Vigor 2500 von Draytek absichern

Computer: Software & Programmierung UNIX & Linux
#1

Hallo, ich lache momentan herzhaft alle Leute aus, die noch mit Windos surfen und sich die Viren einfangen und mit was für ner mikrigen Sicherheit die alle unterwegs sind…

Bis, ja, bis mir einfiel, dass ich auch nicht viel besser bin:
Ich habe den Draytek Vigor2500We Router(Wlan) als Gateway mit 128 WEP Verschlüsselung. Nur musste ich jetzt feststellen, dass diese Schlüssel wirklich leicht zu knacken sind…

Frage: Gibt’s weitere Möglichkeiten, das Wlan-Netzwerk abzusichern, oder bleibt mir nur die Alternative alle paar Wochen des Schlüssel zu ändern und auf allen 5 Client-Rechnern neu einzugeben?

Info zum Router gibts hier:
http://draytek.de/Produkte/Vigor2500We/Info-Vigor250…

Besonders sticht mir die Sache mit VPN ins Auge, aber irgendwie werde ich das Gefühl nicht los, dass die VPN was andres meinen, als ich(sicher surfen durch IPSec-Verschlüsselung).

Ausschnitt aus Text:
„Der Tunnel kann zwischen zwei Routern oder zwischen Vigor und PC/Mac mit kompatibler Software aufgebaut werden. Neben einem einfachen unverschlüsselten PPTP Tunnel bietet der Vigor auch die Möglichkeit, die Daten oder den Zugang zu verschlüsseln.“

Ich verstehe diese paar Zeilen nicht so ganz. Kann ich jetzt z.B. von meiner Linuxmaschine aus, mich mit VPN über Ipsec auf dem Router anmelden und dann sichern surfen? Und dann ohne Angst vor Mithörern meine Bankgeschäfte erledigen? Wie bewerkstellige ich das überhaupt?

Vielen Dank für die hoffentlich hilfreichen Antworten,

Leon

#2

Hallo,

ich lache momentan herzhaft alle Leute aus, die noch
mit Windos surfen und sich die Viren einfangen und mit was für
ner mikrigen Sicherheit die alle unterwegs sind…

Klammheimliche Freude …

Bis, ja, bis mir einfiel, dass ich auch nicht viel besser bin:
Ich habe den Draytek Vigor2500We Router(Wlan) als Gateway mit
128 WEP Verschlüsselung. Nur musste ich jetzt feststellen,
dass diese Schlüssel wirklich leicht zu knacken sind…

Ja. WEP halt.

Frage: Gibt’s weitere Möglichkeiten, das Wlan-Netzwerk
abzusichern

Ja.

Ausschnitt aus Text:
„Der Tunnel kann zwischen zwei Routern oder zwischen Vigor und
PC/Mac mit kompatibler Software aufgebaut werden. Neben einem
einfachen unverschlüsselten PPTP Tunnel bietet der Vigor auch
die Möglichkeit, die Daten oder den Zugang zu verschlüsseln.“

Ich verstehe diese paar Zeilen nicht so ganz. Kann ich jetzt
z.B. von meiner Linuxmaschine aus, mich mit VPN über Ipsec auf
dem Router anmelden und dann sichern surfen?

Ehrlich gesagt (und ohne den Router zu kennen) würde ich vermuten, es ginge nicht.

Eineinhalb Möglichkeiten:

· An den Router per Ethernet einen alten Rechner schließem, der als IPSec-Gateway für die drahtlos angebundenen Rechner arbeitet

· einen AP kaufen, auf dem Linux läuft und hoffen, daß die IPSec-Implementierung bald kommt (meines Wissens ist sie noch nicht fertig). http://linuxwiki.de/LinuxWireless#head-3fb9b4e5cee32…

HTH & Gruß,

Sebastian

#3

Hallo,

ich lache momentan herzhaft alle Leute aus, die noch
mit Windos surfen und sich die Viren einfangen und mit was für
ner mikrigen Sicherheit die alle unterwegs sind…

Klammheimliche Freude …

Man lacht immer so lange, bis man selber einmal viel Zeit an sowas verliert…

Bis, ja, bis mir einfiel, dass ich auch nicht viel besser bin:
Ich habe den Draytek Vigor2500We Router(Wlan) als Gateway mit
128 WEP Verschlüsselung. Nur musste ich jetzt feststellen,
dass diese Schlüssel wirklich leicht zu knacken sind…

Ja. WEP halt.

Frage: Gibt’s weitere Möglichkeiten, das Wlan-Netzwerk
abzusichern

Ja.

