ADSL en VPN

[biebabeloeba]

Bij het configureren van een vpn verbinding op mijn windows 2000 server zit ik vast bij de properties van de poorten. Als ik de instellingen van de WAN Miniports wijzig krijg ik een error dat hij de poort instellingen niet kan opslaan. Als ik mijn ADSL uninstall lukken de poortinstellingen wel maar dan kan ik natuurlijk geen VPN meer maken. Weet iemand de correcte instellingen ??

Alle andere info ivm VPN is altijd welkom

[The Oddity]

Hi,

Met een ADSL GO, Plus kan je geen VPN connecties maken. De poorten 138, 139 hiervoor zijn inkomend geblokkeerd door Skynet, omwille van veiligheidsredenen. Je mag eveneens met je GO of Plus geen VPN tot stand brengen. Je dient daarvoor een office of premium of pro abo te nemen.

Ik denk dat die error die je krijgt dus een gevolg is van het feit dat de inkomende poorten gesloten zijn. Of gebruik je het vpn op een ander abo?
Veel instellingen komen daar normaal niet bij kijken.
btw hoe maak je verbinding met adsl? Ethernet?

[deej]

Den truuk is UDP encapsulatie te gebruiken (poort 500). Zo gaat elke IPSec connectie er los door, zelfs op ADSL GO en zelfs achter een NAT ding (lees router ).

Daarbij is die poortblok geen verleden tijd? Waar ik werk wordt er massaal gevpn'ed en daar zijn er succesvolle testen gebeurd over Skynet, Wanadoo en EDPNet... Clients zijn de Nokia VPN Client, de Check Point SecureClient en de NetScreen Remote Client.

[The Oddity]

Hmm, zo gad ik het nog niet bekeken. Is idd wel een goed alternatief. Maar toch even duidelijk stellen dat het volgens de contract voorwaarden niet toegelaten is om met ADSL GO EN PLUS VPN connecties te maken!

Die portlock is zeker geen verleden tijd: port 138, 139 25 zijn geblocked. 25 wel ni voor incoming. Wel voor outgoing -> verbod op draaien van mailservers. Indien iedereen hier massaal zijn voeten aan veegt kan dit alleen leiden tot de situatie waar ze bij Telenet mee zitten is dat ze alles locken onder poort 1024 ofzo, ken de exacte waarde niet, maar daar locken ze alles voor outgoing onder een bepaalde waarde. Dan is het direct gedaan met severs runnen ed. wat niet toegelaten is met adsl go en plus.

[deej]

LOL! Waar een wil is is een weg. Via dyndns.org en gebruikmakend van zo'n hoge poort à la 8082 (hint) kan je zelfs een ftp server draaien en zowel Telenet als ADSL bypassen .

Vind trouwens die VPN block wreed flauw, maar goed, lang leve UDP 500!

[The Oddity]

Ja geen enkel probleem, je ftp kan je idd de poort wijzigen maar voor andere toepassingen gaat dat niet eh: VPN, mailserver, daar dien je je te houden aan bepaalde poorten. Zeker bij mailservers of je mails raken nooit waar ze moeten zijn.

Die server toepassingen vind ik maar normaal, die zijn voor KMO's ed. ma soit Die VPN, is ook minder. Indien die actief zou zijn, zou je van thuis uit makkelijk kunnen inloggen op het netwerk van vb. mijn hoge school (hoge school gent), mijn pa zijn bedrijfsnetwerk,.... en vele anderen.

maja, het mag nu eenmaal niet dusja. Dyndns ja das een oplossing voor van dynamic ip naar soort static te gaan, maar das ook ni alles zulle!

[Erik]

er zijn der toch altijd die zich niet aan de regels kunnen houden he kijk richting Deej_1977 je zal zolang spelen tot iemand u eens hacked en al uwe rommel verwijderd en dan ist had ik maar naar Erik geluisterd

[Gast]

LOL denket nie. Zit zelf in de Security , staat Stateful Inspection FW op mijnen ADSL... Laat die script kiddies maar proberen ...

