Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site 2 Site VPN mit ZyWall USG 200

Mitglied: jojo0411

jojo0411 (Level 2) - Jetzt verbinden

15.10.2011 um 17:49 Uhr, 11507 Aufrufe, 9 Kommentare

Hallo Leute,

Ich soll für einen Kunden mit 2 Zywalls eine Site2Site Verbindung aufbauen:

1. Subnet: 10.1.1.0 / 24
2. Subnet: 192.168.0.0 / 24

Der Tunnel ist soweit fertig und wie in den Videos angelegt:

http://www.zyxel.de/web/productpages.ph ... DPA2007006

Die Policy Route die am Ende beschrieben wird habe ich ebenfalls angelegt.

Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:

Packets received => Destination host unreachable

Von der anderen Seite aus bekomme ich die Antwort:

Request Timeout

Es sieht also so aus als wäre im Routing noch etwas falsch, anbei die Konfiguration von einer Seite (andere Seite ist genau gegengleich):


Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz

Alles andere ist Standard.

Kann mir jemand von euch weiterhelfen?

nice greetz jojo

PS: Auf dem Firewall Log der einen Remote Seite sehe ich wie die Pings geforwarded werden, auf der anderen Seite sehe ich keinen Eintrag (Weder Block noch Forward)
Mitglied: sk
15.10.2011 um 20:41 Uhr
Zitat von jojo0411:
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable

Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout

Häufig existiert auf der anderen Seite ein Interface im selben IP-Netz, weshalb der Traffic dort lokal zugestellt wird. Dann kommt es genau zu diesem Verhalten.
Es kann jedoch auch andere Ursachen haben. Am einfachsten wäre es, Du postest hier die Konfigs (PSKs etc. natürlich herauseditieren).


Zitat von jojo0411:
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz

Dieses Fragment einer Policy-Route ist schonmal Schrott. Warum WAN1 als incoming Interface?


Gruß
sk
Bitte warten ..
Mitglied: affabanana
16.10.2011 um 12:08 Uhr
Hallo Du

Ich habe hier folgendes Eingetragen

Policy Routing (Damit die Firewall weiss wohin die Packete müssen)
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2



Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..

Gruass affabanana

PS: @..sk.. Das ist weil dies Zonen basiert ist. Hier könnte man aber das Einstellen:

Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Bitte warten ..
Mitglied: sk
16.10.2011 um 14:11 Uhr
Zitat von affabanana:
PS: @..sk.. Das ist weil dies Zonen basiert ist.

Ich kenne die USGs in- und auswendig!


Zitat von affabanana:
Policy Routing (Damit die Firewall weiss wohin die Packete müssen)

Unter gewissen Voraussetzungen benötigt die USG gar keine Policy-Route, um zu wissen, dass der Traffic in den VPN-Tunnel geschoben werden muss. Da das Thema aber recht komplex ist, wurde im Video zur Sicherheit die Policy-Route aufgeführt.


Zitat von affabanana:
Ich habe hier folgendes Eingetragen
...
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2

Für sich betrachtet nicht falsch. Ohne jedoch den Rest der Konfig zu kennen, kann man nicht beurteilen, ob sie überhaupt zur Anwendung käme.


Zitat von affabanana:
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet

Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im Auslieferungszustand wäre es ohnehin erlaubt.


Zitat von affabanana:
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet

Warum nach WAN1? Wenn überhaupt, dann nach LAN1!


Zitat von affabanana:
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..

Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).


Zitat von affabanana:
Hier könnte man aber das Einstellen:

Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2

Könnte man, aber welches Sinn sollte dies haben?


@jojo0411: Poste einfach den (zensierten) Inhalt der Konfig-Files, dann ist das in 2 Minuten erledigt!
Bitte warten ..
Mitglied: affabanana
16.10.2011 um 20:09 Uhr
Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im

Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).

Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.
Bitte warten ..
Mitglied: jojo0411
17.10.2011 um 10:49 Uhr
Hallo Leute,

Erstmal ein riesen Danke für eure Bemühungen, ich weiss das zu schätzen.

Ich habe jetzt einmal alles ausprobiert was ihr empfohlen habt, leider hat es nicht gefruchtet. Die Pings gehen immer noch nicht durch.

Welchen Teil der Konfig soll ich posten? Oder einfach alles?

nice greetz jojo
Bitte warten ..
Mitglied: jojo0411
17.10.2011 um 12:31 Uhr
Hallo Leute,

Ich denke jetzt ist es mir etwas klarer geworden, nachdem der Tunnel erfolgreich aufgebaut wurde (von einer Firewall) habe ich nicht mir kontrolliert ob es auch von der anderen seite aus funktioniert.

