VPN fritzbox oder mac?

H

homeserver

Member
Hallo alle zusammen!

Ich betreibe ein paar Webseiten und arbeite oft von verschiedenen Orten und Endgeräten (uni, zuhause, smartphone).
Oft habe ich das Problem, dass ich die neuesre version einer Datei z.b zuhause auf dem PC habe und daher in der uni vom Laptop aus nur eine alte version habe...

Ich habe mir nun folgendes überlegt:
- Mac zuhause als Arbeitsgerät
- Arbeiten von überall (laptop, iphone) über vnc
- Speicherung von Backups von Webservern auf dem Mac (Backupskript welches sich via vpn mit dem mac verbindet und das backup dorthin schiebt).

Mir geht es nun vor allem um die Sicherheit, ist das vorhaben sicherheitsmäßig zu empfehlen?
Die vnc clienten sollen zuerst per vpn verbunden werden und die daten über einen vpn tunnel übertragen werden. Grundsätzlich ist der mac aber ja trotzdem aus dem internet erreichbar (vnc server) das ist ja theoretisch ein Angriffspunkt.
Und ist es sinnvoller den integrierten vpn server der fritzbox zu nutzen, oder einen vpn server auf dem mac laufen zu lassen (vpn wird sowieso auf ipsec und xauth basieren müssen, da das iphone als client keine Zertifikate unterstützt)?

Vielen Dank!
 
Sowohl iphone als auch OSX (zumindest ab OSX 10.5) unterstützen die VPN-Implementierung der Fritzbox per Username und Passwort. Damit brauchst du kein öffentliches VNC, sondern es bleibt alles schön hinter der Fritzbox-Firewall.
 
Jo, also fritz box vpn habe ich auch schon eingerichtet und kann mich vom iphone dort auch connecten. Dann greife ich auf den mac mit vnc zu (locale ip des mac). Das alles läuft wie du sagst mit username und passwort.

Ich habe aber gehört, dass vpn mit zertifikaten wesentlich sivherer sei und dass das password beim herstellen der vpn verbindung unverschlüsselt übertragen wird. Dann könnte ja nach kurzem abhören jeder das vpn mit dem zugangsdaten missbrauchen.

Und da der mac hinter der fritz box auf dem vnc läuft über die fritz box mit dem internet verbunden ist, müsste er per vnc theoretisch auch aus dem internet ohne vpn (sicherhetsproblem!) erreichbar sein, oder unterliege ich da einem Ddnkfehler?

Danke!
 
Du meinst sicher den Aggressive Mode. Hierbei ist darauf zu achten, dass das Kennwort eine ausreichende Länge hat. Sonst ist es mittels Brute-Force zu knacken. Das Kennwort selbst wird gehashed übertragen.

Solange du keine Portweiterleitung auf den Mac hast oder diesen in die DMZ gesetzt hast, ist der auch nicht von Außen erreichbar.
 
Ja richtig, läuft im aggressive mode. Eine Portweiterleitung besteht nicht.

Du hast mir schon sehr geholfen, vielen Dank!!!

Was mir gerade noch eingefallen ist: Neben dem kennwort für xauth gibt es ja auch pro vpn client noch einen key, den müsste ein potentieller angreifer ja auch noch heraus bekommen. Weiterhin ist ja auch vnc nochmal mit einem passwort geschützt. Dann wäre man auf dem mac.

Der internetverkehr wird dann vom mac nochmal über einen vpn server (mit zertifikat) geleitet (open vpn auf vserver).

Das mag paranoid klingen, aber es gibt da jemanden, der mich zugerne "hacken" würde... (gott sei dank nen skriptkiddie ohne viel ahnung), trotzdem will ich auf nummer sicher gehen.
 
Meinst du das VNC von OSX, sprich den RemoteDesktop oder eine andere VNC-Server-Software?

Wenn du RemoteDesktop von OSX und dann noch den ARD-Client, welchen man bei Apple kaufen kannst benutzt, dann ist da die Übertragung verschlüsselt.
 
mr_brain said:
Meinst du das VNC von OSX, sprich den RemoteDesktop oder eine andere VNC-Server-Software?

Wenn du RemoteDesktop von OSX und dann noch den ARD-Client, welchen man bei Apple kaufen kannst benutzt, dann ist da die Übertragung verschlüsselt.
Click to expand...

Ich nutze das integrierte VNC, alsop den Remote Desktop von OSX.
Bei den Clienten handelt es sich aber in erster Linie (neben dem Iphone) um Windoof Rechner, daher fällt afaik der ARD client weg.
Ich hatte vor, auf realVNC (http://www.realvnc.com/) als Client zurückzugreifen, afaik ist vnc damit nicht verschlüsselt.

Gruß homeserver
 
mr_brain said:
Kannst ja noch den VNC über SSH tunneln ;-)
Click to expand...

