Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site to Site VPN zwischen RRAS und ZyWALL USG

Frage Microsoft Windows Netzwerk

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

11.06.2012 um 11:36 Uhr, 4976 Aufrufe, 9 Kommentare

Hallo Leute

Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.

Leider kenne ich mich mit RRAS nicht wirklich aus.

Hat jemand da Erfahrung?`

Auf der ZyWALL konfiguriere ich folgendes:

phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1

phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1

Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?

Ich hoffe auf eure Antworten

Beste Grüsse
Relesys
Mitglied: aqui
11.06.2012, aktualisiert um 11:47 Uhr
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
Bitte warten ..
Mitglied: relesys
11.06.2012 um 12:09 Uhr
Salute

Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...

Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.

Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.

Danke für die Rückmeldung.

LG Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 12:09 Uhr
und habe natürlich ca. 12 Stunden gegoogelt...
Bitte warten ..
Mitglied: aqui
11.06.2012, aktualisiert um 12:29 Uhr
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 16:04 Uhr
Salute

Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).

Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.

Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).

Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.

Liebe Grüsse
Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 13:34 Uhr
Nachtrag: Der ASP Server ist direkt public adressiert und nicht hinter NAT --> RZ. Die Firewall wir dann davor zugeschaltet (wirklich nur Firewall, nicht Modem/Nat-Router/Firewall-DHCP-Server-Kiste )

Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).

Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
Bitte warten ..
Mitglied: Pjordorf
11.06.2012, aktualisiert um 15:01 Uhr
Hallo,

Zitat von relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?

Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.

Gruß,
Peter
Bitte warten ..
Mitglied: relesys
11.06.2012 um 15:11 Uhr
Hallo Peter

Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.

Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.

Ich schau dann mal weiter.
Gruss Relesys
Bitte warten ..
Mitglied: relesys
05.09.2012 um 12:12 Uhr
Die ZyWALL kanns doch nicht... Dies nur zur Info.
Bitte warten ..
Ähnliche Inhalte
Firewall
Zywall USGs Updaten
Frage von geocastFirewall15 Kommentare

Hallo Zusammen Ich bin gerade am Firewalls evaluieren. Es ist so, wir haben 17 Geschäftsstellen (Größenordnung durchschnittlich 8 User) ...

Router & Routing
Kein Internet in der DMZ ZyWALL USG 110
gelöst Frage von letstryandfindoutRouter & Routing18 Kommentare

Hallo zusammen, irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion: 1x USG ...

Firewall
Zyxel Zywall USG 50 Ipsec und RDP
Frage von ckuechlerFirewall3 Kommentare

Hallo Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere ...

LAN, WAN, Wireless
DHCP Relay Problem ZyWALL USG 300 und Monowall
Frage von letstryandfindoutLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich bin leider etwas am verzweifeln. Ich habe folgendes Problem und kriege irgendwie keine Lösung hin. Ich ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...