5
VPN faehiger Router soll hinter Endian Firewall laufen
Schönen guten Tag,
wir sind hier in der Firma seit heute Vormittag 11:00 Uhr am werkeln und kommen leider nicht zur Lösung. Wir haben uns eine Endian Firewall Mini zugelegt. Der Draytek Vigor 2900 hat somit als Gateway ausgedient und soll eigentlich nur noch die VPN-Funktionalität zur Verfügung stellen. Und genau dabei klemmt es.
Wir haben also die Endian Firewall vorgeschaltet, den Port für PPTP(1721) auf den Router geforwarded und GRE(IP-Protokoll 47) ebenfalls. Zunächst reagierte der Router gar nicht bei einer VPN-Einwahl von außen. Dann haben wir SNAT bei den Forward-Regeln aktiviert und jetzt reagiert er schonmal insofern, daß der VPN-Einwahldialog bis zur Passwort-Autentifizierung kommt. Und genau dabei bleibt er hängen. Wir haben an den VPN-Einstellungen am Router und an den Client keine Veränderungen vorgenommen. Als er direkt dranhing ging ja auch alles. Kann es sein, daß der Router Probleme eben genau mit der Route hat?
Wir hoffen stark, da draußen hatte schonmal jemand so ein Problem.
wir sind hier in der Firma seit heute Vormittag 11:00 Uhr am werkeln und kommen leider nicht zur Lösung. Wir haben uns eine Endian Firewall Mini zugelegt. Der Draytek Vigor 2900 hat somit als Gateway ausgedient und soll eigentlich nur noch die VPN-Funktionalität zur Verfügung stellen. Und genau dabei klemmt es.
Wir haben also die Endian Firewall vorgeschaltet, den Port für PPTP(1721) auf den Router geforwarded und GRE(IP-Protokoll 47) ebenfalls. Zunächst reagierte der Router gar nicht bei einer VPN-Einwahl von außen. Dann haben wir SNAT bei den Forward-Regeln aktiviert und jetzt reagiert er schonmal insofern, daß der VPN-Einwahldialog bis zur Passwort-Autentifizierung kommt. Und genau dabei bleibt er hängen. Wir haben an den VPN-Einstellungen am Router und an den Client keine Veränderungen vorgenommen. Als er direkt dranhing ging ja auch alles. Kann es sein, daß der Router Probleme eben genau mit der Route hat?
Wir hoffen stark, da draußen hatte schonmal jemand so ein Problem.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 90342
Url: https://administrator.de/contentid/90342
Printed on: April 23, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hallo,
hast du dich evtl. vertippt? Soweit ich mich erinnern kann benutzt PPTP den Port UDP/1723.
Ansonsten macht das meiner Meinung nach wenig Sinn, das VPN-Gateway hinter die Firewall zu setzen. Kann eure neue Endian Firewall diese Aufgabe nicht übernehmen?
Hilfreich wäre es auch, wenn ihr hier ein Netzwerkdiagramm einfügen könntet, damit das etwas deutlicher wird.
mfg
Harald
hast du dich evtl. vertippt? Soweit ich mich erinnern kann benutzt PPTP den Port UDP/1723.
Ansonsten macht das meiner Meinung nach wenig Sinn, das VPN-Gateway hinter die Firewall zu setzen. Kann eure neue Endian Firewall diese Aufgabe nicht übernehmen?
Hilfreich wäre es auch, wenn ihr hier ein Netzwerkdiagramm einfügen könntet, damit das etwas deutlicher wird.
mfg
Harald
Moin Harald,
ja, ich meine die 1723, sorry!
