Netzlaufwerk (sicher) per Internet verbinden

[KICK]

Hallo Leute,

ich möchte ein Netlaufwerk übers Internet per IP verbinden. Das funktioniert grundsätzlich ohne Probleme per "\\IpAdresse\Freigabe" also z.B. "\\85.25.25.25\MeinFreigegebenerOrdner".

Das Problem ist dabei "nur", dass so eine Verbindung übers Internet ja (vermutlich) unverschlüßelt und daher unsicher ist.

Gibt es eine (einfache) Möglichkeit so eine Netzlaufwerkverbindung abzusichern?

edit: ich benutze win xp und win server 2003.

 

[gorim]

Am besten Du machst Deine Firewall (ich nehme an du hast einen Router) sofort zu. Die Ports für die Freigaben etc. sollte man nicht veröffentlichen.

Bau vorher eine VPN-Verbindung auf, dann kannst Du auf Deinen Server zugreifen wie in einem lokalen LAN. Windows 2003 hat alles dabei was Du brauchst. In der Verwaltung gibt es einen Routing und Ras Eintrag, der Dir über einen Assistenten einen VPN-Server einrichtet. Sehr einfach ist das PPTProtokoll. Das wird auch von sehr vielen Routern unterstützt. Du brauchst nur den Port 1723 auf deinen Server weiterleiten. Zusätzlich gibt es meist noch ein Häkchen zu setzen bei PPTP-Passtrough oder so ähnlich.

Bei XP richtest Du eine VPN-Verbindung ein, baust die Verbindung zum Server auf. Danach kannst Du auf die Freigaben zugreifen.


bis dann
gorim

 

[KICK]

Hallo gorim,

danke für deinen Tipp! Dachte mir bereits, dass sich soetwas am einfachsten mit VPN realisieren lässt. Hab mir zum testen einen VPN Server / Client mit PPTP Protokoll installirt - funktioniert eigentlich einwandfrei.

Das Netzlaufwerk kann ich allerdings nicht mit jener IP verbinden die der Server ursprünglich (beim einwählen) hat, sondern muss jene IP verwenden die der VPN-Server virtuell (?) bezieht.

Beispiel.:

Einwahl -> 80.101.36.10 -> OK
Netzlaufwerk verbinden -> \\169.254.214.10\freigabe -> OK
Netzlaufwerk verbinden -> \\80.101.36.10\freigabe -> NICHT OK

Ist dieses Verhalten so gewünscht, oder mach ich etwas falsch?

Dann noch eine Frage zum "PPTP" Protokoll. Ich hab ein wenig gegoogelt und auf vielen Websites gelesen, dass dieses Protokoll als unsicher gilt. Ich konnte aber nicht genau eroieren warum das Protokoll unsicher ist. Hast du dazu vielleicht noch ein paar Infos?

cu

 

[gorim]

Das Verhalten mit der IP-Adresse ist in Ordnung. Die 80er ist ja die offizielle Internetadresse. Bei VPN wird die ja "durchtunnelt". Bei RRAS in Windows 2003 kannst Du die IP-Adressen für die VPN-Verbindung selber definieren. Entweder statisch oder über DHCP. Der Server hat eine interne für das LAN und eine für VPN.

Genauere Infos, wo es bei PPTP hakt habe ich leider auch nicht. Dafür ist es relativ einfach einzurichten. Soweit ich weiß wird das Kennwort für die Verschlüsselung einbezogen. Man kann u.U. die Verschlüsselung knacken und dann das Kennwort herausbekommen. Das soll aber ein paar Stunden dauern. Für den gelegentlichen Zugriff auf den Homeserver reicht das eigentlich völlig aus. Am besten die Verschlüsselungsstärke auf 128bit setzen und einen Einwählbenutzer ohne Adminrechte nehmen.

Windows unterstützt auch L2TP/IPSEC. Ist aber schon etwas schwieriger. Mehr Infos hier: http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm

Oder Du benutzt OpenVPN. Infos dazu findest du dazu bestimmt im Forum.

bis dann
gorim

 

[KICK]

Alles klar. Das Verhalten mit der IP Adresse macht mich aber dennoch etwas skeptisch. Was passiert nämlich wenn ich (nur als Beispiel) mehrere Netzlaufwerke über verschiedenen VPN's verbinden möchte?

Angenommen "Firma 1" hat einen VPN dessen interne Server IP 192.168.0.1 lautet und "Firma 2" hat ebenso einen VPN Server dessen interne IP 192.168.0.1 lautet.

Wenn ich in diesem Fall ein Netzlaufwerk per "\\192.168.0.1\C$" von meinem lokalen PC aus verbinden will, dann weiß Windows ja nicht welcher der beiden VPN's jetzt genutzt werden soll, da beide nur über 192.168.0.1 ansprechbar sind.

Logischer würde mir erscheinen, dass Windows z.B. automatisch erkennen müsste, dass zur IP Adresse "80.101.36.10" eine VPN Verbindung aufgebaut ist und daher Verbindungen die wie z.B. "\\80.101.36.10\C$" getunnelt werden müssen.

So war das jetzt irgendwie verständlich was ich meine?

 

[network lab]

Innerhalb eines Netzes müssen die IP-Adressen eindeutig sein. Es kann also nicht zwei Rechner mit der gleichen IP geben. Notfalls müsste man entweder den einen oder den anderen VPN-Tunnel aufbauen.

Mirko

 

[KICK]

Notfalls müsste man entweder den einen oder den anderen VPN-Tunnel aufbauen.

Ja diese Lösung war mir klar - wollte eigentlich mit meinem Posting nur nochmal nachfragen ob es defakto keine andere Lösung des "Problems" gäbe.

Danke für die Info's Leute!

 

[Sinac]

Sowas wird dann normalerweise mit NAT gelöst wenn es nicht nicht anders regeln lässt. Wir haben hier in der Firma auch diverse VPN und anderen Verbindungen zu Außenstandorten und anderen Firmen, da kommen halt Überschneidungen vor.