Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Bestimmte URLs zulassen

    Deutsch
    4
    13
    1466
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      haithabu84 last edited by

      Mahlzeit,

      folgendes Problem: Die Clients hinter der pfSense dürfen nicht ins Internet, außer einigen wenigen Auserwählten. Dies war soweit kein Problem und das funktioniert auch. Nun sollen die Clients aber (die eigentlich keinen Zugriff in Inet haben sollen) auf eine bestimmte Website zugreifen können und per Teamviewer fernsteuerbar sein.

      Nun die eigentliche Frage: Ist dies auch ohne Proxy realisierbar? Und wen ja, wie?

      Ich danke euch schonmal im Voraus für eure Hilfe.

      1 Reply Last reply Reply Quote 0
      • V
        viragomann last edited by

        Hallo,

        ohne den Umweg über einen Proxy zu gehen, ist in diesem Fall wohl auch der bessere Weg.

        Am besten packst du alle FQDNs bzw. IPs, die die Clients ansteuern dürfen, in einen Alias (Firewall > Aliases) und ebenso alle Port, die erlaubt sind (vermutlich 80 u. 443) und verwendest diese beiden Aliases in der Allow-Regel am Interface, an dem die Clients hängen, um den Zugriff freizugeben.
        Für Clients die weitere Rechte haben, legst du spezielle Regeln an, die in der Liste darüber positioniert werden. Das setzte aber auch voraus, dass diese Clients an Hand der IP zu unterscheiden sind.

        Standardmäßig hat pfSense am LAN Interface eine Allow any to any Regel. Die muss entfernt werden, bzw mit den o.g. Aliases angepasst werden.

        Teamviewer ist eine aktive Verbindung, die vom Client aufgebaut wird und ebenso mit obiger Regel erlaubt werden kann.

        1 Reply Last reply Reply Quote 0
        • H
          haithabu84 last edited by

          Ok Danke erstmal. Also Port 80 und 443 ist klar…

          Weißt du zufällig welche FQDN der Client benötigt um den Teamviewer ordentlich zum laufen zu bekommen? Und muss nur eine ausgehende Regel vorhanden sein oder auch eine eingehende?

          1 Reply Last reply Reply Quote 0
          • magicteddy
            magicteddy last edited by

            Moin,

            für einen Rechner der sonst nicht in das Internet darf habe ich für Teamviewer eine Regel die nur Zielport 5938 TCP erlaubt und die Fernwartung klappt.

            -teddy

            1 Reply Last reply Reply Quote 0
            • H
              haithabu84 last edited by

              Also ein portforward auf die Rechner mit dem Port tcp 5938?

              1 Reply Last reply Reply Quote 0
              • magicteddy
                magicteddy last edited by

                Nein.
                Eine Regel die nur ausgehenden Verkehr mit Zielport Port tcp 5938 zuläßt:

                IPv4 TCP  (IP des Rechners der darf) * * 5938 * none

                Ich habe kein Portforwarding eingerichtet.

                -teddy

                1 Reply Last reply Reply Quote 0
                • JeGr
                  JeGr LAYER 8 Moderator last edited by

                  Teamviewer stellt die Verbindung im Normalfall für das tolle Feature "Umgehung von Firewalls etc." über einen Proxy selbst her. Sprich der TV Client, dem geholfen wird, stellt eine Verbindung zu einem zentralen Server bei TV her und wartet dort. Dann startet der Helfer seinen Client und verbindet sich ebenfalls mit dem zentralen TV Server. Nach Eingabe der entsprechenden ID Nummer die der Client dem Helfer gibt, werden die beiden Verbindungen dann miteinander verknüpft.

                  Dieser "man in the middle" der die Verbindung knüpft ist auch der Grund, warum große Unternehmen lieber eine Inhouse Lösung für sowas bevorzugen. Bei denen steht nämlich mitunter in Sicherheitsvereinbarungen, dass sie ihre Daten nicht durchs Ausland o.ä. blasen dürfen, und unverschlüsselt schon gar nicht. Da u.a. viele ursprünglich deutsche Lösungen (Teamviewer, Netviewer, …) in den letzten Jahren von US oder UK Firmen gekauft wurden, hat das nochmal mehr Brisanz bekommen.
                  Fun Fact: Aus dem Grund des Aufkaufs von Teamviewer durch einen UK Investor hat sich ein Teil der ehemaligen Crew ja inzwischen in Stuttgart unter dem neuen Label "AnyDesk" wieder neu gegründet, damit Sie für diverse Datenschutzerklärungen wieder sagen können "jup, Daten laufen nur in DE".

                  Der langen Rede kurzer Sinn: Deshalb schreibt Teddy auch "ausgehend", da das Teamviewer Konstrukt via Man-in-the-Middle keine eingehenden Verbindungen benötigt, weil es damit versucht Firewall etc. auszuhebeln. (Sehr zum Unbill vieler Admins ;))

                  1 Reply Last reply Reply Quote 0
                  • magicteddy
                    magicteddy last edited by

                    Moin,

                    danke für die informative Zusammenfassung, leider musste ich die Kröte Teamviewer für einen PC schlucken die Geschäftsleitung hat entschieden, aber dank pfSense sitzt diese Kiste mit Ihrer Steuerung in einem eigenen LAN Segment vollkommen isoliert ohne weitergehenden Internetzugang. Aufgrund des nahezu stillgeschwiegenen Verkaufs ist Teamviewer für mich privat gestorben.