Ausschnitt aus Text:
„Der Tunnel kann zwischen zwei Routern oder zwischen Vigor und
PC/Mac mit kompatibler Software aufgebaut werden. Neben einem
einfachen unverschlüsselten PPTP Tunnel bietet der Vigor auch
die Möglichkeit, die Daten oder den Zugang zu verschlüsseln.“

Ich verstehe diese paar Zeilen nicht so ganz. Kann ich jetzt
z.B. von meiner Linuxmaschine aus, mich mit VPN über Ipsec auf
dem Router anmelden und dann sichern surfen?

Ehrlich gesagt (und ohne den Router zu kennen) würde ich
vermuten, es ginge nicht.

–> Warum nicht? Sind die Hersteller wirklich so ignorant?

Eineinhalb Möglichkeiten:

· An den Router per Ethernet einen alten Rechner schließem,
der als IPSec-Gateway für die drahtlos angebundenen Rechner
arbeitet

Mhmmm, bei uns nicht möglich…aber nehmen wir mal an, dass schon, wie würde ich das bewerkstelligen? Der Router ist auch ja auch der Funkgateway…wie sollte das funktionieren?

· einen AP kaufen, auf dem Linux läuft und hoffen, daß die
IPSec-Implementierung bald kommt (meines Wissens ist sie noch
nicht fertig).
http://linuxwiki.de/LinuxWireless#head-3fb9b4e5cee32…

Hmmm, und wie teuer werden bwz. sind solche Viecher?

HTH & Gruß,

Sebastian

#4

Hallo,

ich lache momentan herzhaft alle Leute aus, die noch
mit Windos surfen und sich die Viren einfangen und mit was für
ner mikrigen Sicherheit die alle unterwegs sind…

Klammheimliche Freude …

Man lacht immer so lange, bis man selber einmal viel Zeit an
sowas verliert…

Ja. Zur Zeit verliere ich aber auch mehr Zeit als sein müßte wegen Windows-Rechnern, die Viren in Richtung meines Postfaches verschleudern.

Ehrlich gesagt (und ohne den Router zu kennen) würde ich
vermuten, es ginge nicht.

–> Warum nicht? Sind die Hersteller wirklich so ignorant?

Vermutlich. IPSec ist für eine Zielgruppe, die vermutlich nicht mit dem üblichen Router-Geraffel spielt.

Eineinhalb Möglichkeiten:

· An den Router per Ethernet einen alten Rechner schließem,
der als IPSec-Gateway für die drahtlos angebundenen Rechner
arbeitet

Mhmmm, bei uns nicht möglich…aber nehmen wir mal an, dass
schon, wie würde ich das bewerkstelligen? Der Router ist auch
ja auch der Funkgateway…wie sollte das funktionieren?

In Dein Lokales Netz wird der PC eingebunden, er sollte per Ethernet mit dem AP verbunden sein. Alle per WLAN angeschlossenen Rechner greifen über diesen als Gateway auf das Internet zu und kommunizieren mit dem per IPSec, CIPE, OpenVPN, …

· einen AP kaufen, auf dem Linux läuft und hoffen, daß die
IPSec-Implementierung bald kommt (meines Wissens ist sie noch
nicht fertig).
http://linuxwiki.de/LinuxWireless#head-3fb9b4e5cee32…

Hmmm, und wie teuer werden bwz. sind solche Viecher?

http://www.hardwareschotte.de/preise.php3?proid=1122…

Hölle! Ich bin gerade entsetzt, wie wenig die nur noch kosten. Ich Vollidiot!

Gruß,

Sebastian

#5

Hallo,

also ich habe hier einen Vigor 2500We und der kann VPN-Verbindungen aufbauen, allerdings nur mit Preshared Keys, also nix mit x509-Zertifikaten oder ähnlichem. Hierzu wird der Key auf dem Router gespeichert und sobald die VPN-Verbindung steht, kann jeder Client, der über den Router geht, sich mit dem entfernten Netzwerk verbinden. IPSec-Passthrough beherrscht dieser Router wohl nicht, ich kann also nicht auf einem Client eine VPN-Verbindung einrichten und diese durch den Router durchschleusen.

Ansonsten findest Du sicher mehr Info im TwoCom-Online-Forum, dass Du über http://www.vigorusers.de erreichst.

Grüsse
schuelsche

#6

Hi Schuelsche,

also ich habe hier einen Vigor 2500We und der kann

Hast du auch Probleme das der bei Linux einige Adressen(z.b. google.de) einfach nicht auflösen will? Das war bis jetzt bei jedem Linux das ich installiert habe, bei Windows gibt es das Problem nicht. Nach dem Neustart des Netzwerkes funktionieren die Adressen. Ich hab jetzt einen t-online DNS eingetragen, damit geht es auch. Ich hab zwei von den Dingern und bei beiden der gleiche Ärger.

