9
Site 2 Site VPN mit ZyWall USG 200
Hallo Leute,
Ich soll für einen Kunden mit 2 Zywalls eine Site2Site Verbindung aufbauen:
1. Subnet: 10.1.1.0 / 24
2. Subnet: 192.168.0.0 / 24
Der Tunnel ist soweit fertig und wie in den Videos angelegt:
http://www.zyxel.de/web/productpages.ph ... DPA2007006
Die Policy Route die am Ende beschrieben wird habe ich ebenfalls angelegt.
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable
Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout
Es sieht also so aus als wäre im Routing noch etwas falsch, anbei die Konfiguration von einer Seite (andere Seite ist genau gegengleich):
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz
Alles andere ist Standard.
Kann mir jemand von euch weiterhelfen?
nice greetz jojo
PS: Auf dem Firewall Log der einen Remote Seite sehe ich wie die Pings geforwarded werden, auf der anderen Seite sehe ich keinen Eintrag (Weder Block noch Forward)
Ich soll für einen Kunden mit 2 Zywalls eine Site2Site Verbindung aufbauen:
1. Subnet: 10.1.1.0 / 24
2. Subnet: 192.168.0.0 / 24
Der Tunnel ist soweit fertig und wie in den Videos angelegt:
http://www.zyxel.de/web/productpages.ph ... DPA2007006
Die Policy Route die am Ende beschrieben wird habe ich ebenfalls angelegt.
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable
Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout
Es sieht also so aus als wäre im Routing noch etwas falsch, anbei die Konfiguration von einer Seite (andere Seite ist genau gegengleich):
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz
Alles andere ist Standard.
Kann mir jemand von euch weiterhelfen?
nice greetz jojo
PS: Auf dem Firewall Log der einen Remote Seite sehe ich wie die Pings geforwarded werden, auf der anderen Seite sehe ich keinen Eintrag (Weder Block noch Forward)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 174719
Url: https://administrator.de/contentid/174719
Printed on: April 25, 2024 at 11:04 o'clock
9 Comments
Latest comment
Zitat von @jojo0411:
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable
Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout
Nach einem Ping von einem Rechner aus dem 1. Subnet auf einen Rechner in dem 2. Subnet bekamme ich als Antwort zurück:
Packets received => Destination host unreachable
Von der anderen Seite aus bekomme ich die Antwort:
Request Timeout
Häufig existiert auf der anderen Seite ein Interface im selben IP-Netz, weshalb der Traffic dort lokal zugestellt wird. Dann kommt es genau zu diesem Verhalten.
Es kann jedoch auch andere Ursachen haben. Am einfachsten wäre es, Du postest hier die Konfigs (PSKs etc. natürlich herauseditieren).
Zitat von @jojo0411:
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz
Incoming: Interface
Member: wan1
Source: EigenesSubnetz
Destination: RemoteSubnetz
Dieses Fragment einer Policy-Route ist schonmal Schrott. Warum WAN1 als incoming Interface?
Gruß
sk
Hallo Du
Ich habe hier folgendes Eingetragen
Policy Routing (Damit die Firewall weiss wohin die Packete müssen)
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..
Gruass affabanana
PS: @..sk.. Das ist weil dies Zonen basiert ist. Hier könnte man aber das Einstellen:
Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Ich habe hier folgendes Eingetragen
Policy Routing (Damit die Firewall weiss wohin die Packete müssen)
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
2. IPSec nach WAN1, Source=Standort2_subnet, Destination=LAN1_Subnet
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..
Gruass affabanana
PS: @..sk.. Das ist weil dies Zonen basiert ist. Hier könnte man aber das Einstellen:
Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Ich kenne die USGs in- und auswendig!
Unter gewissen Voraussetzungen benötigt die USG gar keine Policy-Route, um zu wissen, dass der Traffic in den VPN-Tunnel geschoben werden muss. Da das Thema aber recht komplex ist, wurde im Video zur Sicherheit die Policy-Route aufgeführt.