Wir können leider die OpenVPN-Funktion der Endian Firewall nicht nutzen, da sie nicht kompatibel zu VPN ist. Es bestehen side-to-side-Verbindungen zu Zweigstellen unserer Firma. Darum wollen wir den Router weiterhin nutzen. Irgendwann soll das mal unser WIN 2003 Server übernehmen. Aber da sind wir noch nicht. Montag soll ja erstmal wieder alles wie gewohnt laufen. Irgendwie haben wir es jetzt auch schon zum Teil hinbekommen. Wir wissen aber gar nicht so richtig wieso es auf einmal läuft. Ich versuche mal so gut wie es geht, von zu Hause aus zu erklären. Sämtliche Rechner und die Firewall sind im 192.168.1.0-Netz. Irgendwann kamen wir auf die Idee, beim Vigor den WAN-Eingang ins 192.168.10.0-Netz zu verlegen und den LAN-Bereich im 1er Netz zu lassen. Die Portweiterleitung für VPN an der Firewall verweist nun auf das 10er Netz. Zunächst lief nichts. Dann haben wir noch eine statische Route an der Firewall hinzugefügt. Alles was von 0.0.0.0 kommt und als Ziel 192.168.10.0 hat dafür ist das Gateway 192.168.1.17(Router LAN). Ist doch richtig oder? Das kuriose ist nur, jetzt können wir die Route deaktivieren und es geht immer noch. Außerdem bekommen die Clients seltsame DNS-IPs zugewiesen und trotzdem funktioniert die Namensauflösung.
Hast Du ein Beispiel wie das Netzwerkdiagramm aussehen soll?
Gruß Heiko
ja, ich meine die 1723, sorry!
Wir können leider die OpenVPN-Funktion der Endian Firewall nicht nutzen, da sie nicht kompatibel zu VPN ist. Es bestehen side-to-side-Verbindungen zu Zweigstellen unserer Firma. Darum wollen wir den Router weiterhin nutzen. Irgendwann soll das mal unser WIN 2003 Server übernehmen. Aber da sind wir noch nicht. Montag soll ja erstmal wieder alles wie gewohnt laufen. Irgendwie haben wir es jetzt auch schon zum Teil hinbekommen. Wir wissen aber gar nicht so richtig wieso es auf einmal läuft. Ich versuche mal so gut wie es geht, von zu Hause aus zu erklären. Sämtliche Rechner und die Firewall sind im 192.168.1.0-Netz. Irgendwann kamen wir auf die Idee, beim Vigor den WAN-Eingang ins 192.168.10.0-Netz zu verlegen und den LAN-Bereich im 1er Netz zu lassen. Die Portweiterleitung für VPN an der Firewall verweist nun auf das 10er Netz. Zunächst lief nichts. Dann haben wir noch eine statische Route an der Firewall hinzugefügt. Alles was von 0.0.0.0 kommt und als Ziel 192.168.10.0 hat dafür ist das Gateway 192.168.1.17(Router LAN). Ist doch richtig oder? Das kuriose ist nur, jetzt können wir die Route deaktivieren und es geht immer noch. Außerdem bekommen die Clients seltsame DNS-IPs zugewiesen und trotzdem funktioniert die Namensauflösung.
Hast Du ein Beispiel wie das Netzwerkdiagramm aussehen soll?
Gruß Heiko
Z.B. so sollte ein sauberes Netzwerkdiagramm von einem funktionierenden Szenario wie dem deinen aussehen:
Nur so ist der vorhandene Router IP technisch sauber integriert !
Es ist nebenbei gesagt Blödsinn die VPN Verbindungen mit einem schwerfälligen Server zu machen wenn VPN Router vorhanden sind ! Von so einer Lösung kann man dir nur dringend abraten.
Nur so ist der vorhandene Router IP technisch sauber integriert !
Es ist nebenbei gesagt Blödsinn die VPN Verbindungen mit einem schwerfälligen Server zu machen wenn VPN Router vorhanden sind ! Von so einer Lösung kann man dir nur dringend abraten.
Moin,
ein Netzwerkdiagramm muß ich nachreichen. Gibt es da etwas für Linux, damit ich das erstellen kann?
Es läuft jetzt auf jeden Fall FAST alles prima. Versuche mal zu erklären: Den VPN-Router haben wir im WAN-Bereich die 192.168.40.100 gegeben. Die Firewall hat jetzt auf einer Karte die 192.168.40.1 und auf einer anderen 192.168.1.1. Kabel von Firewall 40.1 auf Router 40.100. Portweiterleitung für VPN von Uplink auf die 40.100. Logisch! Der LAN-Bereich des VPN-Routers hat jetzt die 1.15. So bekommen alle VPN-Clients Adressen aus dem 1er-Netz. Soll ja auch, weil unsere Rechner auch im 1er sind.
