thomas866
Goto Top

Client to Gateway Verbindung Cisco RV 042 hinter FritzBox zur Trennung "öffentliches" und "sicheres Netz"

Liebe Administratoren,

vielleicht kann mir ja jemand bei meinem Probem helfen.
Ich möchte gerne für dezentrale Standorte ein "ungesichertes Netz (für Dienstleister bzw. Drittanbieter, Port-Weiterleitung muss möglich sein) " und ein "sicheres Netz" (Firmenintern) aufbauen.
Das ungesicherte Netz stellt eine FritzBox direkt am DSL Anschluss dar und dahinter soll ein Cisco RV042 hängen der das sichere Netz davon abtrennt.
Unsere Mitarbeiter müssen mobil eine Verbindung zum sicheren Netz also per VPN aufbauen.
Ich habe mir einen Cisco RV042 besorgt und diesen hinter eine FritzBox gehangen um das ganze zu testen.
Ich bekomme jedoch keine VPN Verbindung via Client zusammen egal ob aus dem FritzBox Netz oder extern.
Bis zum RV042 komm ich schon mal also scheint die Porweiterleitung zu funktionieren (da der Cisco logt)
Ich habe auf dem Cisco eine Client to Gateway Verbindung eingerichtet (später sollen mal bis zu 30MA zugreifen bei geringer Gleichzeitigkeit)
NAT Traversal ist aktiviert, local group setup auf "ip range" (ich nehme an hier gibt man den ip Adressbereich ein der für die clients vergeben werden soll)
ansonsten remote client setup "fqdn".
Ich habe bereits mit dem original cisco client versucht eine Verbindung aufzubauen der kommt nicht mal soweit, dass der RV042 etwas logt.
Mit dem Shew Soft VPN Client komme ich bis zu folgendem log-Eintrag :
(grpips0)[18] 192.168.179.0/27=== ...80.187.xxx.xxx===?: [Tunnel Disconnected] instance with peer 80.187.xxx.xxx {isakmp=#0/ipsec=#0}

Für eine kleine Hilfestellung wäre ich sehr dankbar.

Content-Key: 303346

Url: https://administrator.de/contentid/303346

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 108012
108012 30.04.2016 um 11:00:46 Uhr
Goto Top
Hallo,

ich würde vorher gerne etwas zu Deinem Aufbau sagen, klar kann man vieles immer so machen wie man
möchte, ob es einem nun nur Sinnvoll erscheint oder auch sogar ist, ist aber auch wirklich nicht immer
die Sache von der er spricht oder die erreicht werden soll, kurz um ich halte Deinen Aufbau so herum für
nicht sonderlich ratsam oder bzw. zielführend.

In Deinem Fall wäre es ratsamer nur einer Firewall zu benutzen mit der man dann aber drei voneinander
getrennte Netzwerke bzw. Zonen aufbauen kann, die dann aber auch so wie Du es möchtest benutzt werden
können und zusätzlich noch andere Dinge erledigt bzw. noch andere Funktionen bereitgestellt oder benutzt
werden.

Ich gehe hier mal auf die eine oder andere Sache ein, die Du noch nicht angesprochen hast, die aber sicherlich
bedenkenswert oder sachlich genommen wünschenswert wäre. Squid & SquidGuard, Snort und pfBlockerNG.

Ich würde an Deiner stelle ein reines Modem vor eine Firewall setzen wollen und dann zwei DMZ zonen einrichten. Die eine ist dann für die VPN Benutzer und die andere hat geöffnete Ports und ist durch Squid
zum Internet hin getrennt und wird zusätzlich durch Snort überwacht. Mit einer pfSense, OPNSense, IPFire
oder anderen Firewall kann man das sicherlich besser erledigen als mit einem AVM FB Router der ja nun
sagen wir mal nur begrenzte Mittel dazu zur Verfügung stellt.

Man hat dann einen Port für das WAN Interface für die DMZ 1 und einen Port für die DMZ 2 und einen für
das LAN Interface, das ist dann überschaubarer und Benutzerfreundlicher und vor allem anderen noch
sicherer als Deine eigenen Lösung. Denn den Cisco RV Router erst dazu benutzen zu wollen das LAN zu
schützen und dann dort auch wieder Ports zu öffnen ist irgend wie, wie alle Fenster abschließen und dann
die Türen sperrangelweit offen stehen zu lassen, so das jeder der nur will oder sogar kann in das LAN kann.

Hinsichtlich der VPN Kapazität ist es weder bei der AVM FB noch bei dem Cisco RV Router so das
unbegrenzt VPN Verbindungen aufgebaut werden können und dann auch nur mit mäßigem Durchsatz.
Du solltest Dir das einmal genauer überlegen ob Du das damit wirklich realisieren willst oder ob es
nicht an der Zeit wäre das ganze sicherer zu gestalten alleine der Kundenanbindung wegen, denn
wenn bei Euch erst einmal das halbe Internet ein und aus geht, dann ist es nicht lange hin bis man
auch bei Euren Kunden und Geschäftspartnern ein und aus geht bzw. anklopft.

