzuschalten da das resourcen (insbesondere ram) spart und genau das erreichst du mit den von dir gemachten/geposteten einstellungen