Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit Monowall

Frage Internet Server

Mitglied: Grasrocker

Grasrocker (Level 1) - Jetzt verbinden

23.01.2013 um 18:54 Uhr, 3148 Aufrufe, 15 Kommentare

Hey Leute,
in unseren Gästehaus hab ich nun Internet mithilfe von Monowall ein Zwangsportal eingerichtet. Vom DSL-Modem gehe ich in den WAN-Anschluss meines Monowall-PC´s rein und von Lan Anschluss gehe ich in den Router rein und von da aus wieder in den Wlanverteiler (glaube Switch nennt man so was, oder). Das mit den Anmelden funktioniert jetzt auch wunderbar. Jedoch haben schon einige Gäste bemängelt, dass Sie sich "irgendwie nicht bei Ihrer Firma anmelden können". Ich habe dann auch mal versucht, eine vpn verbindung zur Uni herzustellen und das hat nicht funktioniert (bei einem Kumbel hat´s funktioniert). Es liegt anscheinend an der Monowall Einstellungen...ich hab jetzt im Internet auch schon versucht da etwas schlauer zu werden, aber irgendwie tun sich mir da immer mehr Rätsel auf...:D Hab schon was von Ports gehört die ich irgendwie freischalten soll oder die Firewall soll angeblich auch ziemlich viel sperren...
Wäre cool, wenn mir da jetzt jemand etwas helfen könnte

Grüße
Mitglied: Grasrocker
23.01.2013, aktualisiert um 20:53 Uhr
Ok jetzt habe ich über die Firewall Regel die ports udp500, udp4500 und den esp freigegeben. Ich kann nun meinen pc mit der uni verbinden Aber ich bekomme keine vpn Verbindung mit dem Blockheizkraftwerk hin...in der anleitung steht, man muss die ports 1443 und 443 freigeben, hat aber nicht geklappt...kann das etwas mit CA.crt zu tun haben? Auf dem webinterface vom Blockheizkraftwerk gibt es unter openvpn das Kapitel "OpenVPN certificates and keys" mit
Authentification :
Status root CA certificate :
Status client key :
Status client certificate :
Import key or certificates :

Kann man nun bei monowall unter vpn/ipsec unter den Reiter CA/CRLs so ein zertifikat einfügen?
Bitte warten ..
Mitglied: mrtux
24.01.2013, aktualisiert um 02:55 Uhr
Hi!

Erstmal nur so als Hinweis, OpenVPN und IPSec VPN sind eigentlich zwei unterschiedliche Dinge....Eine Einrichtung in den VPN-Settings der Mono ist nur dann erforderlich wenn sie auch involviert ist. Will sagen, die Mono auch als VPN Server oder Client agieren soll, für die reine "Durchleitung" von VPN Paketen sind dort keine Einstellungen notwendig, in den Firewall-Settings hingegen schon.

mrtux
Bitte warten ..
Mitglied: aqui
24.01.2013, aktualisiert um 09:57 Uhr
Das sind die richtigen Port für IPsec, hast die Lösung also schon selbst gefunden. Wenn du auch PPTP VPNs supporten willst, dann solltest du auch GRE auf dem WAN Interface freigeben.
Pass auf das du hier nichts verwechselst !!!
Die VPN IPsec Konfig in der Monowall ist dafür da die Monowall selber als VPN Server zu konfigurieren, das sich Clients dort einwählen können !!
So wie man dich versteht oben in der Beschreibung geht es dir aber nur darum das Gäste im Gastnetz mit ihren VPN Clients auf remote VPN Server (Firma usw.) zugreifen wollen, richtig !
Das ist dann logischerweise eine ganz andere Baustelle !!
Wenn letzteres also richtig ist, dann müssen wir erstmal sicher klären ob du ein nacktes DSL Modem am Monowall WAN Port hast, der dann PPPoE spricht oder ob dein "Modem" ein DSL Router ist !
Dann schreibst du leider NICHTS zu den Firewall Regeln die du im gastnetz definiert hast ?? Lässt du hier alles durch oder reglementierst du den Gastverkehr auf bestimmte Anwendungen aus Sicherheitsgründen (Störerhaftung !) ?
Diese 2 Schlüsselpunkte solltest du erstmal beantworten bevor wir hier weitermachen, denn sonst ist einen zielführende Hilfe unmöglich !

Alle weiterein Infos dazu findest du, wie immer, in diesen Tutorials und den korrespondierenden Threads dazu:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
und
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
und auch
http://www.administrator.de/contentid/193763
Bitte warten ..
Mitglied: Grasrocker
12.02.2013 um 17:50 Uhr
ok, ob ich ein nacktes Modem habe weiß ich nicht. Also ich habe des Teil:

http://medien.markt.de/bilder/2013/01/21/15/f77c9776/medium_image/0/deu ...

von dem aus gehe ich dann in meinen "Monowall PC mit 2 Netzwerkkarten"

von da aus ge ich dann in des Teil
http://www.telefon.de/images/out550/siemens_gigaset_router_dsl_cable.jp ...

und von da aus geh ich dann in den W-Lanverteiler rein.