Aber nun wird es wieder komisch. Eine VPN-Verbindung die manuell hergestellt wird, läuft tadellos. Die Clients können auf alles zugreifen, DNS läuft... usw.
Aber:
Die Site-to-Site-Verbindung zu unserer Zweigstelle hat auch eine Verbindung. Die Zweigstelle hat ihre Rechner im 192.168.4.0-Netz. Als die Router noch Gateway waren konnte man problemlos vom 1er auf das 4er pingen und umgekehrt. Freigaben und so liefen. Seit der Firewall geht nur dies nicht mehr. Die Verbindung der beiden Router ist zwar da, aber die Ressourcen eben nicht. Ich vermute, daß ich irgendwo ein statisches Routing eintragen muß, vom 4er aufs 1er oder umgekehrt. Nur wo? An der Firewall?
Wie gesagt, ein Diagramm reiche ich gerne nach...
Danke und Grüße
Heiko
ein Netzwerkdiagramm muß ich nachreichen. Gibt es da etwas für Linux, damit ich das erstellen kann?
Es läuft jetzt auf jeden Fall FAST alles prima. Versuche mal zu erklären: Den VPN-Router haben wir im WAN-Bereich die 192.168.40.100 gegeben. Die Firewall hat jetzt auf einer Karte die 192.168.40.1 und auf einer anderen 192.168.1.1. Kabel von Firewall 40.1 auf Router 40.100. Portweiterleitung für VPN von Uplink auf die 40.100. Logisch! Der LAN-Bereich des VPN-Routers hat jetzt die 1.15. So bekommen alle VPN-Clients Adressen aus dem 1er-Netz. Soll ja auch, weil unsere Rechner auch im 1er sind.
Aber nun wird es wieder komisch. Eine VPN-Verbindung die manuell hergestellt wird, läuft tadellos. Die Clients können auf alles zugreifen, DNS läuft... usw.
Aber:
Die Site-to-Site-Verbindung zu unserer Zweigstelle hat auch eine Verbindung. Die Zweigstelle hat ihre Rechner im 192.168.4.0-Netz. Als die Router noch Gateway waren konnte man problemlos vom 1er auf das 4er pingen und umgekehrt. Freigaben und so liefen. Seit der Firewall geht nur dies nicht mehr. Die Verbindung der beiden Router ist zwar da, aber die Ressourcen eben nicht. Ich vermute, daß ich irgendwo ein statisches Routing eintragen muß, vom 4er aufs 1er oder umgekehrt. Nur wo? An der Firewall?
Wie gesagt, ein Diagramm reiche ich gerne nach...
Danke und Grüße
Heiko
Hallo Aqui,
vielen Dank übrigens für Dein tolles Beispieldiagramm. Eigentlich ist es kein Beispiel sondern trifft beinahe genau unseren Fall. Nur das Du alles richtig gemacht hast und wir nicht. Wir haben bei allen LAN-Rechnern hinter dem Vigor als Gateway die 1.1 eingetragen. Die Firewall eben! Und haben sogar ein Kabel von der Firewall in den Switch fürs 1er Netz gelegt. Gateway für alle Rechner muß natürlich der Vigor sein. Und das Gateway für den Vigor dann eben die Firewall. Und das Kabel muß weg. Danke nochmal für das Diagramm. Nun müssen wir das nochmal ummodeln. Ich bin gespannt ...
Gruß Heiko
vielen Dank übrigens für Dein tolles Beispieldiagramm. Eigentlich ist es kein Beispiel sondern trifft beinahe genau unseren Fall. Nur das Du alles richtig gemacht hast und wir nicht. Wir haben bei allen LAN-Rechnern hinter dem Vigor als Gateway die 1.1 eingetragen. Die Firewall eben! Und haben sogar ein Kabel von der Firewall in den Switch fürs 1er Netz gelegt. Gateway für alle Rechner muß natürlich der Vigor sein. Und das Gateway für den Vigor dann eben die Firewall. Und das Kabel muß weg. Danke nochmal für das Diagramm. Nun müssen wir das nochmal ummodeln. Ich bin gespannt ...
Gruß Heiko