[Erik]

guest

kick there ass guest !!!!! i hate scriptkiddies wannabe hackers

[NuKeM]

guest

kick there ass guest !!!! i hate scriptkiddies wannabe hackers

Bijna elke goeie hacker is ooit wel scriptkiddie geweest denk ik
Tis iets waar de meesten uitgroeien (sommige niet).

[The Oddity]

guest

kick there ass guest !!!! i hate scriptkiddies wannabe hackers

Bijna elke goeie hacker is ooit wel scriptkiddie geweest denk ik
Tis iets waar de meesten uitgroeien (sommige niet).

Idd klein beginnen en grandioos eindigen

Van die scriptkiddies niet te veel aantrekken, laat ze doen, ze irriteren mij ook, maar beste manier is hier geen gehoor aan geven. wanneer ze lang genoeg ergens niet binnen geraken, zullen ze het snel opgeven. Btw firewallke installeren en tis gedaan met de scriptkiddies.

[deej]

Guest aka Deej (vergeten in te loggen dom kieken da'k ben )

Anyway, een echte hacker (en zo is de wereld er maar een paar rijk), kan perfect rond IDS'en, FW's en alle andere dingen heen. Maar dat zijn tools van bedrijfsnetwerken. Een home user is van geen tel voor een echte hacker. En ja een simpele FW (of router die geen inkomende connecties toelaat en uw adres NAT) is doorgaans al voldoende.

Nu heb ik nog een leuke tip voor de echten onder ons ***************


Edited by The Oddity
Deej, mooie tip, maar tegen de rulez van het forum. Wat je post kan aangewend worden voor illegale zaken en die zijn niet toegelaten op het forum. Dit zal nog beter gedefinieerd worden op het nieuwe forum met disclaimer. Of je er nu een disclaimer regeltje bij zet of niet. Kan niet!Sorry.

[The Oddity]

Deej_1977,

idd er zijn slechts een tiental echt goede hackers die overal omheen kunnen, maar onderschat niemand zou ik zo zeggen!
het is niet omdat dat bedrijfstools zijn dat die enkel in bedrijven te vinden zijn. Het internet herbergt alles dus ook die software. Iedereen kan daar dus zonder probleem aan geraken.

Dat inloggen kan je verhelpen door auto-login: moet dan wel cookie accepten.

Over de edit van de post sorry maar iedereen moet zich aan de regels houden. geen post betreffende illegale zaken.
Voor de anderen: Deej gaf een methode -of ze werkt of niet- om een security te bypassen. Die methode is dus verwijderd!

[deej]

Ahum point taken .

Ter mijner verdediging: mijn tip was zo complex dat er niet veel onder ons dit zouden kunnen (ik ook nie trouwens), maar allé it won't happen again.

Nu als je consequent bent haal je die UDP 500 tip voor VPN's er ook uit want da's ook tegen de regels en veel simpeler voor iedereen toe te passen ('t zit ingebakken in elke deftige VPN client ).

[All Your Base]

Natuurlijk kunnen tips om te hacken ook andersom gebruikt worden he, om jezelf juist extra te beveiligen, 't is maar hoe je het bekijkt, en denk maar aan al die hackersboeken legaal te koop in elke boekenwinkel...

[The Oddity]

No problem Deej,

Ja die tip zouden we er ook moeten uithalen dan, maar als we zo de lijn doortrekken moeten we alle posts die nog maar verband houden met Kazaa, emule ed ook wissen en dat is niet de bedoeling. Er is hier reeds meerdere malen gezegd dat dit VPN gebeuren in strijd is met de contract voorwaarden van Skynet. Dus lijkt ons dit voldoende. Niet iedereen trouwens zal hier zomaar een VPN opzetten.
Die tip van jou ivm hacken kan ook verzacht worden door hetgeen All your Base zegt, maar zoals de regels zeggen hebben wij ons een beleid voorgenomen dergelijke zaken niet te tolereren op het forum. In de nieuwe rules zal dit nog duidelijker gedefinieert worden. Posts ivm kazaa kunnen wel indien het btreffende de werking van het programma gaat. Extreem illegale stuff ivm kazaa zal ook gewijzigd worden.

