VPN Zugriff, wie funktioniert das?

Hallo

ich habe ein Frage, ich habe ein Notebook und einen Desktop PC (beide WINDOWS XP). Ich möchte einrichten, dass das Notebook von unterwegs auf das Netzwerk, bzw. auf den Desktop PC zugreifen kann. Der Desktop PC steht hinter einem W-Lan Router. Das Ganze kann man ja mit VPN lösen. Kann mir jemand erklären, wie das genau funktioniert? Was brauche ich, wie bzw. was muss ich auf dem Notebook und was muss ich auf dem Desktop PC einrichten?

Nimm z. B. WinVNC, das installierst du auf beiden Rechnern. Auf dem zu überwachsenden startest du einfach den VNC-Server (unbedingt Passwort festlegen für den Zugriff darauf!), auf dem anderen Rechner den VNC-Viewer, dann kannst du dich einloggen.

Falls du im Router die Firewall an hast und der Rechner nicht in der DMZ ist, musst du die entsprechenden Ports noch freigeben, die kenne ich allerdings auch nicht.

Hallo Hirntot,

[...]
>Falls du im Router die Firewall an hast ...

wovon man ausgehen sollte, gerade in diesem Fall...

[...]
>und der Rechner nicht in der DMZ ist...

Ähhh, irgendwie hab ich was am Gehör u. am Auge...
In seiner beschriebenen Konstellation, wo glaubst Du befindet sich der Rechner sonst, wenn nicht außerhalb einer DMZ? Und ungeachtet dieser Tatsache, wo oder als was würdest Du seine DMZ definieren o. beschreiben?

Schon der Ansatz, zu glauben, weil ich einen Router für drei Groschen fünfzig mit NAT und statischer Filterung nutze u. tunnele ist alles wunderbar, spiegelt die Unwissenheit vieler User im Hinblick auf Netzwerke und deren Sicherheit wieder. Schöne heile Welt... ;-)

Gruß, Frank

yippy schrieb:

Hallo Hirntot,

[...]
>Falls du im Router die Firewall an hast ...

wovon man ausgehen sollte, gerade in diesem Fall...

Zum Vergrößern anklicken....

Ach, und wieso?

[...]
>und der Rechner nicht in der DMZ ist...

Ähhh, irgendwie hab ich was am Gehör u. am Auge...
In seiner beschriebenen Konstellation, wo glaubst Du befindet sich der Rechner sonst, wenn nicht außerhalb einer DMZ? Und ungeachtet dieser Tatsache, wo oder als was würdest Du seine DMZ definieren o. beschreiben?

Schon der Ansatz, zu glauben, weil ich einen Router für drei Groschen fünfzig mit NAT und statischer Filterung nutze u. tunnele ist alles wunderbar, spiegelt die Unwissenheit vieler User im Hinblick auf Netzwerke und deren Sicherheit wieder. Schöne heile Welt... ;-)

Gruß, Frank

Zum Vergrößern anklicken....

Du scheinst was am Auge zu haben, da gebe ich dir Recht. Ich hab nirgends geschrieben, dass ein Router sicher ist, darum geht es hier auch nicht. Und wieso soll sich sein Rechner ausserhalb der DMZ befinden? Er will wissen, wie er von unterwegs auf seinen Rechner zugreifen kann, nicht wie er durch den Router kommt. Mir scheint eher, dass du keine Ahnung davon hast.

Ach, und wo wir schon bei Kenntnissen sind... frisch mal deine Englischkenntnisse auf, dann kannst du vielleicht auch meinen Nick richtig übersetzen ;D .

Jungs, nicht streiten. Also ich beim Router ist die Firewall aktiviert, aber wohl noch nicht richtig konfiguriert, muss ich mir erst noch genau anschauen, ich habe das nämlich nicht installiert , sondern soll es übernehemn. Na ja ich habe übrigens gesehen, dass man bei XP mit dem eigenen Wizard, mit dem ja auch das Netzwerk und DFÜ-Einwahl einrichten kann, sowohl einen VPN-Client auf dem Rechner einrichten kann, der zugreifen soll, als auch einen VPN-Server auf dem PC einrichten kann, auf den zugegriffen werden soll. Wie ist das, ist das einigermassen sicher oder muss man da noch was beachten oder sollte man davon ganz die Finger lassen?

Ach ja und super wäre, wenn mir jemand sagen könnte, welche Ports ich auf dem Router freischalten muss.

Also für das Programm, das ich dir vorgeschlagen hab, musst du Port 5900 freischalten bzw. auf den zu überwachenden Rechner weiterleiten. Hab es bei mir ausprobiert, funktioniert einwandfrei.

