Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site 2 Site VPN mit ZyWall USG 200

Mitglied: jojo0411

jojo0411 (Level 2) - Jetzt verbinden

15.10.2011 um 17:49 Uhr, 11430 Aufrufe, 9 Kommentare

Hallo Leute,

Ich soll für einen Kunden mit 2 Zywalls eine Site2Site Verbindung aufbauen:

1. Subnet: 10.1.1.0 / 24
2. Subnet: 192.168.0.0 / 24

Der Tunnel ist soweit fertig und wie in den Videos angelegt:

http://www.zyxel.de/web/productpages.ph ... DPA2007006

Die Policy Route die am Ende beschrieben wird habe ich ebenfalls angelegt.

Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:

Packets received => Destination host unreachable

Von der anderen Seite aus bekomme ich die Antwort:

Request Timeout

Es sieht also so aus als wäre im Routing noch etwas falsch, anbei die Konfiguration von einer Seite (andere Seite ist genau gegengleich):


Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz

Alles andere ist Standard.

Kann mir jemand von euch weiterhelfen?

nice greetz jojo

PS: Auf dem Firewall Log der einen Remote Seite sehe ich wie die Pings geforwarded werden, auf der anderen Seite sehe ich keinen Eintrag (Weder Block noch Forward)
Mitglied: sk
15.10.2011 um 20:41 Uhr
Zitat von jojo0411:
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable

Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout

Häufig existiert auf der anderen Seite ein Interface im selben IP-Netz, weshalb der Traffic dort lokal zugestellt wird. Dann kommt es genau zu diesem Verhalten.
Es kann jedoch auch andere Ursachen haben. Am einfachsten wäre es, Du postest hier die Konfigs (PSKs etc. natürlich herauseditieren).


Zitat von jojo0411:
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz

Dieses Fragment einer Policy-Route ist schonmal Schrott. Warum WAN1 als incoming Interface?


Gruß
sk
Bitte warten ..
Mitglied: affabanana
16.10.2011 um 12:08 Uhr
Hallo Du

Ich habe hier folgendes Eingetragen

Policy Routing (Damit die Firewall weiss wohin die Packete müssen)
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2



Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..

Gruass affabanana

PS: @..sk.. Das ist weil dies Zonen basiert ist. Hier könnte man aber das Einstellen:

Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Bitte warten ..
Mitglied: sk
16.10.2011 um 14:11 Uhr
Zitat von affabanana:
PS: @..sk.. Das ist weil dies Zonen basiert ist.

Ich kenne die USGs in- und auswendig!


Zitat von affabanana:
Policy Routing (Damit die Firewall weiss wohin die Packete müssen)

Unter gewissen Voraussetzungen benötigt die USG gar keine Policy-Route, um zu wissen, dass der Traffic in den VPN-Tunnel geschoben werden muss. Da das Thema aber recht komplex ist, wurde im Video zur Sicherheit die Policy-Route aufgeführt.


Zitat von affabanana:
Ich habe hier folgendes Eingetragen
...
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2

Für sich betrachtet nicht falsch. Ohne jedoch den Rest der Konfig zu kennen, kann man nicht beurteilen, ob sie überhaupt zur Anwendung käme.


Zitat von affabanana:
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet

Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im Auslieferungszustand wäre es ohnehin erlaubt.


Zitat von affabanana:
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet

Warum nach WAN1? Wenn überhaupt, dann nach LAN1!


Zitat von affabanana:
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..

Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).


Zitat von affabanana:
Hier könnte man aber das Einstellen:

Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2

Könnte man, aber welches Sinn sollte dies haben?


@jojo0411: Poste einfach den (zensierten) Inhalt der Konfig-Files, dann ist das in 2 Minuten erledigt!
Bitte warten ..
Mitglied: affabanana
16.10.2011 um 20:09 Uhr
Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im

Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).

Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.
Bitte warten ..
Mitglied: jojo0411
17.10.2011 um 10:49 Uhr
Hallo Leute,

Erstmal ein riesen Danke für eure Bemühungen, ich weiss das zu schätzen.

Ich habe jetzt einmal alles ausprobiert was ihr empfohlen habt, leider hat es nicht gefruchtet. Die Pings gehen immer noch nicht durch.

Welchen Teil der Konfig soll ich posten? Oder einfach alles?

nice greetz jojo
Bitte warten ..
Mitglied: jojo0411
17.10.2011 um 12:31 Uhr
Hallo Leute,

Ich denke jetzt ist es mir etwas klarer geworden, nachdem der Tunnel erfolgreich aufgebaut wurde (von einer Firewall) habe ich nicht mir kontrolliert ob es auch von der anderen seite aus funktioniert.