Het is zeer moeilijk om hieromtrent een beleid op te stellen, daar een lijn in te trekken en die dan toe te passen met verschillende mods. Indien we ons perfect volgens de wetgeving zouden moeten gedragen (vb. niet delen van adsl met een GO) en alles moeten deleten wat illegaal is dan zou dit een zeer saai forum worden en dat is zeker niet de bedoeling. We hebben dus onze eigen regels opgesteld en daar dienen de gebruikers zich aan te houden.

Zoals All Your Base zegt kan je die tips ivm hacken ook gebruiken als test van je beveiliging, maar niet iedereen ziet het zo, daarom hebben we die verwijderd. Idd de tip was vrij complex maarja, iedereen kan op dit forum eh, zowel mensen met goede bedoeling als met slechte bedoeling.

Still welcome on the board Deej! Just respect the rules.

[deej]

Zeg Oddity ik heb me nu al suf gesurfd naar die contractvoorwaarden waarin VPN wordt verboden maar vind dat dus echt nergens... Waar staat dat, heb je daar een link voor?

[Erik]

lees de kleine letterkes maar eens van uw contract met skynet op adsl go (en plus) moogt ge nix geen servers geen vpn mee adsl plus mag je wel meer as één pc aansluiten misschien kude hier meer lezen ........

http://selfcare.skynet.be/index.html?l1 ... ns&l4=adsl

[The Oddity]

Deej,

gelijk Erik zegt mag je volgende zaken niet:
- servers draaien via een Adsl Go of Plus
- Adsl delen over een netwerk met een Adsl Go
- VPN connecties maken met een Adsl Go of Plus

Dit stond zeker in de oude contract voorwaarden. Nu dat jij, Deej, daar een omerking over maakt ben ik deze contract voorwaarden gaan opzoeken op:

Algemeen: klik hier
Specifiek Adsl Go & Plus: klik hier

Deze voorwaarden zijn duidelijk veranderd na het invoeren van de limieten en het gebruik van de Volume Packs.
Hierin staat duidelijk dat je geen adsl go mag delen op een netwerk, maar dit is zéér pover uitgeled en kan betwist worden. De open-relay servers staan dan ook beschreven en dat is het. In het algemeen over het draaien van severs wordt niet gerept en het maken van VPN connecties ook niet.
Ik heb het dus nog niet in de nieuwe voorwaarden van Skynet gevonden. Ik heb Skynet reeds gemailed of daar iets gewijzigd is betreffende VPN en servers-appz. Indien dit nog steeds niet toegelaten is, heb ik hen gevraagd waar dit gedifinieerd staat. Wanneer ik hier antwoord op krijg zal ik dit zeker post.
Dat je geen VPN mag draaien hebben ze alleszinds in der tijd besloten want ze hebben dan ook poort 138 139 geblocked. Dat had hier oa mee te maken. Zij hebben dat wel gedaan onder de noemer van "beveiliging" (cfr HotNews)

[deej]

Wel ja wat je nu allemaal noemt had ik dus ook gedaan en vond er dus net als jij niks van terug (behalve 1 IP of 4 IP dinges).

Het zou ook raar zijn dat ze VPN blokkeren want vele bedrijven komen dan 'in de kaka' voor hun thuiswerkers. En gezien het groot aantal klanten op ADSL en meer en meer bedrijven die voor hun werknemers breedband gaan betalen zou het commerciëel dom zijn VPN te verbieden...

Bovendien kan Belgacom zelf niks verbieden (in theorie) want ADSL is maar het connectiemedium. Het is je provider (Skynet, Wanadoo, EasyNet...) die de IP connectiviteit levert en dus de TCP diensten kan blokken of niet. Heb mijn contract van EDPNet nog maar eens doorgenomen en ook daar niks van te vinden, buiten dan 1 PC erachter uiteraard...

Ben benieuwd hoe dit gaat uitdraaien, we wachten op het antwoord van Skynet/BGC!