Hall donrosso,

>Jungs, nicht streiten.

da gibt es nichts zu streiten...

Es ist nun einmal so, daß eine fachlich falsche Aussage auch eine solche bleibt, egal, ob man nun dagegen anstrampelt oder Beiträge löscht (wie gestern abend hier mit einem von mir geschehen...).

Das Du eine Info bekommen hast, hoffentlich zu Deiner Zufriedenheit, ist hier unstrittig. Eingangs wies ich bereits auf die nach Möglichkeit eingeschaltete Firewall hin (die Vermutung bestätigte sich ja auch). Leider war es dem User mit dem Hirn... nicht möglich, seine Aussage bez. der DMZ fachlich zu erklären. Dies ist auch schlecht möglich, da diese nicht zu erklären ist, außer mit Halbwissen. Jemand, der weiß, wie DMZ's aufgebaut sind käm niemals auf die Idee zu fragen, Zitat: Und wieso soll sich sein Rechner ausserhalb der DMZ befinden?. Die Antwort ist ganz simpel: Du hast keine! Dies ist schon allein von der Architektur Deines jetzigen Netzes her überhaupt nicht möglich. Auch besonders interessant ist seine getroffene Aussage, Zitat: Er will wissen, wie er von unterwegs auf seinen Rechner zugreifen kann, nicht wie er durch den Router kommt.. Soso, über was solltest Du sonst gehen, wenn nicht über Deinen Router? Und zum Tunneln habe ich ansatzweise bereits was gesagt. Ob Router sicher sind oder nicht ist ein ganz anderes Thema. Bei einem für um 100,- Euro brauchen wir dieses Thema auch nicht nur ansatzweise zu behandeln...

Und um nun auf Deine Frage zur Einrichtung einer VPN-Verbindung über den Assistenten von XP einzugehen: ob das genauso sicher ist, wie der vorgeschlagene VPN-Client-/Server kann ich nicht beurteilen, da ich WinVNC nicht kenne. Generell ließ sich hierzu jedoch sagen, gerade in Punkto Sicherheit, zusätzlich Software= zusätzliches Risiko! Frag mal den Hirn.... Wenn er solche Vorschläge macht sollte er das auch entsprechend begründen können... ;-) Ansonsten kannst Du die VPN-Verbindungen von XP ohne weiteres nutzen.

Gruß, Frank

nur zur info: vnc, egal welches hat mit vpn nichts zu tun, das ist nur ne remote steuerungssoftware auf client/server basis, wenn man sicher sein will sollte vnc mit ssh betrieben werden, da im normalfall nicht verschlüsselt übertragen wird.

greetz

hugo

Jo stimmt, das mit VPN hab ich nicht so registriert, hab nur gelesen, dass er Remote-Zugriff auf->nen Rechner will .

Hallo hugo,

ja, danke für den Hinweis. Ich arbeite seit bestimmt 15 J. mit VNC (mal mit Win, mal mit Unix/Linux) - die Thematik ist für mich also nichts neues... Glücklicherweise gibt ja nun mittlerweile brauchbare Thechniken, die zumindest einige Schwächen korrigieren. Remote-Administration birgt immer ein erhebliches Risiko, ob intern od. von extern spielt dabei erst einmal überhaupt keine Rolle! Wen's aber wirklich interessiert, der kann sich ja mal ein wenig mit PKI, IPSEC, L2TP etc. pp. beschäftigen. Als abendfüllendes Thema würde ich das nicht gerade bezeichnen.

Aber ein wirklich großes Lob an Dich! Ich freue mich immer, wenn auch andere hin und wieder mal auf Sicherheitsrisiken hinweisen - und wie Du siehst, sind meine Bedenken u. Vermutungen nicht unbegründet. Es wird so viel Mist verbreitet... ;-)

Ich kann nur für mich sprechen, jedenfalls habe ich mal gelernt Oh, tut mir leid, das war wohl ein Fehler, Sorry, kommt nicht wieder vor oder Das wußte ich noch gar nicht zu sagen. Naja, ich bin ja (noch) Optimist -->ne zweite Chance sollte eigentlich jeder bekommen... ;-)

Gruß, Frank

... und ?

hat das nun geklappt mit diesen konstruktieven vorschlägen?
oder gibts noch andere ideen, eine vpn-verbindung zwischen zwei standorten aufzubauen?
brauch ich da eine standleitung mit fester ip?

danke für weitere tipps, aber bitte nicht rumzicken...

gruss howie

standleitung brauchst du nicht. ruf man die windowshilfe auf, such dort nach VPN, Übersicht, da wird eigentlich alles gut erklärt...

