8
VPN Zywall USG100 IPSEC VPN Routing in zwei Netze
Hallo zusammen
Envirement:
Zywall USG100
Netzwerk1, LAN1: 10.195.37.0/24
Netzwerk2, DMZ: 10.195.40.0/24
Mit dem VPN User kann ich erfolgreich ins LAN1 connecten. Leider ist es mir immer noch nicht gelungen
mit diesem VPN User ins DMZ zuzugreifen. Was muss ich alles einstellen, dass dies gemacht werden kann?
Danke
adminst
Envirement:
Zywall USG100
Netzwerk1, LAN1: 10.195.37.0/24
Netzwerk2, DMZ: 10.195.40.0/24
Mit dem VPN User kann ich erfolgreich ins LAN1 connecten. Leider ist es mir immer noch nicht gelungen
mit diesem VPN User ins DMZ zuzugreifen. Was muss ich alles einstellen, dass dies gemacht werden kann?
Danke
adminst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188011
Url: https://administrator.de/contentid/188011
Printed on: April 24, 2024 at 17:04 o'clock
8 Comments
Latest comment
Eine Firewall Regel von VPN zu DMZ.
Dann halt noch den benötigten Dienst oder Service.
Bzw. wenn alles erlaubt sein sollte - Service auf ANY setzen.
Dann halt noch den benötigten Dienst oder Service.
Bzw. wenn alles erlaubt sein sollte - Service auf ANY setzen.
Worüber sprechen wir überhaupt? Client-to-Site?
Welches VPN-Protokoll: pures IPSec oder L2TPoverIPSec?
Welcher IPSec-Client wird ggf. verwendet?
Wie ist der Firmwarestand der USG?
Wie ist die Phase2-VPN-Policy definiert, welche Policyrouten und welche Firewallregeln bestehen?
Welches VPN-Protokoll: pures IPSec oder L2TPoverIPSec?
Welcher IPSec-Client wird ggf. verwendet?
Wie ist der Firmwarestand der USG?
Wie ist die Phase2-VPN-Policy definiert, welche Policyrouten und welche Firewallregeln bestehen?
Hallo zusammen
Client to Site
pures IPSec
The GreenBow IPSEC VPN Client
Firmwarestand: 3.00(AQQ.2) / 1.11 / 2012-05-03 19:48:31
Phase2-VPN-Policy:
SA-Lebensdauer: 86400
Aktives Protokoll: ESP
Verkapselung: Tunnel
Vorschlag: AES256 SHA1
PFS: DH5
Firewall: IPSEC_VPN - DMZ any + WAN - DMZ any - LAN2 - DMZ any
Gruss
admins
Client to Site
pures IPSec
The GreenBow IPSEC VPN Client
Firmwarestand: 3.00(AQQ.2) / 1.11 / 2012-05-03 19:48:31
Phase2-VPN-Policy:
SA-Lebensdauer: 86400
Aktives Protokoll: ESP
Verkapselung: Tunnel
Vorschlag: AES256 SHA1
PFS: DH5
Firewall: IPSEC_VPN - DMZ any + WAN - DMZ any - LAN2 - DMZ any
Gruss
admins
Um welche Ports handelt es sich?
Hast du auch NAT konfiguriert?
Hast du auch NAT konfiguriert?
Ähm. Wozu?
Zitat von @adminst:
Phase2-VPN-Policy:
SA-Lebensdauer: 86400
Aktives Protokoll: ESP
Verkapselung: Tunnel
Vorschlag: AES256 SHA1
PFS: DH5
Phase2-VPN-Policy:
SA-Lebensdauer: 86400
Aktives Protokoll: ESP
Verkapselung: Tunnel
Vorschlag: AES256 SHA1
PFS: DH5
ok, ich hab mich etwas ungenau ausgedrückt. Wichtig war mir eigentlich der Eintrag unter "local Policy" bzw. "lokale Richtlinie". Hier verwendest Du momentan sicherlich ein Adressobjekt, welches das LAN1-Subnetz erfasst. Verwende hier stattdessen eine Range 10.195.37.1-10.195.40.255. Selbiges musst Du selbstverständlich auch im VPN-Client als Remote-Netz einstellen.
Firewall: ... WAN - DMZ any
Würde ich so eng wie möglich fassen - falls überhaupt erforderlich. Mit der hiesigen Fragestellung hat das aber nichts zu tun.
Hallo zusammen
Ich versuchte es jetzt mit der Range Einstellung.
Leider bekomme ich immer folgende Fehlermeldung:
20120715 18:13:47:076 Default (SA ***) RECV Informational [HASH] [NOTIFY] with NO_PROPOSAL_CHOSEN error
Dabei stimmen die Schlüssel Einstellungen überein.
Weiss jemand wie ich das korrigieren kann?
Danke
adminst
Ich versuchte es jetzt mit der Range Einstellung.
Leider bekomme ich immer folgende Fehlermeldung:
20120715 18:13:47:076 Default (SA ***) RECV Informational [HASH] [NOTIFY] with NO_PROPOSAL_CHOSEN error
Dabei stimmen die Schlüssel Einstellungen überein.
Weiss jemand wie ich das korrigieren kann?
Danke
adminst
Zitat von @sk:
Verwende hier stattdessen eine Range 10.195.37.1-10.195.40.255.
Selbiges musst Du selbstverständlich auch im VPN-Client als Remote-Netz einstellen.
Verwende hier stattdessen eine Range 10.195.37.1-10.195.40.255.
Selbiges musst Du selbstverständlich auch im VPN-Client als Remote-Netz einstellen.
Auf der Zywall sind die Adressobjekte für lokale und Remote-Richtlinie vertauscht.
