5
ZyWALL USG-100 Client-to-Site VPN
Hallo erstmal alle zusammen
Ich hoffe, dass ihr mir mit einem eher kleineren Problem weiterhelfen könnt, auf welches ich bei der Konfiguration der ZyWall USG 100 gestossen bin. Ich war einmal bei einer Schulung für das Gerät dabei, das war allerdings vor 3, 4 Firmwares, so wie sich die Sache mir darstellt.
Meine Frage lautet: Ich glaube mich zu erinnern, dass VPN damals nur auf die DMZ möglich war, bin mir aber nicht ganz sicher, stimmt das?
Das Netzwerk, auf welches der VPN-Zugriff möglich sein soll, besitzt keine DMZ und die Infrastruktur für eine solche ist derzeit nicht vorhanden.
Ich frage mich, ob ich den L2TP-Tunnel auch in das LAN1-Subnetz manipulieren kann, da stellt sich dann allerdings die Sicherheits-Frage.
Mein eigentliches Ziel wäre es, eine Datei aus dem Netzwerk bei einem Remoteclient ins Dateisystem einzubinden, damit eine Access Runtime damit arbeiten kann (die Datenbank, welche ausgeführt werden soll, ist ein ziemlich altes Programm
), der Zugriff auf ein Exchange System muss auch möglich sein.
Bisher konnte ich allerdings über L2TP to LAN1 niemals eine Verbindung zu einem Gerät innerhalb LAN1 aufbauen, wenn ich eine Verbindung über L2TP aufbaute (was allerdings mittlerweile problemlos funktioniert). Das Subnetz des Zielnetzes lautet 192.168.1.0/255.255.255.0 und interner DHCP vergibt die IPs .33 - .250
Habe nun testhalber mal die VPN-IP-Range von .1.100-.180 definiert und das Subnetz wieder 255.255.255.0.
Bei der Firewall stehen die Einträge TUNNEL to LAN1 sowie WAN to LAN1 auf any traffic (keine Angst der Router ist noch nicht direkt am WAN). Als ich testhalber die IP-Range für L2TP auf LAN1_SUBNET umgestellt habe, konnte ich die vorher wunderbar funktionierende VPN-Verbindung nicht mehr aufbauen.
Eine Policy Route habe ich nach den Vorgaben des Support-Manuals eingerichtet, seit ich diese eingerichtet habe, funktioniert auch der VPN-Zugriff, aber eben nur, so lange ich den VPN-Pool nicht auf LAN1 lege. Dazu muss ich auch sagen, dass ich ohnehin nicht überzeugt bin, dass das der richtige Lösungsansatz wäre.
Ich frage mich, was ich falsch mache oder übersehe, dass ich diese verflixte Verbindung nicht zustande kriege, aber irgendwo habe ich wohl einfach etwas vergessen...
Ich würde also gerne wissen, auf welche Interfaces VPN policytechnisch angewendet werden "darf", sowie, was mir entgangen ist, wäre echt froh, wenn jemand, der mit diesen ZyWALL-Produkten etwas akutere Erfahrungen hat, gerade einen Ansatz hat, was ich machen kann!
Vielen Dank schon jetzt und Grüsse
fg
Ich hoffe, dass ihr mir mit einem eher kleineren Problem weiterhelfen könnt, auf welches ich bei der Konfiguration der ZyWall USG 100 gestossen bin. Ich war einmal bei einer Schulung für das Gerät dabei, das war allerdings vor 3, 4 Firmwares, so wie sich die Sache mir darstellt.
Meine Frage lautet: Ich glaube mich zu erinnern, dass VPN damals nur auf die DMZ möglich war, bin mir aber nicht ganz sicher, stimmt das?
Das Netzwerk, auf welches der VPN-Zugriff möglich sein soll, besitzt keine DMZ und die Infrastruktur für eine solche ist derzeit nicht vorhanden.