Dort wird die Verbindung nicht angezeigt und wenn ich den Button "connect" anklicke dann kommt ein Timeout Fehler.

Wie kann ein VPN Tunnel auf einer Seite funktionieren und auf der anderen Seite nicht?

Im Log File steht nur (IKE Negotiation is in progress)....
Bitte warten ..
Mitglied: sk
17.10.2011 um 21:03 Uhr
Zitat von affabanana:
Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!

Das Default-Regelwerk der USGs folgt (leider) der Prämisse "alles erlaubt, was nicht explizit verboten ist". Per Default voll offen ist sie dennoch nicht, da per Default Regeln existieren, die z.B. den Zugriff vom WAN verbieten.
Selbstverständlich ist es trotzdem dringend anzuraten, diese Logik zu drehen (was problemlos möglich ist).


Zitat von affabanana:
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.

Das sehe ich auch so. Nur: Abgesehen davon, dass wir momentan noch nicht wissen, ob jojo das Regelwerk so umkonfiguriert hat, tangiert dies doch in keinster Weise meine Kritik an Deiner Regel. Du hast geschrieben, dass man von der IPSec-VPN-Zone zur Zywall hin sämtlichen Traffic zulassen muss, damit der Tunnel überhaupt aufgebaut(!) werden kann. Und diese Aussage ist nunmal schlicht und ergreifend falsch! Dein Bemühen um Hilfestellung in allen Ehren, aber das Geschriebene sollte schon stimmen - sonst verwirrt und schadet es mehr, als es nützt.


Zitat von jojo0411:
Welchen Teil der Konfig soll ich posten? Oder einfach alles?

Alles. Sonst besteht die Gefahr, dass Du ungewollt relevante Teile entfernst. Benutzernamen, Kennwörter, PSKs etc. selbstverständlich mit Dummy-Zeichen überschreiben! Wenn Du die Konfigs nicht hier öffentlich einstellen möchtest, kannst Du mir diese auch per PN schicken.


Gruß
Steffen
Bitte warten ..
Mitglied: jojo0411
27.12.2011 um 09:56 Uhr
Hallo Leute,

Nach vielen Versuchen, Firmware Upgrade etc. war es eine NAT Regel die Schuld war das der Tunnel nicht aufgebaut werden konnte.

Derjenige der die Firewall konfiguriert hatte, hat die Offizielle IP direkt auf den Server weitergeleitet mit allen Services und somit konnte der Tunnel nicht aufgbaut werden.

Der Zyxel Support hat mir letztendlich geholfen das Problem zu lösen.

nice greetz jojo
Bitte warten ..
Mitglied: sk
27.12.2011 um 12:37 Uhr
Hallo jojo,

sag nicht, Du hast bis jetzt den Fehler gesucht. Auf diese Ursache hatte ich Dich bereits am 18.10.2011 hingewiesen.
Ich zitiere aus meiner PN:
"... tödlich ist folgender V-Server: ip virtual-server WAN_to_stpoXXXX interface wan1 original-ip IP_wan map-to stpoXXXX map-type any nat-loopback
Dies führt dazu, dass auch UDP/500 an stpoXXXX weitergeleitet wird - statt bei der Zywall einzutreffen. Dadurch ist kein IPSec-Tunnel gegen die Zywall zu etablieren."

Ein Evergreen.

Trotzdem danke für die Rückmeldung! Leider wird das immer gern "vergessen".

Gruß
Steffen
Bitte warten ..
Ähnliche Inhalte
Firewall
Zywall USGs Updaten
Frage von geocastFirewall15 Kommentare

Hallo Zusammen Ich bin gerade am Firewalls evaluieren. Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) ...

Router & Routing
Kein Internet in der DMZ ZyWALL USG 110
gelöst Frage von letstryandfindoutRouter & Routing18 Kommentare

Hallo zusammen, irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion: 1x USG ...

Netzwerkprotokolle

Site 2 Site VPN - Server erreichbar, Webseite nicht

gelöst Frage von 1410640014Netzwerkprotokolle5 Kommentare

Hallo vielleicht ne blöde Frage, aber wie prüfe ich einen Site 2 Site Tunnel auf ner Sophos UTM220? Szenario: ...

Firewall

Zyxel Zywall USG 50 Ipsec und RDP

Frage von ckuechlerFirewall3 Kommentare

Hallo Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 4 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 4 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 5 StundenHardware8 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 5 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL14 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...