Zitat von @affabanana:
Ich habe hier folgendes Eingetragen
...
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2
Ich habe hier folgendes Eingetragen
...
Incoming = any
SourceAdress = LAN1_subnet (10.1.1.0./24)
Destination Adress = Standort2_subnet (192.168.0.0 / 24)
Next Hop
Type = vpn
VPN Tunnel = VPN_Standort2
Für sich betrachtet nicht falsch. Ohne jedoch den Rest der Konfig zu kennen, kann man nicht beurteilen, ob sie überhaupt zur Anwendung käme.
Zitat von @affabanana:
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
Dann in der Firewall Regeln machen
1. LAN1 nach IPSec, source= LAN1_Subnet, Destination= Standort2_Subnet
Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im Auslieferungszustand wäre es ohnehin erlaubt.
Warum nach WAN1? Wenn überhaupt, dann nach LAN1!
Zitat von @affabanana:
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..
3. IPSec nach Zywall, alles allow
Regel 3 ist wichtig weill sonst kein VPN-Tunnel zustande kommt. ? ? ? ? ? Zyxel Logik halt..
Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).
Zitat von @affabanana:
Hier könnte man aber das Einstellen:
Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Hier könnte man aber das Einstellen:
Incoming = Tunnel
Please select member= VPN_Standort2
Souce Address = Standort2_Subnet
Destination Address = LAN1_Subnet
Next Hop
Type= VPN Tunnel
VPN Tunnel = VPN_Standort2
Könnte man, aber welches Sinn sollte dies haben?
@jojo0411: Poste einfach den (zensierten) Inhalt der Konfig-Files, dann ist das in 2 Minuten erledigt!
Nur erforderlich, wenn dies aufgrund anderer Regeln (z.B. einer abgeänderten Default-Regel) sonst verboten wäre. Im
Nicht Zyxel-Logik, sondern Deine.
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).
Für den TunnelAUFBAU müssen einige Porokolle von _WAN_ nach Zywall zugelassen sein (was sie per Default auch sind).
Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.
Hallo Leute,
Erstmal ein riesen Danke für eure Bemühungen, ich weiss das zu schätzen.
Ich habe jetzt einmal alles ausprobiert was ihr empfohlen habt, leider hat es nicht gefruchtet. Die Pings gehen immer noch nicht durch.
Welchen Teil der Konfig soll ich posten? Oder einfach alles?
nice greetz jojo
Erstmal ein riesen Danke für eure Bemühungen, ich weiss das zu schätzen.
Ich habe jetzt einmal alles ausprobiert was ihr empfohlen habt, leider hat es nicht gefruchtet. Die Pings gehen immer noch nicht durch.
Welchen Teil der Konfig soll ich posten? Oder einfach alles?
nice greetz jojo
Hallo Leute,
Ich denke jetzt ist es mir etwas klarer geworden, nachdem der Tunnel erfolgreich aufgebaut wurde (von einer Firewall) habe ich nicht mir kontrolliert ob es auch von der anderen seite aus funktioniert.
Dort wird die Verbindung nicht angezeigt und wenn ich den Button "connect" anklicke dann kommt ein Timeout Fehler.
Wie kann ein VPN Tunnel auf einer Seite funktionieren und auf der anderen Seite nicht?
Im Log File steht nur (IKE Negotiation is in progress)....
Ich denke jetzt ist es mir etwas klarer geworden, nachdem der Tunnel erfolgreich aufgebaut wurde (von einer Firewall) habe ich nicht mir kontrolliert ob es auch von der anderen seite aus funktioniert.
Dort wird die Verbindung nicht angezeigt und wenn ich den Button "connect" anklicke dann kommt ein Timeout Fehler.
Wie kann ein VPN Tunnel auf einer Seite funktionieren und auf der anderen Seite nicht?
Im Log File steht nur (IKE Negotiation is in progress)....
Zitat von @affabanana:
Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!
Ja genau. Die USG ist auch AFAIK die einzige Firewall die Default voll offen ist!