Jo, das habe ich auch überlegt und gelesen.
Afaik ist es aber relativ egal, ob das Ganze über VPN oder einen SSH Tunnel läuft. Verschlüsselt ist beides (ichd enke auch ungefähr gleich stark).
Nur dass für mich denke ich VPN (da da schon einiges konfiguriert ist) einfacher und besser zu realisieren ist ;-)
 
Sooo, ich habe es nun geschafft ;-)

Ich habe mir nun folgendes eingerichtet:

- VPN-Server auf der Fritz.box und Verbindung von mehreren Clienten (Iphone, Laptop, Netbook, etc) möglich.
- Hinter der Fritz box ein Mac Mini, der als Backupserver und Webserver für Entwicklungszwecke fungiert, außerdem als Arbeitspc mit VNC Server.

Der Mac ist nun über VNC zu erreichen und zu steuern, wenn man im lokalen Netzwerk hinter der Fritz box ist, bzw. wenn man mit VPN verbunden ist. Klappt super und ist verschlüsselt. Das größte Abenteuer hierbei war die VPN-Konfiguration der Fritz box.

Ich werde dazu demnächst mal ein Tutorial schreiben (vielleicht hat ja noch wer anders soetwas vor ;-).

Über rsync werden nun regelmäßig Backups von meinem "großen" Webserver auf den Mac Mini gezogen, auch das über eine verschlüsselte VPN-Verbindung, auf dem "großen".

_______________________________________________________________

Jetzt habe ich aber ein anderes kleines Problem und belästige euch nochmal :p^^

Und zwar ist auf dem großen alles so eingestellt (iptables), dass NUR wenige IPs zugriff auf die wichtigen Dienste (mail, ssh, etc.) haben.
Auch die Backups über rsync können nur gezogen werden, wenn der mac mini mittels VPN mit einem extra VPN-Server verbunden ist, dessen IP im iptables freigegeben ist.

Das klappt auch wunderbar.

Allerdings habe ich auf dem Mac Mini nun ja auch einen Webserver aufgesetzt. Dieser ist aus dem Internet wie folgt erreichbar:
In der Fritzbox ist ein dyndns dienst eingetragen und der Port 80 ist auf den Webserver bzw. die lokale IP des Minis im Fritzbox-Netzwerk "forgewarded" (was für ein tolles Wort^^).
Solange der mini nicht mit VPN verbunden ist, ist der Webserver über die dyndns domain erreichbar.
Sobald der Mini aber eine VPN Verbindung (zwecks der Backups) aufbaut, erhält er augenscheinlich eine andere IP (die des VPN-Servers) und ist über die dyndns domain bzw. die lokale IP nichtmehr erreichbar.

Hat da vielleicht jemand einen Ansatz, wie man das lösen kann, dass der Mini mit dem VPN Server verbunden ist und sich backups ziehen kann (sich also mit der IP des VPN-Servers ausweist) und trotzdem unter der lokalen IP und damit der dyndns domain aus dem Internet erreichbar ist?

--------------------------------------------------------------------------

Ich habe auch schon einen anderen Ansatz probiert:
Statt einem gemiteten VPN-Server mit statischer IP hatte ich in iptables einfach den dyndns-Domainnamen via iptables freigegeben.
Per Cronjob habe ich dann iptables alle 24Stunden via "firewall-emergency.sh" resetet und via "firewall-active.sh" wieder aktiviert.
Dabei löst iptables jedes mal beim neustart der Firewall die IP der dyndns domain auf und damit ist der Zugriff über die Fritz box bzw. die dyndns domain trotz wechselnder IP am DSL-Anschluss gewährliestet.
Damit würde ich mir ja theoretisch den extra VPN-Server sparen.

Das Problem ist, dass dieser cronjob einige Tage gutgeht, dann aber - weiß der geier wieso - iptables abstürzen lässt bzw. alles dicht macht.
Das Ergebnis ist, dass nix erreichbar is (auch nicht der webserver etc.) und nur ein reboot der Maschine (direkt im rechenzentrum) möglich ist.

Daher ist diese Lösung nicht so doll.

-------------------------------------------------------------------------
 
Der Knackpunkt ist beim VPN Client das Standardgateway. Wenn das Standardgateway die VPN Verbindung ist, dann geht aller Traffic über die VPN Verbindung und man erreicht den Rechner von aussen nicht mehr. Wenn das Standardgateway nicht verändert wird, dann dürfte nur der VPN Adressbereich über VPN erreichbar sein und der Client ist nach wie vor im lokalen Netz erreichbar, siehe z.B. http://www.arnebrodowski.de/site_media/uploads/windows_pptp_vpn_schritt_6a.jpg
 
You must log in or register to reply here.
Back
Top