WinSvr2k3 NAT&VPN, hilfe...

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Beitragvon OwenBurnett » Sa 15 Mär, 2008 09:49

max_payne hat geschrieben:
oder habe ich da was ĂĽnersehen?

meiner meinung nach ist das größte Problem das Aufkommen irgendwelcher Sicherheitslücken im Betriebssystem. NAT kannst du nicht umgehen, eine Firewall möglicherweise schon

Das ist doch mal was :)
Also ist die config in etwas genau so (un)sicher wie ein normaler XP PC der mit aktiver Windows Firewall direkt über PPPoE am Internet hängt (wie es früher bei mir eingerichtet war)

PS:@wicked_one
habe die frage zum ersten mal schon am 13ten gestellt daher habe ich nochmal nachgebohrt und das hat nichts mit 24/7 Beratung zu tun.
q.e.d.
OwenBurnett
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 99
Registriert: Mo 18 Okt, 2004 17:18

Beitragvon jutta » Sa 15 Mär, 2008 09:56

ja, das kommt in etwa hin. wenn du mit dem risiko leben willst und kannst, ist das deine entscheidung und ok. aber wenn unsereins von win 2k3 ee, vmware, vpn-server, netzwerk mit mehreren rechnern usw liest, haben wir halt andere loesungen und kriterien im kopf, als das ganze lan ins internet zu stellen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon OwenBurnett » Sa 15 Mär, 2008 10:19

Das LAN ist ja sofern ich nichts ĂĽbersehen habe nur ĂĽber das VPN verfĂĽgbar, und um da rein zu kommen muss man ja Username&Password von einem zugriffsberechtigtem User kennen.
Zugegeben das kann auch eine Schwachstelle sein, jedoch da ich auch remote desktop nutze kann einer der obige LogIn Daten hat gleich in den server rein, also ist das netzwerk setup hier nicht das schwächste glied.
Oder?
q.e.d.
OwenBurnett
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 99
Registriert: Mo 18 Okt, 2004 17:18

Beitragvon ANOther » Sa 15 Mär, 2008 10:35

zugriffsberechtigtem User

lass mich raten...
Administrator is einer....
----

EDIT:
grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller
Zuletzt geändert von ANOther am Sa 15 Mär, 2008 10:59, insgesamt 1-mal geändert.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon jutta » Sa 15 Mär, 2008 10:36

> also ist das netzwerk setup hier nicht das schwächste glied.

vermutlich nicht, aber das will nichts heissen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon OwenBurnett » Sa 15 Mär, 2008 10:49

FĂĽr das VPN habe ich eine neue benutzer gruppe eingerichtet die als einzige zugang hat und drin ist nur ein User (Ich, mein RL Name).

Admins haben im windows remote desktop automatisch remotezugriff.
EDIT: Aber das kannman dan ja per VPN regulieren inden nur eingewählte clients den remote desktop nutzen dürfen.
Zuletzt geändert von OwenBurnett am Sa 15 Mär, 2008 18:13, insgesamt 2-mal geändert.
q.e.d.
OwenBurnett
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 99
Registriert: Mo 18 Okt, 2004 17:18

Beitragvon jutta » Sa 15 Mär, 2008 11:52

ANOther hat geschrieben:grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller

bist du dir sicher? ich dachte immer, dass der limitierende faktor dabei die rechenleistung und der verbindungsaufbau fuer das jeweilige protokoll sind. brute force per telnet dauert auch bei 100 mbit/s "ewig" ... das wissen einige alt- und ex-user dieses forums aus eigener erfahrung. (stichwort p650 ...)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon preiti » Sa 15 Mär, 2008 17:45

ANOther hat geschrieben:
zugriffsberechtigtem User

lass mich raten...
Administrator is einer....
----

EDIT:
grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller
:twisted: :twisted: :twisted:

@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofĂĽr ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon wicked_one » So 16 Mär, 2008 11:06

Nach einigen sehr deutlichen Hinweisen wofĂĽr ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Weils sonst so fad hier drinnen wär...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon OwenBurnett » So 16 Mär, 2008 13:10

preiti hat geschrieben:@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofĂĽr ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Naja ich habe zwar einige Hinweise erhalten,
aber gerade die Infos die mich letztendlich zum erfolg geführt haben musste ich selber eruieren, als da wäre:
1. Man kann einen PC mit nur einer NIC als NAT Router benutzen (obgleich hier beharrlich das gegenteil gepostet wurde)
2. Man kann einen PC mit beliebiger IP als Router verwenden wen man den seine IP auf den anderen PC's als Standard gateway eingibt (dh. das der Inode P600 by default das Standard Gateway mit ip 10.xx.0.1 ist, hindert nicht daran ein 2tes gateway im Netzwerk zu haben und es zu nutzen)
3. Der nötige Trick um NAT&VPN mit PPPoE zu konfigurieren (eine virtuelle NIC, zb. eine von VMWare beim Setup als Internet NIC einzugeben und sie danach per Hand mit einer PPPoE Verbindung Ersätzen, als vorbild nimmt man die standard config mit nur NAT über PPPoE)

Rückblickend kann ich sagen das ich, als ich den thread eröffnet habe mindestens Tipp 1 und 2 recht früh bekommen sollte da sie doch nicht all zu ausgefallen klingen, zu Tipp 3 zumindest "ja das geht nur muss per Hand gemacht werden" (eventuell mit einpaar hinweise wie genau es zu machen ist).
Zudem glaube ich das eine Setup das immerhin eine dichte software Firewall hat zumindest nicht für private Nutzung als unsicher zu bezeichnen ist, auch wen eine HW FW noch ein bisschen sicherer wäre.