Man kann sicherlich auch Firewalls von der Stange kaufen, gar keine Frage, nur die wollen dann auch alle
mit Lizenzen gefüttert werden und oder kosten ein vielfaches von einer pfSense, Untangle UTM oder
Sophos UTM Lösung. Sicherlich kann man so etwas auch mittels einer Routersoftware realisieren
wie zum Beispiel DD-WRT oder OpenWRT. Vyatta und ClearOS wären dann noch auf der Softwareseite
zu benennen mit denen so etwas recht gut realisierbar ist.

Fertiggeräte: (Firewall & Router)
- Lancom (mit und ohne integriertem Modem)
- DrayTek Vigor Router
- Sophos UTM
- Untangle UTM
- Netgear UTM (9S, 25, 50, 150)

Eigenbau Geräte: (Router & Firewalls)
- OpenWRT auf SolidRun ClearFog Base oder Pro Board
- pfSense auf APU1/2 , Supermicro A1SRi-2x58, Jetway N2930, ASUS Q87T, Gigabyte Q87TN, Gigabyte GA-6LISL
- IPFire auf APU1/2 , Supermicro A1SRi-2x58, Jetway N2930, ASUS Q87T, Gigabyte Q87TN, Gigabyte GA-6LISL
- Untangle UTM auf APU1/2 , Supermicro A1SRi-2x58, Jetway N2930, ASUS Q87T, Gigabyte Q87TN, Gigabyte
GA-6LISL, Supermicro X11SBA-LN4F
- Sophos UTM auf APU1/2 , Supermicro A1SRi-2x58, Jetway N2930, ASUS Q87T, Gigabyte Q87TN, Gigabyte
GA-6LISL, Supermicro X11SBA-LN4F

Modem:
- DrayTek Vigor 130
- ZyXEL VMG1312-BxxA

Gruß
Dobby
Mitglied: aqui
aqui 30.04.2016 um 13:26:07 Uhr
Goto Top
ein "ungesichertes Netz (für Dienstleister bzw. Drittanbieter, Port-Weiterleitung muss möglich sein) " und ein "sicheres Netz" (Firmenintern) aufbauen.
Sinnvoller und richtiger Weg !
Das ungesicherte Netz stellt eine FritzBox direkt am DSL Anschluss dar und dahinter soll ein Cisco RV042 hängen
Warum so umständlich und kompliziert ??
Sinnvoller wäre hier eine kleine Firewall gewesen mit 3 Anschlüssen. WAN, Sicheres LAN, unsicheres LAN.
Da hättest du ein einziges Gerät gehabt, erhebliche Vereinfachung der Handhabung und konfiguration und absolut sicher.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Als Alternative einen Router der VLANs supportet und so hättest du beide LAN Segmente sauber in 2 VLANs getrennt und das gleiche erreicht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

So wäre es am technisch besten und sinnvoll gewesen. Kollege Dobby hat ja ähnlich argumentiert.
Du hast dich für eine umständliche und laienhafte Lösung entschieden. Besser du hättest VOR dem Kauf hier gefragt.
Nun musst du vermutlich mit der Frickellösung leben face-sad
Abgesehen davon ist Port Weiterleitung immer gefährlich, weil so ggf. sicherheitsrelevante Daten vollkommen ungeschützt und für jedermann sichtbar übers Netz gehen.
In einem Formennetz ein NoGo für einen verantwortungsvollen Netzwerker...das aber nur nebenbei.
Besser ist immer eine VPN Lösung.
Ein Feature was die o.a. Firewall mit allen gängigen VPN Protokollen auch erledigt mit 3 Mausklicks Einrichtung im GUI der FW.
Besser du überdenkst dein Konzept nochmal ?!

Zu deinem finalen Problem:
Es ist völlig klar das der RV nichts loggt und auch vom VPN Zugriff nix "sieht" im Syslog !
Die FB ist selber ein aktiver IPsec VPN Router und "denkt" immer die inbound IPsec Pakete sind für sie und forwardet sie deshalb nicht ! Klar also das am RV nichts ankommt !
Du musst zwingend die VPN Funktion (IPsec) in der FB deaktivieren. Dann die klassischen 3 Ports auf die feste WAN IP des RV forwarden:
UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50, nicht TCP UDP !!)
So wird ein Schuh draus.
Wie bereits gesagt..überflüssige Frickelei durch dein unglückliches Router Kaskaden Design. Mit einer zentralen kleinen Firewall würden diese Problematiken gar nicht erst entstehen...!!
Mitglied: tom1stein
tom1stein 10.06.2017 um 09:31:03 Uhr
Goto Top
Der RV042 ist inzwischen recht veraltet (beschränkt auf IPv4), aber ansonsten die richtige Lösung. Er hat Hardwareverschlüsselung und wird daher nicht an mehreren VPN-Verbindungen gleichzeitig scheitern. Und er trennt zwischen WAN, DMZ und Intranet. Leider kann man auch unsichere VPN-Verbindungen einrichten (MS Chap), aber das kann man auch selbst vermeiden.
Aber warum zum Teufel benutzt Du eine FritzBox davor? Als Telefonzentrale? Oder als Modem? Soviel zu den rhetorischen Fragen.