[The Oddity]

Welja, bedrijven komen daar niet mee in de problemen want die nemen normaal geen adsl go of plus lijntje. Zij dienen pro, premium of office te nemen. Waar VPN connecties wel mogen. Ik heb nooit gezegd dat dit van BGC afhangt. Dit is volledig aan de kant van de ISP dit geval Skynet. (opm: Skynet en BGC zijn bezig 1 en hetzelfde bedrijf aan het worden!!)

Om standaard met Windows VPN connecties te maken heb je poort 138, 139 nodig, en deze worden door Skynet geblocked - omwille van veiligheidsredenen -.

Met meer profesionelere software kan je die poort settings wijzigen zoals jij reeds hoger vertelde.

Ma soit, voor zover ik het mij herinner mag het niet, heb dat eens gelezen op 1 of andere page van Skynet, die ik nu dus niet meer vind, en ik meen dat ik Flameboy op de Skynetfora dit reeds zien posten heb dat dit niet toegestaan is. Dusja, we wachten op info van Skynet. Zullen zien wat ze zeggen.

[deej]

Welja, bedrijven komen daar niet mee in de problemen want die nemen normaal geen adsl go of plus lijntje. Zij dienen pro, premium of office te nemen. Waar VPN connecties wel mogen.

Voor branch offices geef ik je gelijk, voor home users niet hoor. Wij hebben al een hoop projecten uitgerold waarbij bedrijven de ADSL Go van hun werknemer betalen om van thuis uit te werken...

(opm: Skynet en BGC zijn bezig 1 en hetzelfde bedrijf aan het worden!!)

En idd Belgacom / Skynet / Proximus, allemaal hetzelfde bedrijf. Ik geloof dat intern bij BGC Proximus zelfs al Belgacom Mobile wordt genoemd.

[All Your Base]

Er bestaan ook speciale teleworking formules voor ADSL he...

[The Oddity]

Hmm die Belgacom Mobile, dacht dat dat ni helemaal gelijk is aan Proximus ma soit, we gaan ni muggeziften eh.
Idd, heb dat op de site van TurboLine onlangs gezien die Teleworking.

Heb toch nog altijd geen reply van Skynet gehad

[All Your Base]

Poorten 137-139 zijn poorten voor NetBIOS, niet voor VPN. VPN clienten gebruiken normaal gezien poorten > 1024. Of het officieel mag weet ik niet, maar er wordt alleszinds geen ondersteuning voor gegeven. De speciale Teleworking abonnementen die Belgacom aanbiedt hebben zelfs niets met Skynet te maken: je logt in met een speciale login (username@COMPANYNAME) en je wordt direct naar het bedrijfsnetwerk gerouteerd.

[The Oddity]

Hmm, All your base, om een standaard VPN connectie te maken via Windows 2000 vb, worden daar poorten 138 en/of 139 niet voor gebruikt?
Voor delen van bestanden ofzo over het netwerk, kan mis zijn zenne, maar staat mij daar zo iets van voor. (dus wordt dat niet gebruikt tijdens een VPN connectie?)

Hmm ik vrees ervoor dat het mag bij Skynet, al heb ik nog steeds geen mailtje ontvangen op mijn vraag.

[filter]

He, belong to us, leid ik hier correct uit af dat ze voor teleworking paswoord authenticatie gebruiken?
En deej, wat vind je hiervan:
VPN - 1 SecureClient(checkpoint) connectie naar een SecureFirewall, (eigen protocol, alle adapters worden ingekapselt, komt erop neer dat je nog maar 1 connectie kan maken die met de ip van de Firewall). Bij de eerste connectie maar voor je op het intranet bent wordt een topologie gedownload(na l/p controle), gevolgd door rebooten. (zou eigenlijk graag weten dit inhoudt, zal het morgen eens vragen maar misschien zijn jullie sneller. Wil btw niet de indruk geven dat ik iets van SecureClient ken, men kennis reikt niet verder dan die van de gebruiker (informaticus van wacht dan wel maar toch ) Inloggen via citrix via authentificatie met token zonder challenge. Dit is de enige manier om via adsl op ons netwerk te geraken. De zwakste beveiliging die we hebben is inbellen(alhoewel die zeer dynamische ip's toch een serieuse beveilging geven) met token en challenge. Ter info die token is individueel, aan 1 userid gebonden, via een pin geef je een code in. De firewall geeft een challenge bv 085-158794 tik je in het token, token genereert via algoritme een antwoord 25468-25 dat ongeveer 1 minuut bruikbaar is. De nieuwere tokens hebben die challenge niet meer, gewoon pin gevolgd door code.
Er is ook actievere beveiliging.
Echte hackers gebruiken helaas andere wegen, in de sterkste schakel zijn ze niet geintresseerd.