Das Default-Regelwerk der USGs folgt (leider) der Prämisse "alles erlaubt, was nicht explizit verboten ist". Per Default voll offen ist sie dennoch nicht, da per Default Regeln existieren, die z.B. den Zugriff vom WAN verbieten.
Selbstverständlich ist es trotzdem dringend anzuraten, diese Logik zu drehen (was problemlos möglich ist).
Zitat von @affabanana:
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.
Darum diese Regel. Da ein guter admin zuerst alles dicht macht und dann öffnet.
Das sehe ich auch so. Nur: Abgesehen davon, dass wir momentan noch nicht wissen, ob jojo das Regelwerk so umkonfiguriert hat, tangiert dies doch in keinster Weise meine Kritik an Deiner Regel. Du hast geschrieben, dass man von der IPSec-VPN-Zone zur Zywall hin sämtlichen Traffic zulassen muss, damit der Tunnel überhaupt aufgebaut(!) werden kann. Und diese Aussage ist nunmal schlicht und ergreifend falsch! Dein Bemühen um Hilfestellung in allen Ehren, aber das Geschriebene sollte schon stimmen - sonst verwirrt und schadet es mehr, als es nützt.
Alles. Sonst besteht die Gefahr, dass Du ungewollt relevante Teile entfernst. Benutzernamen, Kennwörter, PSKs etc. selbstverständlich mit Dummy-Zeichen überschreiben! Wenn Du die Konfigs nicht hier öffentlich einstellen möchtest, kannst Du mir diese auch per PN schicken.
Gruß
Steffen
Hallo Leute,
Nach vielen Versuchen, Firmware Upgrade etc. war es eine NAT Regel die Schuld war das der Tunnel nicht aufgebaut werden konnte.
Derjenige der die Firewall konfiguriert hatte, hat die Offizielle IP direkt auf den Server weitergeleitet mit allen Services und somit konnte der Tunnel nicht aufgbaut werden.
Der Zyxel Support hat mir letztendlich geholfen das Problem zu lösen.
nice greetz jojo
Nach vielen Versuchen, Firmware Upgrade etc. war es eine NAT Regel die Schuld war das der Tunnel nicht aufgebaut werden konnte.
Derjenige der die Firewall konfiguriert hatte, hat die Offizielle IP direkt auf den Server weitergeleitet mit allen Services und somit konnte der Tunnel nicht aufgbaut werden.
Der Zyxel Support hat mir letztendlich geholfen das Problem zu lösen.
nice greetz jojo
Hallo jojo,
sag nicht, Du hast bis jetzt den Fehler gesucht. Auf diese Ursache hatte ich Dich bereits am 18.10.2011 hingewiesen.
Ich zitiere aus meiner PN:
"... tödlich ist folgender V-Server: ip virtual-server WAN_to_stpoXXXX interface wan1 original-ip IP_wan map-to stpoXXXX map-type any nat-loopback
Dies führt dazu, dass auch UDP/500 an stpoXXXX weitergeleitet wird - statt bei der Zywall einzutreffen. Dadurch ist kein IPSec-Tunnel gegen die Zywall zu etablieren."
Ein Evergreen.
Trotzdem danke für die Rückmeldung! Leider wird das immer gern "vergessen".
Gruß
Steffen
sag nicht, Du hast bis jetzt den Fehler gesucht. Auf diese Ursache hatte ich Dich bereits am 18.10.2011 hingewiesen.
Ich zitiere aus meiner PN:
"... tödlich ist folgender V-Server: ip virtual-server WAN_to_stpoXXXX interface wan1 original-ip IP_wan map-to stpoXXXX map-type any nat-loopback
Dies führt dazu, dass auch UDP/500 an stpoXXXX weitergeleitet wird - statt bei der Zywall einzutreffen. Dadurch ist kein IPSec-Tunnel gegen die Zywall zu etablieren."
Ein Evergreen.
Trotzdem danke für die Rückmeldung! Leider wird das immer gern "vergessen".
Gruß
Steffen
