xDSL.at

[OwenBurnett]

oder habe ich da was ünersehen?

meiner meinung nach ist das größte Problem das Aufkommen irgendwelcher Sicherheitslücken im Betriebssystem. NAT kannst du nicht umgehen, eine Firewall möglicherweise schon

Das ist doch mal was
Also ist die config in etwas genau so (un)sicher wie ein normaler XP PC der mit aktiver Windows Firewall direkt über PPPoE am Internet hängt (wie es früher bei mir eingerichtet war)

PS:@wicked_one
habe die frage zum ersten mal schon am 13ten gestellt daher habe ich nochmal nachgebohrt und das hat nichts mit 24/7 Beratung zu tun.

[jutta]

ja, das kommt in etwa hin. wenn du mit dem risiko leben willst und kannst, ist das deine entscheidung und ok. aber wenn unsereins von win 2k3 ee, vmware, vpn-server, netzwerk mit mehreren rechnern usw liest, haben wir halt andere loesungen und kriterien im kopf, als das ganze lan ins internet zu stellen.

[OwenBurnett]

Das LAN ist ja sofern ich nichts übersehen habe nur über das VPN verfügbar, und um da rein zu kommen muss man ja Username&Password von einem zugriffsberechtigtem User kennen.
Zugegeben das kann auch eine Schwachstelle sein, jedoch da ich auch remote desktop nutze kann einer der obige LogIn Daten hat gleich in den server rein, also ist das netzwerk setup hier nicht das schwächste glied.
Oder?

[ANOther]

zugriffsberechtigtem User

lass mich raten...
Administrator is einer....
----

EDIT:
grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller

[jutta]

> also ist das netzwerk setup hier nicht das schwächste glied.

vermutlich nicht, aber das will nichts heissen.

[OwenBurnett]

Für das VPN habe ich eine neue benutzer gruppe eingerichtet die als einzige zugang hat und drin ist nur ein User (Ich, mein RL Name).

Admins haben im windows remote desktop automatisch remotezugriff.
EDIT: Aber das kannman dan ja per VPN regulieren inden nur eingewählte clients den remote desktop nutzen dürfen.

[jutta]

grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller

bist du dir sicher? ich dachte immer, dass der limitierende faktor dabei die rechenleistung und der verbindungsaufbau fuer das jeweilige protokoll sind. brute force per telnet dauert auch bei 100 mbit/s "ewig" ... das wissen einige alt- und ex-user dieses forums aus eigener erfahrung. (stichwort p650 ...)

[preiti]

zugriffsberechtigtem User

lass mich raten...
Administrator is einer....
----

EDIT:
grad fällt mir DOCH ein wichtiger part für mehr bandbreite ein...
so geht brute force schneller

@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofür ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

[wicked_one]

Nach einigen sehr deutlichen Hinweisen wofür ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Weils sonst so fad hier drinnen wär...

[OwenBurnett]

@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofür ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Naja ich habe zwar einige Hinweise erhalten,
aber gerade die Infos die mich letztendlich zum erfolg geführt haben musste ich selber eruieren, als da wäre:
1. Man kann einen PC mit nur einer NIC als NAT Router benutzen (obgleich hier beharrlich das gegenteil gepostet wurde)
2. Man kann einen PC mit beliebiger IP als Router verwenden wen man den seine IP auf den anderen PC's als Standard gateway eingibt (dh. das der Inode P600 by default das Standard Gateway mit ip 10.xx.0.1 ist, hindert nicht daran ein 2tes gateway im Netzwerk zu haben und es zu nutzen)
3. Der nötige Trick um NAT&VPN mit PPPoE zu konfigurieren (eine virtuelle NIC, zb. eine von VMWare beim Setup als Internet NIC einzugeben und sie danach per Hand mit einer PPPoE Verbindung Ersätzen, als vorbild nimmt man die standard config mit nur NAT über PPPoE)

Rückblickend kann ich sagen das ich, als ich den thread eröffnet habe mindestens Tipp 1 und 2 recht früh bekommen sollte da sie doch nicht all zu ausgefallen klingen, zu Tipp 3 zumindest "ja das geht nur muss per Hand gemacht werden" (eventuell mit einpaar hinweise wie genau es zu machen ist).
Zudem glaube ich das eine Setup das immerhin eine dichte software Firewall hat zumindest nicht für private Nutzung als unsicher zu bezeichnen ist, auch wen eine HW FW noch ein bisschen sicherer wäre.