Firewall regeln hab ich keine definiert. Da kenn ich mich nicht aus... ich glaube, ich lass da alles durch.

Nochmal zu meinen aktuellen Problem. Ich versuch die VPN Verbindung vom Blockheizkraftwerk herzustellen. Auf dem Blockheizkraftwerk-interface gibt es unter "service" den Reiter "Open VPN". Muss ich da doch was mit den IPsec Konfig machen?

Grüße
Bitte warten ..
Mitglied: Grasrocker
15.02.2013 um 15:44 Uhr
ok, noch etwas. Bei der Zeitsynchronisation kommt folgende Fehlermeldung: NTP service not configured
Bitte warten ..
Mitglied: aqui
15.02.2013 um 18:28 Uhr
Klar wenn man vergisst im general Setup einen Zeitserver zu installieren !!
Trag dort de.pool.ntp.org als Zeitserver ein und alles wird gut !
Bitte warten ..
Mitglied: Grasrocker
18.02.2013 um 10:51 Uhr
jep des war sogar schon in den Voreinstellungen so eingestellt. Funktioniert trotzdem nicht...kann es sein, dass es an meinen firewall regeln liegt?
Bitte warten ..
Mitglied: aqui
18.02.2013, aktualisiert um 15:55 Uhr
Nein, falsch...!!
In den Voreinstellungen wird ein pfsense Server aus dem NTP Pool genommen aber KEIN NTP Server aus der EU oder Deutschland, was du mit dem "de" (wie Deutschland) vor dem Pool erzwingst.
Nur so macht es Sinn wenn man zudem auch noch die richtige Zeitzone (Europe/Berlin) konfiguriert !
Genau hinsehen ist also die Devise !!

Was deine Verkabelung anbetrifft kannst du den DSL Gigaset Router dann vergessen mit der Monowall brauchst du den nicht mehr. Dein Teledat ist in der Tat ein reines Modem.
Verkableung geht also so:
(Internet)---DSL---(Teledat431)LAN----WAN(Monowall)LAN---lokales LAN---(Switch, PC etc.)

Die Monowall stellst du im Setup auf PPPoE ein und gibst dort dann die User Zugangsdaten für den provider ein den du auch am Gigset zuvor konfiguriert hattest.
Fertisch...ist ein kinderleichtes Szenario !
Der Rest steht in den Tutorials oben...
Bitte warten ..
Mitglied: Grasrocker
19.02.2013 um 12:45 Uhr
sry aqui, wusste nicht, dass die Monowall Zeitsynchronisation und die Zeitsynchronisation vom Blockheizkraftwerk zusammenhängen... Auf dem Webinterface vom Blockheizkraftwerk wird zwar immer noch die falsche Zeit angezeit, aber auf dem Display vom Heizkraftwerk wird die Zeit nun korrekt angezeigt.

Laut Anleitung muss ich nun den Port 443 und 1443 freigeben damit die VPN Verbindung funktioniert...ich hab mal ein Bild von meinen aktuellen Firewalleinstellung gemacht. http://s7.directupload.net/images/130219/d5y4awek.jpg
Bitte warten ..
Mitglied: aqui
19.02.2013, aktualisiert um 15:16 Uhr
Nein, die hängen auch nicht zusammen wie kommst du auf sowas ? Das wäre auch Unsinn !
Das Blockheizkraftwerk transportiert ja nur seine Daten über die FW hat aber mit ihr selber nix zu tun ! Dazu müsste ja dann irgendwie einen NTP Session zw. FW und Blockheizkraftwerk passieren was gar nicht geht technisch, denn die FW ist kein NTP Server.
Das Blockheizkraftwerk bezieht also seine Zeit von irgendwoher von wo auch immer, das weisst nur DU !
Die Monowall hat nur ihre eigene Zeit und nur für sie selber ist der einzutragende NTP Server. Wo andere ihre Zeit herbekommen ist NICHT ihre Sache ! Wie sollte es auch ?!
Soviel zu dem Thema...
Was deine VPN Verbindung an betrifft ist es jetzt unklar was du uns damit sagen willst ???
Port 1443 ist irgendwas hat aber mit gängigen VPN Protokollen nicht zu tun was soll das also sein ?
443 ist SSL das macht schon eher Sinn, das musst du dann lokal dahin forwarden wo der Endpunkt ist der den TCP 443 Traffic aufnehmen soll ?
Aber du terminierst ja ein PPTP VPN auf der Monowall !!
WARUM also musst du dann noch ein zusätzlich ein Loch in den Firewall WAN Port bohren und TCP 443 und den ominösen Port 1443 freigeben auf die Firewall. Damit machst du sie nur noch mehr angreifbar !
Du willst doch von remote per VPN Zugreifen, oder ?
Der tiefere Sinn eines VPN ist ja gerade das du den VPN Tunnel eröffnest innerhalb des Tunnels aber alles transparent genau so übetragen wird als wenn du lokal mit dem Client im lokalen LAN arbeitest. Da muss man dann logischerweise nix mehr freigeben es ist ja eben "genau so wie lokal".. Du kannst ja selber sehen das du am PPTP Interface mit der any zu any Regel alles erlaubt hast ?
Kann es sein das du hier einen gehörigen Denkfehler machst oder schlicht die Logik von VPNs nicht verstanden hast, sorry aber es sieht so aus als ob du dir grad selber ein Bein stellst...oder den Wald vor lauter Bäumen nicht siehst

