Sicher ist sicher ... ist sicher sicher?

Ich versuche gerade mein Netzwerk/IPS zu „härten“ und brauche abschließend eine/mehrere Meinungen/Bestätigungen. Folgendes habe ich jetzt gemacht …

  • Auf meiner Domaine (Strato) habe ich eine Subdomaine eingerichtet und den DynDNS-Dienst aktiviert.
  • Auf meiner fritzBox (7390) habe ich mich beim DynDNS-Dienst (Strato) angemeldet.
  • Auf meiner fritzBox habe ich einen VPN-User eingerichtet und aktiviert. VPN per IPsec
  • Auf meinem iPhone habe ich ein VPN eingerichtet.
  • Der Zugang mit iFront funktioniert auch … aber nur wenn ich die IP des IPS-Server inkl. Port angebe.
    Ehrlich gesagt bin ich mir nicht sicher ob das nun korrekt und sicher ist ??? Hierzu habe ich folgende Fragen …

Hätte ich zusätzlich auch/nur den IPS-Server per DynDNS erreichbar machen müssen?
Wieso muss ich die IP angeben, die kann sich doch per DHCP auch ändern?
Wieso reicht in iFront nicht die Angabe der Subdomain?
Wie sieht es zum Thema Sicherheit aus … https, SSL, …

sicher ist es, wenn Du die interne IP des IPS-Servers im iFront nutzt

UNGLAUBLICH UNSICHER, falls es die externe wäre …

In der Fritzbox kannst Du irgendwo anklicken, dass der IPS-Server immer die gleiche DHCP-Adresse bekommen soll oder besser gibst Du dem IPS-Server eine statische IP.

Die Subdomain ist EXTERN, das VPN tunnelt dich nacht INTERN

Gruß,

ernie

Moin ernie.

Das mit der IP, statisch oder immer gleiche von der fritzBox, ist mir klar. Wäre es aber besser, wenn ich die IP vom IPS-Server per DynDNS an eine Subdomain binde?

musst Du, außer Du hast eine statische IP in einem Business Vertrag vom Provider.

Ansonsten weißt Du nachdem deine IP zuhause sich nach 24h geändert hat unterwegs ja nicht mehr, was Du im iPhone eintragen musst, um das VPN aufzubauen … Außerdem müsstest Du sonst alle 24h die IP im iPhone oder womit auch immer Du das VPN aufbaust die Konfiguration ändern …

Es ist aber nicht die IP vom IPS-Server (die ist ja nur intern ist und der keine externe bekommen kann), sondern die der FritzBox.

Oder meinst Du ein PortFowarding?

Also das VPN baue ich mit der Angabe der Subdomaine auf. Das scheint alles sauber. Ich denke aber das nur die IP der fritzBox auf der Subdomain abgebildet wird.

Hier meine ich die Einträge in iFront … hier geht nur die IP vom IPS-Server und das ist die Intern IP (192.168.xxx.xxx)
Ein PortForwarding mache ich nicht!

Gerade gelesen … Die fritzBox übertragt die DynDNS Daten per http und NICHT per https

Hallo,

die Aufgabe des VPN ist es einen Tunnel durch das Internet zu deinem Netz zuhause aufzubauen.

d.H. der VPN-Client verbindet sich zu deiner Fritzbox egal ob über feste IP oder Dyndns
und bringt dein Smartphone ins eigene Netz zuhause. Dieses bekommt auch über VPN eine
virtuelle Ip aus deinem Netz zuhause 192.168.xxx.xxx
Wenn man einen VPN-Client auf dem PC installiert kann man sehr schön den zusätzlichen
virtuellen Netzwerkadaper sehen der dazu installiert wird.

Dann ist es für deinen App so als wenn du zuhause im WLAN bist.
Also musst du auch die IP deines IPS-Server in der App eingeben .
Der IPS-Server muß natürlich eine statische IP bekommen damit diese immer gleich ist.

Anders wäre Portforwarding, dann hast du aber kein VPN. Sondern gehst übers
Internet an deinen IPS-Server so als stände der direkt im Internet.

Gruß Udo

OK, das mit dem DynDNS, VPN und statische IP habe ich „geschnaggelt“ :cool: Meine Subdomaine ist an die IP der fritzbox gekoppelt :cool:
So wie ich euch jetzt verstanden habe macht es zusätzlich keinen Sinn/geht nicht die IP des IPS-Server an eine zusätzliche Subdomain zu binden, da diese IP eine Interne ist. Richtig?

Wie sieht es in dieser Konstellation mit der Sicherheit aus. Gibt es noch Optimierungsmöglichkeiten?

@integrator

du kannst die gar nicht an die Subdomaine binden, da du dann ja
nicht über den Tunnel gehen würdest.
Das wäre portforwarding und würde deinen IPS-Server direkt ins Internet stellen.
Dann wäre z.B. das Webfront mit dyndnsadresse:82 direkt erreichbar.

Die Sache mit dem VPN über ipsec ist das sicherste was du machen kannst.

Solange du einen genügend langen Schlüssel für die IPSEC hast und deinen Fritzbox
nicht zur Verwaltung übers Internet frei gibst kann da nichts passieren.

Ipsec ist, zumindest mit einem vernüftig langen Schlüsse,l meines Wissens nach noch nicht geknackt.

Gruß Udo