Ich frage mich, ob ich den L2TP-Tunnel auch in das LAN1-Subnetz manipulieren kann, da stellt sich dann allerdings die Sicherheits-Frage.
Mein eigentliches Ziel wäre es, eine Datei aus dem Netzwerk bei einem Remoteclient ins Dateisystem einzubinden, damit eine Access Runtime damit arbeiten kann (die Datenbank, welche ausgeführt werden soll, ist ein ziemlich altes Programm
), der Zugriff auf ein Exchange System muss auch möglich sein.Bisher konnte ich allerdings über L2TP to LAN1 niemals eine Verbindung zu einem Gerät innerhalb LAN1 aufbauen, wenn ich eine Verbindung über L2TP aufbaute (was allerdings mittlerweile problemlos funktioniert). Das Subnetz des Zielnetzes lautet 192.168.1.0/255.255.255.0 und interner DHCP vergibt die IPs .33 - .250
Habe nun testhalber mal die VPN-IP-Range von .1.100-.180 definiert und das Subnetz wieder 255.255.255.0.
Bei der Firewall stehen die Einträge TUNNEL to LAN1 sowie WAN to LAN1 auf any traffic (keine Angst der Router ist noch nicht direkt am WAN). Als ich testhalber die IP-Range für L2TP auf LAN1_SUBNET umgestellt habe, konnte ich die vorher wunderbar funktionierende VPN-Verbindung nicht mehr aufbauen.
Eine Policy Route habe ich nach den Vorgaben des Support-Manuals eingerichtet, seit ich diese eingerichtet habe, funktioniert auch der VPN-Zugriff, aber eben nur, so lange ich den VPN-Pool nicht auf LAN1 lege. Dazu muss ich auch sagen, dass ich ohnehin nicht überzeugt bin, dass das der richtige Lösungsansatz wäre.
Ich frage mich, was ich falsch mache oder übersehe, dass ich diese verflixte Verbindung nicht zustande kriege, aber irgendwo habe ich wohl einfach etwas vergessen...
Ich würde also gerne wissen, auf welche Interfaces VPN policytechnisch angewendet werden "darf", sowie, was mir entgangen ist, wäre echt froh, wenn jemand, der mit diesen ZyWALL-Produkten etwas akutere Erfahrungen hat, gerade einen Ansatz hat, was ich machen kann!
Vielen Dank schon jetzt und Grüsse
fg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214147
Url: https://administrator.de/contentid/214147
Printed on: April 19, 2024 at 16:04 o'clock
5 Comments
Latest comment
Hallo,
Wenn man sich via VPN an einer Firewall oder einem Router anmeldet, dann steht einem in der Regel das gesamte
Netz dahinter zur Verfügung, es sei denn dies wird durch Firewall Regeln eingeschränkt!
und man hat einen verschlüsselten Tunnel durch das Internet der nicht belauscht oder korrumpiert werden kann.
Also wenn nichts mehr geht und läuft bevor man tausend Sachen einstellt oder sogar verstellt, so das eben nichts mehr
richtig läuft würde ich immer versuchen folgendes zu machen.
- Nachschauen ob eine neue Firmware vorhanden ist auf der Webseite vom Hersteller.
- Firmware update einspielen
- Alles was mit VPN zu tun hat wieder auf den Ursprungszustand setzen
- Noch einmal von vorne und zwar Step für Step
- Einmal versuchen IPSec zu nutzen eventuell funktioniert das besser?
Gruß
Dobby
Meine Frage lautet: Ich glaube mich zu erinnern, dass VPN damals nur auf die DMZ möglich war, bin mir aber nicht ganz sicher, stimmt das?
Das halte ich eher für ein Gerücht oder einen Denkfehler auf Deiner Seite.Wenn man sich via VPN an einer Firewall oder einem Router anmeldet, dann steht einem in der Regel das gesamte
Netz dahinter zur Verfügung, es sei denn dies wird durch Firewall Regeln eingeschränkt!
