Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site to Site VPN zwischen RRAS und ZyWALL USG

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

11.06.2012 um 11:36 Uhr, 5001 Aufrufe, 9 Kommentare

Hallo Leute

Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.

Leider kenne ich mich mit RRAS nicht wirklich aus.

Hat jemand da Erfahrung?`

Auf der ZyWALL konfiguriere ich folgendes:

phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1

phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1

Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?

Ich hoffe auf eure Antworten

Beste Grüsse
Relesys
Mitglied: aqui
11.06.2012, aktualisiert um 11:47 Uhr
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
Bitte warten ..
Mitglied: relesys
11.06.2012 um 12:09 Uhr
Salute

Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...

Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.

Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.

Danke für die Rückmeldung.

LG Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 12:09 Uhr
und habe natürlich ca. 12 Stunden gegoogelt...
Bitte warten ..
Mitglied: aqui
11.06.2012, aktualisiert um 12:29 Uhr
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 16:04 Uhr
Salute

Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).

Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.

Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).

Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.

Liebe Grüsse
Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 13:34 Uhr
Nachtrag: Der ASP Server ist direkt public adressiert und nicht hinter NAT --> RZ. Die Firewall wir dann davor zugeschaltet (wirklich nur Firewall, nicht Modem/Nat-Router/Firewall-DHCP-Server-Kiste )

Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).

Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
Bitte warten ..
Mitglied: Pjordorf
11.06.2012, aktualisiert um 15:01 Uhr
Hallo,

Zitat von relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?

Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.

Gruß,
Peter
Bitte warten ..
Mitglied: relesys
11.06.2012 um 15:11 Uhr
Hallo Peter

Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.

Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.

Ich schau dann mal weiter.
Gruss Relesys
Bitte warten ..
Mitglied: relesys
05.09.2012 um 12:12 Uhr
Die ZyWALL kanns doch nicht... Dies nur zur Info.
Bitte warten ..
Ähnliche Inhalte
Firewall
Zywall USGs Updaten
Frage von geocastFirewall15 Kommentare

Hallo Zusammen Ich bin gerade am Firewalls evaluieren. Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) ...

Router & Routing
Kein Internet in der DMZ ZyWALL USG 110
gelöst Frage von letstryandfindoutRouter & Routing18 Kommentare

Hallo zusammen, irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion: 1x USG ...

Firewall
Zyxel Zywall USG 50 Ipsec und RDP
Frage von ckuechlerFirewall3 Kommentare

Hallo Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere ...

LAN, WAN, Wireless

DHCP Relay Problem ZyWALL USG 300 und Monowall

Frage von letstryandfindoutLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich bin leider etwas am verzweifeln. Ich habe folgendes Problem und kriege irgendwie keine Lösung hin. Ich ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 13 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 22 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...