VPN-Verbindungen aufbauen, allerdings nur mit Preshared Keys,
also nix mit x509-Zertifikaten oder ähnlichem. Hierzu wird der
Key auf dem Router gespeichert und sobald die VPN-Verbindung
steht, kann jeder Client, der über den Router geht, sich mit
dem entfernten Netzwerk verbinden. IPSec-Passthrough
beherrscht dieser Router wohl nicht, ich kann also nicht auf
einem Client eine VPN-Verbindung einrichten und diese durch
den Router durchschleusen.

Ähm dumme Frage, VPN nützt mir aber nur was im LAN? Für die Internetverbindung bringt das nix? Netzwerk ist nicht meine Stärke.

Gruss Jan

#7

Hallo Jan,

Hast du auch Probleme das der bei Linux einige Adressen(z.b.
google.de) einfach nicht auflösen will?

Nö, eigentlich nicht. Das heisst, wenn ich den Rechner hochgefahren habe, dann dauern die Abfragen wahnsinnig lange und ich kann kaum surfen. Nach einem Netzwerkneustart am PC ist aber alles in Ordnung. Woran das liegt, weiss ich aber noch nicht, hatte noch keine Zeit, mich näher damit zu beschäftigen.

Das war bis jetzt bei
jedem Linux das ich installiert habe, bei Windows gibt es das
Problem nicht.

Jep, das ist richtig.

Ähm dumme Frage, VPN nützt mir aber nur was im LAN? Für die
Internetverbindung bringt das nix? Netzwerk ist nicht meine
Stärke.

VPN tunnelt eine Netzwerkverbindung durch das Internet in eine anderes LAN, zB Dein Firmenlan. Wenn’s mit IPSEC läuft, dann werden nicht nur die Daten der Verbindung verschlüsselt, sondern auch die Verbindung selbst, dh der Anfangs- und Endpunkt der Verbindung ist für Aussenstehende nicht sichtbar. Die Verbindung auch nicht. VPN nutzt also nicht nur im LAN was, sondern auch im WAN, genauso auch im WLAN. Die Verbindung kann halt nicht oder nur sehr sehr schwer abgehört werden. Da sie verschlüsselt ist, ist jedoch immer der Austausch von Schlüsseln notwendig, egal ob jetzt im Klartext wie bei Preshared Keys oder generiert, wie bei x509-Zertifikaten.

Grüsse
schuelsche

#8

Hallo,

Hast du auch Probleme das der bei Linux einige Adressen(z.b.
google.de) einfach nicht auflösen will?

Nö, eigentlich nicht. Das heisst, wenn ich den Rechner
hochgefahren habe, dann dauern die Abfragen wahnsinnig lange
und ich kann kaum surfen.

DNS ist kaputt. Was hast Du denn eingetragen? Wird das per DHCP irgendwie geändert?

„cat /etc/resolv.conf“

Nach einem Netzwerkneustart am PC
ist aber alles in Ordnung. Woran das liegt, weiss ich aber
noch nicht, hatte noch keine Zeit, mich näher damit zu
beschäftigen.

„Früher“ hat mich der nscd unter SuSE genervt. Kann man einfach abschalten im Normalfall[tm].

Gruß,

Sebastian

#9

Hallo,

DNS ist kaputt. Was hast Du denn eingetragen? Wird das per
DHCP irgendwie geändert?

„cat /etc/resolv.conf“

Der SuSE 9.0-Rechner erhält die DNS-Adressen vom Router über DHCP. Und der wird sie ja nach einer Anfrage im Internet erhalten.

„Früher“ hat mich der nscd unter SuSE genervt. Kann man
einfach abschalten im Normalfall[tm].

nscd?! Was ist das denn?!

Und wieso funktionieren die Abfragen dann problemlos nach einem Neustart des Netzwerkes?! Das ist das, was ich nicht verstehe…

Grüsse
schuelsche

#10

Hallo,

DNS ist kaputt. Was hast Du denn eingetragen? Wird das per
DHCP irgendwie geändert?

Der SuSE 9.0-Rechner erhält die DNS-Adressen vom Router über
DHCP. Und der wird sie ja nach einer Anfrage im Internet
erhalten.

Schön wärs. Was sagt der Abgleich mit den Tatsachen?

„Früher“ hat mich der nscd unter SuSE genervt. Kann man
einfach abschalten im Normalfall[tm].

nscd?! Was ist das denn?!

Der „name server cacheing daemon“

Und wieso funktionieren die Abfragen dann problemlos nach
einem Neustart des Netzwerkes?! Das ist das, was ich nicht
verstehe…

Keine Ahnung. Vielleicht wird die nameserver-Konfiguration nicht neu geändert. Wolle mer mal nachschaue?