Das Netzwerk, auf welches der VPN-Zugriff möglich sein soll, besitzt keine DMZ und die Infrastruktur für eine solche ist derzeit nicht vorhanden.
Wie schon gesagt das wäre wohl eine echte Seltenheit denn dann müsste ja auch alles auf das man zugreifen möchte in der DMZ stehen und das wäre dann in meinen Augen Quatsch.Ich frage mich, ob ich den L2TP-Tunnel auch in das LAN1-Subnetz manipulieren kann, da stellt sich dann allerdings die Sicherheits-Frage.
Wieso dass denn, wenn Du Dich via VPN an einer Firewall oder einem Router anmeldest dann ist das doch wohl eigentlich die sicherste Sache die es zur Zeit gibt oder? Es muss nichts an der Firewall geöffnet werden was von außen erreichbar istund man hat einen verschlüsselten Tunnel durch das Internet der nicht belauscht oder korrumpiert werden kann.
ob ich den L2TP-Tunnel auch in das LAN1-Subnetz manipulieren kann,
???Also wenn nichts mehr geht und läuft bevor man tausend Sachen einstellt oder sogar verstellt, so das eben nichts mehr
richtig läuft würde ich immer versuchen folgendes zu machen.
- Nachschauen ob eine neue Firmware vorhanden ist auf der Webseite vom Hersteller.
- Firmware update einspielen
- Alles was mit VPN zu tun hat wieder auf den Ursprungszustand setzen
- Noch einmal von vorne und zwar Step für Step
- Einmal versuchen IPSec zu nutzen eventuell funktioniert das besser?
Gruß
Dobby
Hallo Dobby
Vielen Dank für deine Antworten.
Wie gesagt, es ist einige Zeit seit diesem Seminar vergangen, deswegen ist es durchaus möglich, dass ich mich irre.
Ich bin mir leider nur noch sicher, dass es einige Beschränkungen in der ZyWall gibt, welche eher ZyXEL-typisch sind, aber genaueres dazu ist mir leider nicht geblieben.
Also an und für sich geht alles bis an folgenden Punkt: Router mit WAN-Port an unseren DHCP-Server->Am LAN1 wird ein Webserver angeschlossen->Connect via L2TP & Shared Passphrase->Computer ist im Netzwerk registriert
Zu diesem Zeitpunkt kriege ich von der VPN-Site die IP 192.168.1.100.
Das Subnetz von LAN1 geht von 1.33 - 1.250.
Es ist mir allerdings nicht möglich, auf den Webserver im LAN1 zuzugreifen. Ping ist nicht möglich.
Ich habe Firewall-Regeln definiert und die Policy Routes eingerichtet, welche den Traffic zwischen TUNNEL und LAN1 kontrollieren sollen, und trotzdem kann ich die Verbindung nicht herstellen. Jetzt vermute ich einen Konfigurationsfehler; muss beispielsweise das VPN Subnetz ein anderes sein als das LAN1 Subnetz? Oder ist das Interface TUNNEL nur für IPSec und/oder SSL-Tunnels nutzbar und das L2TP Interface wird schlicht anders konfiguriert? Das würde einiges erklären. Aber ich bin mir nicht sicher, ob etwas davon die Lösung ist.
Werde ich natürlich auch noch ausprobieren.
Aber aufgrund der Tatsache, dass ich nun doch schon einige Tage ratlos bin, bin ich schon froh hier die Chance zu haben, evtl. noch Input zu erhalten.
Der Support hier von unserem Generalimporteur ist nicht gerade hilfreich, die kennen sich leider sehr schlecht aus, und ZyXEL verweist mich dennoch immer zu ihnen.
Vielleicht fällt jemandem ja noch was ein, anderenfalls schon mal danke für die Auskunft (das mit der Firmware habe ich im Eifer des Gefechts übersehen, muss ich wirklich noch nachholen!)
Ich werde die Frage überarbeiten sobald ich mehr weiss. Leider muss ich bis Samstag warten, um dann auch die Migration am Netzwerk vorzunehmen, dann sehe ich ob alles funktioniert.