                    -teddy

                    1 Reply Last reply Reply Quote 0
                    • JeGr
                      JeGr LAYER 8 Moderator last edited by

                      Apropos stillschweigend: Das ging wohl wirklich letztes Jahr sehr sehr leise über die Bühne:

                      http://stadt-bremerhaven.de/teamviewer-milliarden-us-dollar/

                      …wurde Teamviewer bereits Anfang Mai von dem im London ansässigen Unternehmen Permira für 1,1 Milliarden US-Dollar übernommen. Weder im Pressebereich von Teamviewer ist davon etwas zu lesen, noch wird sonst irgendwo auf der offiziellen Seite die Übernahme erwähnt.
                      Auch Permira äußerte sich gegenüber des Wall Street Journals dazu nicht, allerdings ist hier wenigstens eine Pressemitteilung zu finden, die auf den 6. Mai datiert ist. Ist natürlich nicht unspannend, wenn eine in Deutschland entwickelte Software zur Fernwartung von einem anderen Unternehmen übernommen wird.

                      http://www.permira.com/technology/investments/teamviewer

                      Kaum einen Monat später (3.6.2014) tauchte dann AnyDesk auf der Bildfläche auf.

                      Weiterer Fun Fact: Der Verkauf an Permira (UK) ging ja von GFI aus (die US Unternehmen sind). Zwar agiert Teamviewer selbst als GmbH und argumentiert korrekt, dass sie sich an deutsches Recht halten müssen, aber … hmm nunja. Ist alles korrekt, bringt einem dann aber doch nichts, wenn bspw. der Vermittlungsserver (MITM) dann bspw. in UK oder US steht. Dann untersteht der ggf. deren Gerichtsbarkeit bzw. kann an dem Standort dann abgegriffen werden. Da die wenigsten Leute prüfen werden, wogegen sich ihr Client alles verbindet, ist das eben das Risiko. War u.a. nach dem Verkauf von Netviewer an Citrix Online ja ebenso, dass man die NV Produktsparte zugunsten der US basierten GoToXY Produkte ablösen wollte. Alles auf SaaS Basis, inHouse Lösungen wie bei Telekom und Co. sollten abgeschafft werden. Damit rennt man nur bei deutschen Unternehmen keine Türen ein ;)

                      1 Reply Last reply Reply Quote 0
                      • H
                        haithabu84 last edited by

                        Mir bleibt leider auch nichts anderes übrig. Wir verwenden Unternehmensweit Teamviewer zur Fernwartung und haben auch entsprechend eine teure Lizenz dafür. Es ist bequem und ziemlich performant, aber natürlich Datenschutz-technisch nicht so das Gelbe vom Ei.

                        Die Lizenz ist jetzt nunmal vorhanden und jeden Protest dagegen kann man nur schwer der Geschäftsleitung vermitteln. Deshalb muss man diesen Klopps jetzt schlucken.

                        Ich werde das mal probieren. Danke für euere Hilfe.

                        1 Reply Last reply Reply Quote 0
                        • H
                          haithabu84 last edited by

                          So ich habe es jetzt nochmal probiert. Folgendes habe ich eingestellt:

                          Unter NAT

                          WAN  10.1.0.0/20 * * * WAN address * NO

                          Unter Rules LAN

                          IPv4 UDP 10.1.0.0/20 * * 5938 * none

                          Doch leider bekomme ich damit keine Verbindung zustande. Muss man da nicht irgendwie noch eine eingehende Verbindung zulassen?

                          Jemand eine Idee woran das liegt?

                          1 Reply Last reply Reply Quote 0
                          • JeGr
                            JeGr LAYER 8 Moderator last edited by

                            Also die NAT Einstellung ist ja praktisch default (LAN network mapped on WAN address).

                            Die Regeln auf dem LAN abgehend sehe ich als "fast" richtig an. Meines Wissens nutzt Teamviewer (sinnvollerweise) TCP, nicht UDP und checkt zusätzlich 80/443. Letzteres nur als Fallback wenn 5938/tcp nicht offen ist.

                            Grüße

                            1 Reply Last reply Reply Quote 0
                            • H
                              haithabu84 last edited by

                              Ich habe den Fehler gefunden:

                              Ich hatte vergessen für die Clients die nicht ins Inet dürfen DNS zu erlauben. Somit kann es nicht funktionieren, da Teamviewer mit FQDN´s arbeitet.

                              Komischerweise funktioniert es mit TCP auch… scheinbar geht beides, es sei den man deaktiviert in den erweiterten Einstellungen von Teamviewer "UDP erlauben".

                              Die Default NAT-Einstellungen habe ich deaktiviert und zu meiner Übersicht neu angelegt. Den ich habe viele Subnetze zu verwalten. ;D

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post

                              Products

                              • Platform Overview
                              • TNSR
                              • pfSense
                              • Appliances

                              Services

                              • Training
                              • Professional Services

                              Support

                              • Subscription Plans
                              • Contact Support
                              • Product Lifecycle
                              • Documentation

                              News

                              • Media Coverage
                              • Press
                              • Events

                              Resources

                              • Blog
                              • FAQ
                              • Find a Partner
                              • Resource Library
                              • Security Information

                              Company

                              • About Us
                              • Careers
                              • Partners
                              • Contact Us
                              • Legal
                              Our Mission

                              We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                              Subscribe to our Newsletter

                              Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                              © 2021 Rubicon Communications, LLC | Privacy Policy