Naja, nun Funtzt ja alles prima somit hat sich die Sache mehr oder weniger für mich erledigt.

Was ich noch gerne wissen würde ist wieso Clients über das VPN ohne einen extra am Server installierten DNS die PC namen der LAN cleints nicht auflösen können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)

[lordpeng]

na viel spass mit deinem konstrukt, bin mal gespannt wie lang der rechner läuft ohne irgendwelche tiere einzufangen

>1. Man kann einen PC mit nur einer NIC als NAT Router benutzen
es gibt auch leute, deren primärer und sekundärer dns server auf ein und derselben maschine laufen ... (sehr sinnvoll)

>Was ich noch gerne wissen würde ist wieso Clients über das VPN ohne einen extra am Server installierten DNS die PC
>namen der LAN cleints nicht auflösen
>können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)

öhm, weil genau das der sinn und zweck eines dns servers ist? beim telefon hast auch ned für jeden den'st anrufst eine eigene taste ... btw. wennst das willst, wirst das ganze mit einem dns machen müssen, oder du trägst die hostnamen in die hosts datei ein, wennst einen dns einrichtest solltest zugleich auch einen wins einrichten, kann einigen problemen vorbeugen

dann musst noch aktivieren, dass netbios namensauflösung via vpn zugelassen wird, kA ob das ned vielleicht sogar schon standardmässig aktiv ist

[OwenBurnett]

> netbios namensauflösung via vpn zugelassen wird
Wo genau kann ich den die einstellung für das netbios an server finden?
Oder meinst du bei den Client PC's?

[preiti]

Nach einigen sehr deutlichen Hinweisen wofür ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Weils sonst so fad hier drinnen wär...

Manche sind eben hartnäckig!

@OwenBurnett:
Nach einigen sehr deutlichen Hinweisen wofür ein Forum gut ist, ist es doch mit eigener Arbeit und Hirnschmalz und Hilfe von Forumsteilnehmern gegangen. Warum eigentlich nicht von Anfang an?

Naja ich habe zwar einige Hinweise erhalten,
aber gerade die Infos die mich letztendlich zum erfolg geführt haben musste ich selber eruieren, als da wäre:
1. Man kann einen PC mit nur einer NIC als NAT Router benutzen (obgleich hier beharrlich das gegenteil gepostet wurde)
2. Man kann einen PC mit beliebiger IP als Router verwenden wen man den seine IP auf den anderen PC's als Standard gateway eingibt (dh. das der Inode P600 by default das Standard Gateway mit ip 10.xx.0.1 ist, hindert nicht daran ein 2tes gateway im Netzwerk zu haben und es zu nutzen)
3. Der nötige Trick um NAT&VPN mit PPPoE zu konfigurieren (eine virtuelle NIC, zb. eine von VMWare beim Setup als Internet NIC einzugeben und sie danach per Hand mit einer PPPoE Verbindung Ersätzen, als vorbild nimmt man die standard config mit nur NAT über PPPoE)

Nicht alles was softwaretechnisch möglich ist macht einen Sinn.

Rückblickend kann ich sagen das ich, als ich den thread eröffnet habe mindestens Tipp 1 und 2 recht früh bekommen sollte da sie doch nicht all zu ausgefallen klingen, zu Tipp 3 zumindest "ja das geht nur muss per Hand gemacht werden" (eventuell mit einpaar hinweise wie genau es zu machen ist).
Zudem glaube ich das eine Setup das immerhin eine dichte software Firewall hat zumindest nicht für private Nutzung als unsicher zu bezeichnen ist, auch wen eine HW FW noch ein bisschen sicherer wäre.

Selbsterkenntnis ist der erste Weg zur Besserung. Wenn dein Konstrukt aus irgendwelche Gründen zusammenbricht oder vor lauter Traffic von irgendwelchen Plagegeistern aus dem Internet(Spam, Botnetze,......) nicht mehr kann, kannst du es ja noch immer anders machen. Eine dezidierte Firewall ist da sicher ein guter Ansatz.

Naja, nun Funtzt ja alles prima somit hat sich die Sache mehr oder weniger für mich erledigt.

Na dann ist es ja gut! Vielleicht ist auch dein Auftreten bei der nächsten Frage anders.

Was ich noch gerne wissen würde ist wieso Clients über das VPN ohne einen extra am Server installierten DNS die PC namen der LAN cleints nicht auflösen können (ausnahmen ist der server selbst, sein Name Funtzt übers VPN)

Schau dir die IP-Adressierung an. Dein Stichwort ist "private IP-Adressbereiche".