Naja, nun Funtzt ja alles prima somit hat sich die Sache mehr oder weniger fĂĽr mich erledigt.

Was ich noch gerne wissen würde ist wieso Clients über das VPN ohne einen extra am Server installierten DNS die PC namen der LAN cleints nicht auflösen können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)
q.e.d.
OwenBurnett
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 99
Registriert: Mo 18 Okt, 2004 17:18

Beitragvon lordpeng » So 16 Mär, 2008 13:47

na viel spass mit deinem konstrukt, bin mal gespannt wie lang der rechner läuft ohne irgendwelche tiere einzufangen

>1. Man kann einen PC mit nur einer NIC als NAT Router benutzen
es gibt auch leute, deren primärer und sekundärer dns server auf ein und derselben maschine laufen ... (sehr sinnvoll)

>Was ich noch gerne wissen wĂĽrde ist wieso Clients ĂĽber das VPN ohne einen extra am Server installierten DNS die PC
>namen der LAN cleints nicht auflösen
>können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)

öhm, weil genau das der sinn und zweck eines dns servers ist? beim telefon hast auch ned für jeden den'st anrufst eine eigene taste ... btw. wennst das willst, wirst das ganze mit einem dns machen müssen, oder du trägst die hostnamen in die hosts datei ein, wennst einen dns einrichtest solltest zugleich auch einen wins einrichten, kann einigen problemen vorbeugen

dann musst noch aktivieren, dass netbios namensauflösung via vpn zugelassen wird, kA ob das ned vielleicht sogar schon standardmässig aktiv ist
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon OwenBurnett » So 16 Mär, 2008 14:13

> netbios namensauflösung via vpn zugelassen wird
Wo genau kann ich den die einstellung fĂĽr das netbios an server finden?
Oder meinst du bei den Client PC's?
q.e.d.
OwenBurnett
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 99
Registriert: Mo 18 Okt, 2004 17:18

Beitragvon preiti » So 16 Mär, 2008 17:17

wicked_one hat geschrieben:
Nach einigen sehr deutlichen Hinweisen wofĂĽr ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Weils sonst so fad hier drinnen wär...
Manche sind eben hartnäckig!

OwenBurnett hat geschrieben:
preiti hat geschrieben:@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofĂĽr ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Naja ich habe zwar einige Hinweise erhalten,
aber gerade die Infos die mich letztendlich zum erfolg geführt haben musste ich selber eruieren, als da wäre:
1. Man kann einen PC mit nur einer NIC als NAT Router benutzen (obgleich hier beharrlich das gegenteil gepostet wurde)
2. Man kann einen PC mit beliebiger IP als Router verwenden wen man den seine IP auf den anderen PC's als Standard gateway eingibt (dh. das der Inode P600 by default das Standard Gateway mit ip 10.xx.0.1 ist, hindert nicht daran ein 2tes gateway im Netzwerk zu haben und es zu nutzen)
3. Der nötige Trick um NAT&VPN mit PPPoE zu konfigurieren (eine virtuelle NIC, zb. eine von VMWare beim Setup als Internet NIC einzugeben und sie danach per Hand mit einer PPPoE Verbindung Ersätzen, als vorbild nimmt man die standard config mit nur NAT über PPPoE)
Nicht alles was softwaretechnisch möglich ist macht einen Sinn.
OwenBurnett hat geschrieben:Rückblickend kann ich sagen das ich, als ich den thread eröffnet habe mindestens Tipp 1 und 2 recht früh bekommen sollte da sie doch nicht all zu ausgefallen klingen, zu Tipp 3 zumindest "ja das geht nur muss per Hand gemacht werden" (eventuell mit einpaar hinweise wie genau es zu machen ist).
Zudem glaube ich das eine Setup das immerhin eine dichte software Firewall hat zumindest nicht für private Nutzung als unsicher zu bezeichnen ist, auch wen eine HW FW noch ein bisschen sicherer wäre.
Selbsterkenntnis ist der erste Weg zur Besserung. Wenn dein Konstrukt aus irgendwelche GrĂĽnden zusammenbricht oder vor lauter Traffic von irgendwelchen Plagegeistern aus dem Internet(Spam, Botnetze,......) nicht mehr kann, kannst du es ja noch immer anders machen. Eine dezidierte Firewall ist da sicher ein guter Ansatz.
OwenBurnett hat geschrieben:Naja, nun Funtzt ja alles prima somit hat sich die Sache mehr oder weniger fĂĽr mich erledigt.
Na dann ist es ja gut! Vielleicht ist auch dein Auftreten bei der nächsten Frage anders.
OwenBurnett hat geschrieben:Was ich noch gerne wissen würde ist wieso Clients über das VPN ohne einen extra am Server installierten DNS die PC namen der LAN cleints nicht auflösen können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)
Schau dir die IP-Adressierung an. Dein Stichwort ist "private IP-Adressbereiche".
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Vorherige

ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 72 Gäste