dirmhirn
Goto Top

Firewall Rule für VPN

Wir haben eine Check Point VPN UTM-1 Edge X Firewall. VPN funktioniert nur wenn wir für den Client IP-Bereich eine Firewall ausnahme einrichten.

Hallo

wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).

gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.

Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?

lg Dirm

Content-Key: 114384

Url: https://administrator.de/contentid/114384

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 22.04.2009 um 15:30:37 Uhr
Goto Top
Du hast dir deine Frage doch schon selber beantwortet !!!
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !

Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
Mitglied: Dirmhirn
Dirmhirn 22.04.2009 um 20:22:18 Uhr
Goto Top
hmmm na das SecuRemote ist für die VPN Verbindung selbst. Das brauche ich um die Verbindung zu öffnen.

Das Thema hat sich vorerst erledigt - der Techniker hat uns das ganze als Feature erklärt. Man braucht - freigeschaltene interneIP + Benutzer + Passwort.

Aber zB mit mobilem Internet ist es ja meist nicht möglich die IP zu wählen.
Die Verwendung ist dafür zwar noch nicht geplant, aber das könnte bald kommen und wenn ich dann jeden 2. Tag 10 IP adressen eintragen muss wird das auch fad...

Falls wer das gleiche Gerät hat, würde es mich interessieren wie ihr das macht.

lg Dirm
Mitglied: 51705
51705 22.04.2009 um 21:23:27 Uhr
Goto Top
Hallo Dirm,

ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.

Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).

Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.

Etwa so:

mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz

Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.

Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.

Grüße, Steffen
Mitglied: Dirmhirn
Dirmhirn 30.05.2009 um 10:30:45 Uhr
Goto Top
Die Lösung für das ganze Problem:
- SecureClient statt SecuRemote verwenden
- OfficeMode in der FW aktivieren
- OfficeMode im SecureClient Profil aktivieren
- verbinden face-smile

Der Client bekommt anschließend eine interne IP (std 192.168.254.0/24) und kann ganz ins LAN. Hier kann man auch DNS-Einträge verteilen und DHCP aktivieren.

Die Firewallregeln werden auf die VPN-Clients angewendet, als wären sie im LAN. Man kann aber Regeln erstellen, die Traffic - der über eine OfficeMode Verbindung kommt - überprüfen.

sg Dirm