Sebastian

#11

Hallo Sebastian,

Schön wärs. Was sagt der Abgleich mit den Tatsachen?

Habe das jetzt gerade getestet. Wenn ich den Rechner hochfahre mit der eth0, dann bekomme ich offensichtlich keine neue DNS-Adresse mitgeteilt per DHCP vom Router. Zumindest steht in der Datei /etc/resolv.conf nach einem rcnetwork restart ein weiterer Nameserver, der vorher nicht drinsteht, der direkt nach dem Booten noch nicht drin steht.

Was kann ich nun tun, um das zu ändern? Hat das was mit diesem nscd zu tun? Falls ja, wie kann ich den abschalten oder ändern?!

Grüsse
schuelsche

#12

Hallo,

Schön wärs. Was sagt der Abgleich mit den Tatsachen?

Habe das jetzt gerade getestet. Wenn ich den Rechner hochfahre
mit der eth0, dann bekomme ich offensichtlich keine neue
DNS-Adresse mitgeteilt per DHCP vom Router.

Wahrscheinich hat sich der noch nicht eingewählt und hat deshalb noch nicht den vom Provider.

Zumindest steht in
der Datei /etc/resolv.conf nach einem rcnetwork restart ein
weiterer Nameserver, der vorher nicht drinsteht, der direkt
nach dem Booten noch nicht drin steht.

Gut, daß wir konkrete Daten immer so geheim halten :frowning:

Was kann ich nun tun, um das zu ändern?

Du könntest den Nameserver fest konfigurieren (und ihn nicht per DHCP überschreiben lassen).

Hat das was mit diese mnscd zu tun?

Nein, eher nicht.

Gruß,

Sebastian

#13

Hallo,

Wahrscheinich hat sich der noch nicht eingewählt und hat
deshalb noch nicht den vom Provider.

Doch, zu diesem Zeitpunkt hatte sich schon ein anderer PC über den Router ins Internet eingewählt. Der Rechner selbst hatte sich noch nicht eingewählt, das ist richtig.

Gut, daß wir konkrete Daten immer so geheim halten :frowning:

hä?! Was soll denn an den Daten wichtig sein??

Erst steht folgender Nameserver drin:
nameserver 217.237.150.141

Nachher steht zusätzlich noch folgender drin:
194.25.2.129

Was sagt Dir das jetzt?!

Grüsse
schuelsche

#14

Hallo

Erst steht folgender Nameserver drin:
nameserver 217.237.150.141

Nachher steht zusätzlich noch folgender drin:
194.25.2.129

Was sagt Dir das jetzt?!

Die sind beide von der Telekom. Das ist schonmal nicht schlecht. Wobei man sich berim ersten Fragen kann, ob das wirklich ein DN-Server ist - so rein vom Namen. Beim zweiten passt das schon besser.

Vielleicht soltest Du (zumindet den weiten) mal fest eintragen.

„dhcpcd-test“ ist auch nicht übel BTW

Gruß,

Sebastian

#15

Hallo,

„dhcpcd-test“ ist auch nicht übel BTW

Danke, ein neuer Shell-Befehl :wink:
… bringt mir offensichtlich alle relevanten Daten der eth0-Schnittstelle. Werde ich morgen mal bei wlan testen…

Vielleicht soltest Du (zumindet den weiten) mal fest
eintragen.

mmmhhh… Frage ist: wie mach ich das in der SuSE 9.0?! In YaST kann ich lediglich einstellen, dass entweder alles über DHCP bezogen wird oder gar nix… Wie also kann ich einen DNS eintragen, ohne dass der von YaST dann überschrieben wird?

Grüsse
schuelsche

#16

Hallo,

„dhcpcd-test“ ist auch nicht übel BTW

Danke, ein neuer Shell-Befehl :wink:
… bringt mir offensichtlich alle relevanten Daten der
eth0-Schnittstelle. Werde ich morgen mal bei wlan testen…

Nein. Das zeigt, was der DHCP-Server Die liefern würde/liefert.

Vielleicht soltest Du (zumindet den weiten) mal fest
eintragen.

mmmhhh… Frage ist: wie mach ich das in der SuSE 9.0?! In
YaST kann ich lediglich einstellen, dass entweder alles über
DHCP bezogen wird oder gar nix… Wie also kann ich einen DNS
eintragen, ohne dass der von YaST dann überschrieben wird?

/etc/sysconfig/network/dhcp editieren.

Da gibt es auch die Möglichkeit, Debugging zu betriben …

Gruß,

Sebastian