Und bitte..... verschone uns von externen Bilderlinks und Zwangswerbung dort !! Du hast beim Erstellen deines Threads sicher gesehen das es links oben eine Bilder Hochladen Funktion gibt, oder ?
Wenn nicht gehst du auf "Meine Fragen" klickst auf "Bearbeiten" und dann siehst du es !
Dort kannst du das Bild hochladen, den dann erscheinden Bilder URL kopierst du mit einem Rechtsklick und setzt ihn hier in der Antwort (oder jeglichem anderen) Text ein und statt des URL erscheint dann immer dein Bild.
So schwer kann das doch nicht sein ?!
Bitte warten ..
Mitglied: Grasrocker
28.02.2013 um 11:09 Uhr
Oh wehh...sry...
gerade war ein Mitarbeiter von der Blockheizkraftfirma da, der sich angeblich mit den Thema auskennen sollte da...der hatte aber auch keine Ahnung. Jetzt hab ich mich nochmal dazu überwunden hier nachzufragen...sry für meine blöden Fragen

ok, ich glaube der Satz enthält die Lösung "443 ist SSL das macht schon eher Sinn, das musst du dann lokal dahin forwarden wo der Endpunkt ist der den TCP 443 Traffic aufnehmen soll ?"

Also muss ich anscheinend nicht im Wan sondern im Lan einen Port freigeben, da eine VPN Verbindung ein Lokales Netwerk über das Internet erzeugt. Ist das jetzt so richtig?

ok, dann um den Port freizugeben:
Action : pass
Disabled: kein Häckchen
Interface: Lan
Protocol: TCP
Source: Welchen Typ muss man hier einstellen? Lan Subnet? oder Network, da du meinst dass ich das SSL lokal irgendwo hin forwarden muss...?
Source port range: Stellt man den auf any oder auf 443?
Destination: ist das das, was du als "forwarden" bezeichnest? wird der auf LanSubnet gestellt?
Destination port range: Stellt man den hier wieder auf 443? Oder Stellt man den source port auf any?

Sry für die Nerverei
Bitte warten ..
Mitglied: aqui
28.02.2013, aktualisiert um 18:31 Uhr
Ha ha ha...toller Witz ein Blockheizwerk Betreiber der Ahnung von Firewalls hat...wovon träumst du denn sonst noch nachts ?
Wär mal ein Thema für einen Science Fiction !
Was deine VPN Logik anbetrifft liegst du ganz richtig !
Du kannst ja als "Schrotschuss" Lösung auf dem VPN Port und dem LAN Port erstmal mit any zu any alles freigeben nur damit du nicht wieder über falsche Firewall Regeln stolperst beim Testen !!
Wenn du damit die VPN Funktion an sich zum Laufen bekommen hast, dann machst du die Firewall langsam Schritt für Schritt wieder dicht....eigentlich ganz einfach mit ein paar Mausklicks erledigt in der Monowall/pfSense.
Also für dich:
Action : pass
Interface: Lan
Protocol: any
Source: LAN Segment
(Logo denn die Packete kommen ja vom LAN !)
Source port range: any
(Soll ja erstmal alles sein ums dir erstmal einfach zu machen !)
Destination: any
Destination port range: any

Wie gesagt das erlaubt erstmal ALLES und blockiert keinen Traffic !
Analog musst du das AUCH auf dem VPN Tunnelinterface machen, denn da gelten logischerweise auch Firewall Regeln.
Mit diesen "any zu any" Regeln erlaubst du global erstmal alles ohne das Firewall regeln dich blocken und kannst den Zugang generell testen !
Wenn alles funktioniert, machst du das "Scheunentor" mit den FW regeln wieder zu und erlaubst nur das was du wirklich willst !!

Wenn du dennoch Schwirigkeiten hast poste dein Setup als Screenshot hier !
Die Bilder Upload Funktion macht das möglich !
(Fragen Thread mit "Bearbeiten" editieren und Bilder hochladen (Button oben links), Bilder URL mit Rechtsklick und cut and paste sichern und in den Text bringen. Statt URL komt...et voila..immer dein Bild vom Screenshot)
Bitte warten ..
Mitglied: Grasrocker
04.03.2013 um 11:18 Uhr
Was meinst du genau mit "VPN Tunnelinterface"?
Bitte warten ..
Mitglied: aqui
04.03.2013 um 13:08 Uhr
Das PPTP oder IPsec Interface was du siehst in der Karteireiter Auswahl wenn du die FW Regeln definierst für diese Interfaces !
Dort erscheint ein virtuelles Interface je nach VPN Protokoll was du betreibst !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
RODC über VPN - Verbindung weg (9)

Frage von stefan2k1 zum Thema Windows Server ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...