Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site to Site VPN zwischen RRAS und ZyWALL USG

Frage Microsoft Windows Netzwerk

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

11.06.2012 um 11:36 Uhr, 4883 Aufrufe, 9 Kommentare

Hallo Leute

Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.

Leider kenne ich mich mit RRAS nicht wirklich aus.

Hat jemand da Erfahrung?`

Auf der ZyWALL konfiguriere ich folgendes:

phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1

phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1

Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?

Ich hoffe auf eure Antworten

Beste Grüsse
Relesys
Mitglied: aqui
11.06.2012, aktualisiert um 11:47 Uhr
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
Bitte warten ..
Mitglied: relesys
11.06.2012 um 12:09 Uhr
Salute

Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...

Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.

Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.

Danke für die Rückmeldung.

LG Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 12:09 Uhr
und habe natürlich ca. 12 Stunden gegoogelt...
Bitte warten ..
Mitglied: aqui
11.06.2012, aktualisiert um 12:29 Uhr
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 16:04 Uhr
Salute

Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).

Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.

Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).

Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.

Liebe Grüsse
Relesys
Bitte warten ..
Mitglied: relesys
11.06.2012, aktualisiert um 13:34 Uhr
Nachtrag: Der ASP Server ist direkt public adressiert und nicht hinter NAT --> RZ. Die Firewall wir dann davor zugeschaltet (wirklich nur Firewall, nicht Modem/Nat-Router/Firewall-DHCP-Server-Kiste )

Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).

Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
Bitte warten ..
Mitglied: Pjordorf
11.06.2012, aktualisiert um 15:01 Uhr
Hallo,

Zitat von relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?

Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.

Gruß,
Peter
Bitte warten ..
Mitglied: relesys
11.06.2012 um 15:11 Uhr
Hallo Peter

Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.

Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.

Ich schau dann mal weiter.
Gruss Relesys
Bitte warten ..
Mitglied: relesys
05.09.2012 um 12:12 Uhr
Die ZyWALL kanns doch nicht... Dies nur zur Info.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...