greetz

hugo

Du solltest schauen ob dein Router solche Dienste wie DynDNS oder ähnliches unterstützt. Wenn er das nicht kann kannst du dir einen Client auf deinem Rechner (auf den du Zugreifen möchtest) installieren. DynDNS ermöglicht dir einen DNS-Namen anzusprechen hinter dem sich immer die IP vom Router verbirgt (die dynamische vom Provider). Wenn du den Zugriff ohne einen Dienst wie DynDNS machen möchtest wird es ein wenig komplizierter da dein Router ja bei Verbindungstrennung eine neue IP zugewiesen bekommt. Man kann auch einige Tools nehmen die z.B. die aktuelle IP des Routers auf einen Web-Server legen (per FTP) Dann musst du allerdings erst die Seite aufrufen um deine IP zu bekommen und dann die VPN-Verbindung anpassen und das jedes Mal wenn du dich verbinden möchtest.
Ich benutze selbst auch den DynDNS-Dienst und es funktionier 100%. Habe noch nie erlebt das ich auf meinem Server zu Hause nicht drauf komme.
Ich würde schon eine VPN-Verbindung aufbauen da du über VNC z.B. nicht direkt auf Dateien oder Verzeichnisse zugreifen kannst. VNC ist halt nur zur Fernwartung gedacht. Du solltest, wenn du VNC nutzen möchtest, das auch durch die VPN-Verbindung machen. Damit hat sich das Thema der unverschlüsselten Daten auch erledigt...

hi,

der router unterstützt offensichtlich ddns.
muss das irgendwo angemeldet werden, damit man einen hostnamen bekommt?
ich muss folgende angaben machen:

Use DDNS : Disable/Enable
User Name : (ist der frei wählbar?)
Password : (ist ddas frei wählbar?)
Host Name : (ist der freiwählbar? welches format?)
Mx Name : (was ist das?)
Use Wildcard : Disable/Enable

nicht grinsen, aber ich kenn mich damit null aus, aber es ist interessant.

in der konfiguration der vpn-verbindung gebe ich dann nur noch den hostnamen an? und wie komme ich auf die rechner hinterm router?

danke

gruss howie

Du musst dich (kostenlos) anmelden... z. B. bei www.dyndns.org oder www.orgdns.org - wobei ich dyndns empfehle.

User Name = Der bei der Anmeldung von dir ausgesuchte Name

Password = Logischerweise das Passwort dazu

Host Name = [email protected] oder ähnlich, je nachdem, was du für eine Domain wählst... könnte z. B. auch [email protected] sein. Wobei deinname natürlich für einen von dir frei wählbaren begriff steht

Mx Name: Brauchste nicht

Use Wildcard: Damit kannste glaub ich Unterverzeichnisse freigeben, brauchst du im Normalfall auch nicht

ok,

jetzt hab ich meinen domainnamen www.meinname.no-ip.com.

wenn ich den im browser eingebe kan ich auf meinen router zugreifen und ihn konfigurieren.
wie komm ich aber auf die rechner meines lans hinter dem router?
nehmen wir mal an, einer hat die ip-adresse 192.168.0.1 und ich möchte auf den freigegebenen ordner daten zugreifen?
gleich hamwas...

gruss howie

du mußt nun dem router beibringen, daß er die ports der protokolle die du nutzen willst, an die ip-adresse deines rechners im lan vorwardet (schlimmes wort), z.b. für netbios brauchst du die ports 137 bis 139 um de freigaben deines rechners zu sehn, also mußt du diese ports auf dem router für die ip-adresse deines rechners im lan weiterleiten...

greetz

hugo

ok,

ich hab dem router gesagt, er soll mal alle ports an einen unwichtigen rechner (nur zum testen) weiterleiten. der rechner hat auch freigaben.

was muss ich am entfernten rechner eingeben, um mir die freigaben auf diesem rechner anschauen zu können?

gruss howie

wenn die vpn-verbindung zu deinem rechner im lan steht, so solltest du am remote computer ein laufwerk verbinden können ...

greetz

hugo

hi,

hat bisher so nicht geklappt.
ich kann im browser zwar meinen hostnamen eingeben, lande dann aber in der anmeldung bei meinem router.
soll heissen ich kann jetzt das webbasierte konfigurationstool starten.
bloss wie komme ich auf meinen rechner hinter dem router.
kann ich direkt im internetexplorer einen pfad eingeben?
wie sieht dieser pfad aus, etwa so?
mein hostname.com//mein computer/freigegebener ordner ?

an irgendeiner stelle muss ich mich doch als benutzer identifizieren?

ich komm nich weiter...

danke im voraus...

gruss howie