Dort wird die Verbindung nicht angezeigt und wenn ich den Button "connect" anklicke dann kommt ein Timeout Fehler.

Wie kann ein VPN Tunnel auf einer Seite funktionieren und auf der anderen Seite nicht?

Im Log File steht nur (IKE Negotiation is in progress)....
Bitte warten ..
Mitglied: sk
17.10.2011 um 21:03 Uhr
Zitat von affabanana:
Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!

Das Default-Regelwerk der USGs folgt (leider) der Prämisse "alles erlaubt, was nicht explizit verboten ist". Per Default voll offen ist sie dennoch nicht, da per Default Regeln existieren, die z.B. den Zugriff vom WAN verbieten.
Selbstverständlich ist es trotzdem dringend anzuraten, diese Logik zu drehen (was problemlos möglich ist).


Zitat von affabanana:
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.

Das sehe ich auch so. Nur: Abgesehen davon, dass wir momentan noch nicht wissen, ob jojo das Regelwerk so umkonfiguriert hat, tangiert dies doch in keinster Weise meine Kritik an Deiner Regel. Du hast geschrieben, dass man von der IPSec-VPN-Zone zur Zywall hin sämtlichen Traffic zulassen muss, damit der Tunnel überhaupt aufgebaut(!) werden kann. Und diese Aussage ist nunmal schlicht und ergreifend falsch! Dein Bemühen um Hilfestellung in allen Ehren, aber das Geschriebene sollte schon stimmen - sonst verwirrt und schadet es mehr, als es nützt.


Zitat von jojo0411:
Welchen Teil der Konfig soll ich posten? Oder einfach alles?

Alles. Sonst besteht die Gefahr, dass Du ungewollt relevante Teile entfernst. Benutzernamen, Kennwörter, PSKs etc. selbstverständlich mit Dummy-Zeichen überschreiben! Wenn Du die Konfigs nicht hier öffentlich einstellen möchtest, kannst Du mir diese auch per PN schicken.


Gruß
Steffen
Bitte warten ..
Mitglied: jojo0411
27.12.2011 um 09:56 Uhr
Hallo Leute,

Nach vielen Versuchen, Firmware Upgrade etc. war es eine NAT Regel die Schuld war das der Tunnel nicht aufgebaut werden konnte.

Derjenige der die Firewall konfiguriert hatte, hat die Offizielle IP direkt auf den Server weitergeleitet mit allen Services und somit konnte der Tunnel nicht aufgbaut werden.

Der Zyxel Support hat mir letztendlich geholfen das Problem zu lösen.

nice greetz jojo
Bitte warten ..
Mitglied: sk
27.12.2011 um 12:37 Uhr
Hallo jojo,

sag nicht, Du hast bis jetzt den Fehler gesucht. Auf diese Ursache hatte ich Dich bereits am 18.10.2011 hingewiesen.
Ich zitiere aus meiner PN:
"... tödlich ist folgender V-Server: ip virtual-server WAN_to_stpoXXXX interface wan1 original-ip IP_wan map-to stpoXXXX map-type any nat-loopback
Dies führt dazu, dass auch UDP/500 an stpoXXXX weitergeleitet wird - statt bei der Zywall einzutreffen. Dadurch ist kein IPSec-Tunnel gegen die Zywall zu etablieren."

Ein Evergreen.

Trotzdem danke für die Rückmeldung! Leider wird das immer gern "vergessen".

Gruß
Steffen
Bitte warten ..
Ähnliche Inhalte
Firewall
Zywall USGs Updaten
Frage von geocastFirewall15 Kommentare

Hallo Zusammen Ich bin gerade am Firewalls evaluieren. Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) ...

Router & Routing
Kein Internet in der DMZ ZyWALL USG 110
gelöst Frage von letstryandfindoutRouter & Routing18 Kommentare

Hallo zusammen, irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion: 1x USG ...

Netzwerkprotokolle

Site 2 Site VPN - Server erreichbar, Webseite nicht

gelöst Frage von 1410640014Netzwerkprotokolle5 Kommentare

Hallo vielleicht ne blöde Frage, aber wie prüfe ich einen Site 2 Site Tunnel auf ner Sophos UTM220? Szenario: ...

LAN, WAN, Wireless

DHCP Relay Problem ZyWALL USG 300 und Monowall

Frage von letstryandfindoutLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich bin leider etwas am verzweifeln. Ich habe folgendes Problem und kriege irgendwie keine Lösung hin. Ich ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 23 StundenSonstige Systeme4 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 1 TagHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless13 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall13 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...