[deej]

Hehe filter, heb je die bij ons gekocht ?

't Lijkt me heel secure in ieder geval. De SecureClient van Check Point is de VPN client met dezelfde stateful inspection technologie als die van de 'echte' firewall, je kan er dus remote eender welke policy doorpushen, alsof de mensen achter je corporate firewall zitten. Straf spul (en duur ).

CP werkt inderdaad zo dat je de topologie van je eigen netwerk moet downloaden, anders geraakt er niets door de tunnel. Alleen dat rebooten lijkt me straffe kost. Die encapsulatie waar jij het over hebt is een zogenaamde 'virtual adapter' (ook wel Office Mode genoemd) die een netwerkadapter emuleert op de moment dat hij een VPN maakt. Dit zorgt ervoor dat je lokaal niks meer kan doen en alles door de tunnel wordt gejaagd. Dus ook lokale pc's op je eigen netwerkje zijn niet meer toegankelijk, als je dit zou hebben uiteraard.

Wij gebruiken intern ook SecureClient met Tokens (Vasco Digipass). Alleen wordt bij ons 'split tunneling' toegelaten voor uitgaande connecties vanop de client pc, zoals http verkeer (dus geen inkomende maw U-turn attacks worden zeer moeilijk, tenzij in het geval van trojans - maar da's een ander verhaal).

Dat dat inbellen zwak is zou ik niet zeggen hoor: een hacker moet dan al in de centrale van BGC zitten om je connectie te kapen. En dankzij de dynamische paswoorden van de tokens wzijn onderschepte paswoorden ook maar 30 seconden of zoiets bruikbaar want die worden berekent op basis van de servertijd.

Die Citrix-toegang van jullie, is dat eigenlijk nFuse met SSL of Secure ICA? Voor zij die Citrix niet kennen, surf eens naar http://www.citrix.com, het is zeer interessante technologie die weinig bandbreedte vraagt. Wij hebben momenteel met Mobistar een test lopen waarbij een Citrix client op een iPaq met GPRS modem draait en je zo van overal kan werken . Zeeeeeeer cool maar voorlopig is de beschikbare bandbreedte van GPRS nog net niet voldoende, je moet al bijna onder de mast zelf gaan staan voor optimale connecties (zoom zoom en je haar staat recht ).

En je hebt gelijk met je laatste statement: je beveiliging is maar zo zwak als de zwakste schakel, en laat het nu net die zijn die hackers eerst proberen te vinden...

All your base:

Wat jij bedoelt zijn inderdaad ADSL Go's (of Pro's) waarbij al je verkeer over het BILAN netwerk van Belgacom (in het vakjargon de 'cloud' genoemd ) gaat naar je centrale site die ook op BILAN moet zitten uiteraard (en als je dus wil surfen bv. alles door de pijp centraal moet). Dit is echter ook niet zo secure want je gegevens gaan nog altijd ongeëncrypteerd over dezelfde lijn wanneer je aan de BAS (telefooncentrale) komt. Belgacom trekt wel een P.V.C. voor jouw bedrijf (een private virtual circuit) maar da's nog net iets minder secure dan een VPN die geencrypteerd is. Doorgaans zijn die teleworking dingen ook duurder heb ik begrepen dan gewoon VPN over het internet.