Lieber Gruss
fg
Vielen Dank für deine Antworten.
Wie gesagt, es ist einige Zeit seit diesem Seminar vergangen, deswegen ist es durchaus möglich, dass ich mich irre.
Ich bin mir leider nur noch sicher, dass es einige Beschränkungen in der ZyWall gibt, welche eher ZyXEL-typisch sind, aber genaueres dazu ist mir leider nicht geblieben.
Also an und für sich geht alles bis an folgenden Punkt: Router mit WAN-Port an unseren DHCP-Server->Am LAN1 wird ein Webserver angeschlossen->Connect via L2TP & Shared Passphrase->Computer ist im Netzwerk registriert
Zu diesem Zeitpunkt kriege ich von der VPN-Site die IP 192.168.1.100.
Das Subnetz von LAN1 geht von 1.33 - 1.250.
Es ist mir allerdings nicht möglich, auf den Webserver im LAN1 zuzugreifen. Ping ist nicht möglich.
Ich habe Firewall-Regeln definiert und die Policy Routes eingerichtet, welche den Traffic zwischen TUNNEL und LAN1 kontrollieren sollen, und trotzdem kann ich die Verbindung nicht herstellen. Jetzt vermute ich einen Konfigurationsfehler; muss beispielsweise das VPN Subnetz ein anderes sein als das LAN1 Subnetz? Oder ist das Interface TUNNEL nur für IPSec und/oder SSL-Tunnels nutzbar und das L2TP Interface wird schlicht anders konfiguriert? Das würde einiges erklären. Aber ich bin mir nicht sicher, ob etwas davon die Lösung ist.
Werde ich natürlich auch noch ausprobieren.
Aber aufgrund der Tatsache, dass ich nun doch schon einige Tage ratlos bin, bin ich schon froh hier die Chance zu haben, evtl. noch Input zu erhalten.
Der Support hier von unserem Generalimporteur ist nicht gerade hilfreich, die kennen sich leider sehr schlecht aus, und ZyXEL verweist mich dennoch immer zu ihnen.
Vielleicht fällt jemandem ja noch was ein, anderenfalls schon mal danke für die Auskunft (das mit der Firmware habe ich im Eifer des Gefechts übersehen, muss ich wirklich noch nachholen!)
Ich werde die Frage überarbeiten sobald ich mehr weiss. Leider muss ich bis Samstag warten, um dann auch die Migration am Netzwerk vorzunehmen, dann sehe ich ob alles funktioniert.
Lieber Gruss
fg
Hallo,
Ich meine am WAN Port kommt immer das Modem oder eben ein Kabel dran das die Internetverbindung führt.
Gruß
Dobby
Router mit WAN-Port an unseren DHCP-Server-
Und wo kommt dann das Internet her, wenn ich einmal fragen darf?Ich meine am WAN Port kommt immer das Modem oder eben ein Kabel dran das die Internetverbindung führt.
Gruß
Dobby
Der VPN-Tunnel wird zunächst einmal von einem Gerät aus dem Subnetz aufgebaut, welches an WAN angeschlossen ist. Dort liegt auch eine Internetverbindung an, nur eben zur Zeit noch durch den "Workspace", also das Subnetz, welches von unserem DHCP bedient wird, getrennt. Die VPN-Verbindung wird also quasidirekt vor dem WAN-Port geöffnet.
Gruss
Gruss
Zitat von @fgilgen:
Meine Frage lautet: Ich glaube mich zu erinnern, dass VPN damals nur auf die DMZ möglich war, bin mir aber nicht ganz sicher,
stimmt das?
Meine Frage lautet: Ich glaube mich zu erinnern, dass VPN damals nur auf die DMZ möglich war, bin mir aber nicht ganz sicher,
stimmt das?
Das ist nicht so und war auch niemals so.
