9
Site to Site VPN zwischen RRAS und ZyWALL USG
Hallo Leute
Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.
Leider kenne ich mich mit RRAS nicht wirklich aus.
Hat jemand da Erfahrung?`
Auf der ZyWALL konfiguriere ich folgendes:
phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1
phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1
Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?
Ich hoffe auf eure Antworten
Beste Grüsse
Relesys
Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.
Leider kenne ich mich mit RRAS nicht wirklich aus.
Hat jemand da Erfahrung?`
Auf der ZyWALL konfiguriere ich folgendes:
phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1
phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1
Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?
Ich hoffe auf eure Antworten
Beste Grüsse
Relesys
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186251
Url: https://administrator.de/contentid/186251
Printed on: April 24, 2024 at 07:04 o'clock
9 Comments
Latest comment
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
Salute
Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...
Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.
Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.
Danke für die Rückmeldung.
LG Relesys
Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...
Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.
Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.
Danke für die Rückmeldung.
LG Relesys
und habe natürlich ca. 12 Stunden gegoogelt...
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Salute
Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).
Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.
Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).
Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.
Liebe Grüsse
Relesys
Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).
Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.
Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).
Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.
Liebe Grüsse
Relesys
Nachtrag: Der ASP Server ist direkt public adressiert und nicht hinter NAT --> RZ. Die Firewall wir dann davor zugeschaltet (wirklich nur Firewall, nicht Modem/Nat-Router/Firewall-DHCP-Server-Kiste )
Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html
ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
)Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html
ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
Hallo,
Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.
Gruß,
Peter
Zitat von @relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.
Gruß,
Peter
Hallo Peter
Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.
Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.
Ich schau dann mal weiter.
Gruss Relesys
Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.
Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.
Ich schau dann mal weiter.
Gruss Relesys
Die ZyWALL kanns doch nicht... Dies nur zur Info.