[filter]

De ica client. Het rebooten was fout, dat is verdomd goed opgemerkt.
Het is vlak erna, wij cancellen op this site contains policy servers.
Vraagjes nog, een collega van mij heeft thuis windows 98, het is hem niet gelukt. Ligt dat aan hem? De client software kan iedereen downloaden, niet?

[deej]

Iedereen met een geldige Software Subscription toch ja... Heb eens gekeken, je kan perfect SecureClient NG FP3 downloaden voor 98/ME (7.4 MB)... Misschien moet ie ook eens 'force UDP encapsulation opzetten' en in de userc.c file de setting 'ChangeUDPsport' op true zetten, dat kan vaak helpen (je krijgt hier free support Filter, profiteer ervan ).

[Erik]

natuurlijk free wat anders ?

[deej]

ik wou maar zeggen dat je normaliter voor een maintenance contract moet betalen bij integratoren om technical support te krijgen, niet op dit forum uiteraard

[The Oddity]

Alle info die hier komt is natuurlijk free.
Je mag hierin natuurlijk niet te ver gaan zodat vb. de aanbieders van dergelijke onderhoudscontracten hierover gaan klagen, dat op dit forum veel te technische info komt, dat hen schade doet,....

Maar als je hierin niet overdrijft zou ik daar niet echt een probleem in zien.

anderzijds: probeer de forums niet te technisch te overspoelen met dergelijke zaken, ik zelf heb er geen probleem mee, maar deze zeer technisch specifieke posts kunnen beginnelingen ivm Skynet afschrikken.
Ik denk dat voor dergelijke specifieke technische zaken ivm security ook wel voldoende forums bestaan.
Versta mij niet verkeerd! Heb niks tegen deze post, maar breidt het niet teé veel uit. Moet verstaanbaar blijven voor iedereen.

[deej]

of je zou bv een subforum kunnen maken 'Supertechnische Nerdspeak' . allen daarheen!

[The Oddity]

ja dat zouden we kunnen doen, maar aangezien voorlopig slechts enkel filter en jij hier echt zo héél technisch op in gaan is dit niet echt de moeite. Moeten daar een groot aantal gebruikers daar echt nood aan hebben dan kunnen we daar zo wel ietsje voor doen

[Flamethrower]

Bovendien kan Belgacom zelf niks verbieden (in theorie) want ADSL is maar het connectiemedium. Het is je provider (Skynet, Wanadoo, EasyNet...) die de IP connectiviteit levert en dus de TCP diensten kan blokken of niet

Idd , BGC ADSL heeft hier in principe geen zaken mee.
Er bestaat wel zoiets als BGC BiLAN die netwerken,vpn, homeworking enz aanbieden ... ma da is dan ook weer een ander zaak he

Greetz

Flamethrower

----nog 11 dagen en ik heb ook adsl----

[The Oddity]

Ik heb gezegd dat ik jullie op de hoogte ging houden ivm official response van Skynet ivm VPN. Ik en Erik ons basseerden op 'oude' verkoopsvoorwaarden die zeiden dat VPN met een adsl go&plus niet is toegelaten. Wel naa een maandje wachten:
(request gestuurd 15/12/2002- response: 10/01/2003 grr)

Wij hebben uw aanvraag omtrent VPN in goede orde ontvangen, waarvoor dank.

U spreekt over de moglijkheid dit uit te oefenen met een ADSL GO/PLUS account en met een een netwerk.

In uw geval zou dit een ADSL GO of PLUS zijn, maar dit kan zelfs een gratis account of gewoon contract.
Alleszins; in dit geval is het mogelijk en is het toegestaan.

Het mag dus wel, blijkbaar zijn de verkoopsvoorwaarden/contractvoorwaarden redelijk gewijzigd, maar ik moet zeggen ze scheppen redelijk wat onduidelijkheid want er staat niet exact wat wel en niet mag... anyway we zijn er dus aan uit: het mag via een gewoon adsl abo.

Ik ga ze nog eens ambeteren en hen eens een deftige omschrijving van de contractvoorwaarden vragen... (aantal pc's, routers,....) dan zijn we weer up to date