Zitat von @fgilgen:
Mein eigentliches Ziel wäre es, eine Datei aus dem Netzwerk bei einem Remoteclient ins Dateisystem einzubinden, damit eine
Access Runtime damit arbeiten kann (die Datenbank, welche ausgeführt werden soll, ist ein ziemlich altes Programm ),
Mein eigentliches Ziel wäre es, eine Datei aus dem Netzwerk bei einem Remoteclient ins Dateisystem einzubinden, damit eine
Access Runtime damit arbeiten kann (die Datenbank, welche ausgeführt werden soll, ist ein ziemlich altes Programm
),Kann man nur von abraten! Access ist nicht nur bandbreitenhungrig und reagiert empfindlich auf Latenzen, sondern arbeitet auch nicht transaktionsorientiert, wodurch bei Verbindungsabbrüchen Inkonsistenzen im Datenbestand entstehen können.
Besser auf einem Terminalserver installieren und auf diesen per VPN zugreifen!
Zitat von @fgilgen:
Bisher konnte ich allerdings über L2TP to LAN1 niemals eine Verbindung zu einem Gerät innerhalb LAN1 aufbauen, wenn
ich eine Verbindung über L2TP aufbaute (was allerdings mittlerweile problemlos funktioniert). Das Subnetz des Zielnetzes lautet
192.168.1.0/255.255.255.0 und interner DHCP vergibt die IPs .33 - .250
Habe nun testhalber mal die VPN-IP-Range von .1.100-.180 definiert und das Subnetz wieder 255.255.255.0.
Bisher konnte ich allerdings über L2TP to LAN1 niemals eine Verbindung zu einem Gerät innerhalb LAN1 aufbauen, wenn
ich eine Verbindung über L2TP aufbaute (was allerdings mittlerweile problemlos funktioniert). Das Subnetz des Zielnetzes lautet
192.168.1.0/255.255.255.0 und interner DHCP vergibt die IPs .33 - .250
Habe nun testhalber mal die VPN-IP-Range von .1.100-.180 definiert und das Subnetz wieder 255.255.255.0.
Anders als z.B. bei einem Windows-Server darf sich der IP-Pool des VPNs nicht mit anderen Subnetzen an der Zywall überschneiden - sprich zwischen Zielnetz und VPN muss zwingend geroutet werden. Das steht (implizit) auch in jeder Anleitung von Zyxel und/oder Studerus,
Der Interfacetyp sowie die Firewallzone"Tunnel" betreffen bei den USGs ab Firmware 3.0 per Default 6to4 und 4to6-Tunnel - nicht VPN-Tunnel.
L2TPoverIPSec-Tunnel hängen per Default in der Firewallzone "IPSec-VPN"
Bereits seit ZLD2.20 sind für den reinen Zugriff zwischen VPN und LAN normalerweise keine Policyrouten mehr erforderlich. Regelmäßig benötigt man nur noch eine fürs Source-NAT, wenn man aus dem VPN ins Internet möchte.
Durchaus brauchbare Konfigurationsanleitungen gibt es auf http://www.studerus.ch/de/support/kb. Selbstverständlich ist darauf zu achten, dass man nicht eine steinalte nimmt, denn die Firmware der USGs ist mit der Zeit grundlegend überarbeitet worden. Und das betrifft nicht nur die Administrationsoberfläche, sondern den gesamten Paketflow!
Außerdem ist es dem unerfahrenen Zywall-Admin dringend anzuraten, nach Möglichkeit nach einem Firmwareupdate auf 2.20 oder 3.x die Box auf Werkseinstellungen zurückzusetzen, da die Updateroutine bei übernommener Alt-Konfig aus Kompatibilitätsgründen automatisch im Hintergrund einige Parameter anders setzt. Eine "frische" Box verhält sich in einigen Situationen deshalb anders, als eine, die mit bestehender Konfig upgegradet wurde. Das zu durchschauen ist nicht immer leicht, wenn man mit diesen Geräten nicht so versiert ist.
Gruß
sk
1
