Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zyxel Zywall USG 50 Ipsec und RDP

Frage Sicherheit Firewall

Mitglied: ckuechler

ckuechler (Level 1) - Jetzt verbinden

04.06.2014 um 15:01 Uhr, 3273 Aufrufe, 3 Kommentare

Hallo

Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere Verbindung auf unseren RDP Server von unterwegs herzustellen.

Ich habe nach Anleitung von Studerus den Client auf dem Notebook installiert und erfolgreich eine Tunnelverbindung mit der Zywall aufgebaut.

Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?

Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?

Eigenschaften:

Zywall IP intern: 10.0.0.1
RDP Server IP intern: 10.0.0.80 (funktioniert problemlos über Lan)
Zywall: Erfolgreiche Tunnelverbindung über eine angelegte Dyndns Adresse steht,

In der Zywall unter Objekt/Adresse habe ich die Adresse des RDP Servers definiert:
553562825f78008d94688096a9be3753 - Klicke auf das Bild, um es zu vergrößern

Unter Objekt/Dienst ist der RDP Dienst bereits eingetragen:
3b4b225df9955f7b85f084813f3b5ce4 - Klicke auf das Bild, um es zu vergrößern

Unter Firewall habe ich dann folgende Regel angelegt:
4a27ba57b82122dc557d3de05c7c6b38 - Klicke auf das Bild, um es zu vergrößern

Client:
9127da1c8d439c3a471d819fc53ff06b - Klicke auf das Bild, um es zu vergrößern


Getestet habe ich dann über eine 3G Verbindung Tunnel steht aber Die Verbindung zum Server scheitert.

Ich hoffe jemand kann mir bei dem Problem helfen

Vielen Dank






Mitglied: aqui
05.06.2014, aktualisiert um 11:47 Uhr
Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?
Ja, das verstehst du genau richtig ! Das ist ja genau der tiefere Sinn eines VPNs !!
Im Tunnel bekommt der Client eine identische IP Adressierung wie im lokalen LAN und arbeitet dann wie als ob er im lokalen LAN angeschlossen ist wenn man mal von der reduzierten bandbreite der Tunnel / WAN Verbindung absieht.
Wie gesagt der tiefere Sinn eines VPNs...
Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?
Das kommt darauf an ob die Zywall sich auch als Firewall auf dem virtuellen Tunneladapter verhält. In der regel tun Firewalls das. D.h. im Default ist dort alles geblockt und du musst über die Firewall Regel entsprechend den VPN IP Adresspool erlauben und ggf. dienste wie TCP 3389 (RDP).
Intelligentere Firewall erzeugen automatisch eine ALLOW Regel wenn ein Client VPN angelegt wird um unwissenden laien zu helfen. Allerdings ist das sehr gefährlich, da man damit so ungewöllte Sicherheitslöcher in der Firewall erzeugen kann. Gute Firewalls fragen also nach wenn sie sowas machen ob man das will und ob die automatischen Einstellungen so richtig sind.
Sehr gute Firewalls unterlassen das und dann muss der Admin das explizit machen.
Hier hilft dir also nur die entsprechende Handbuch Lektüre zur Firewall, denn das kann ein Forum wie dieses natürlich nicht erraten obwohl unsere berühmte Kritallkugel hier schon sehr viel kann...
Frigen die offen sind:
  • Zywall IP intern: 10.0.0.1 Welche Subnetzmaske ??
  • Deine VPN Client Adress ist ebenfalls in einem RFC 1918 LAN. Ist das ein Testaufbau ?? Normal sollte dort eine öffentliche IP stehen. Wenn es hingegen die Tunnel IP Adresse ist ist die de facto falsch, denn dein lokales LAN ist im 10.0.0.0 /24 Netzwerk und der Client (Tunnel ?) dann im 10.0.20.0 /24 Netz was ja ein komplett anderes IP Netz ist und so nicht ginge ?!

Als Grundlagen Info zur IPsec Einrichtung solltest du ggf. dieses Forumstutorial nochmal lesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Achtung auch bei 3G IPsec Verbindungen. Die funktionieren NUR wenn man vom Mobilfunk Provider einen öffentliche IP Adresse auf dem Mobil Client bekommt.
Bei billigen Surf Accounts vergeben die Provider hier oft private RFC 1918 IP Adressen (10er, 172er, 192.168er). mit einem zentralen NAT. Das kann IPsec dann ohne Port Forwarding nicht überwinden und damit scheitern dann IPsec Verbindungen schon in der Phase 1. Es kommt also gar nicht erst zum Tunnelaufbau !
Hier hilft ein Blick mit ipconfig -all was man bei aktiver 3G Verbindung für IP Adressen bekommen hat vom Provider (Windows)
Außerdem ein Blick ins FW Logg beim IPsec Verbindugsaufbau. Dort werden die Verbindungsschritte genau angezeigt. Leider kein Post von dir dazu der beim Troubleshooting helfen würde
Bitte warten ..
Mitglied: ckuechler
05.06.2014 um 11:55 Uhr
Hallo


Das Subnetz ist 255.255.255.0
"Normal sollte dort eine öffentliche IP stehen" dies ist die Tunnel IP. Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt. Wahrscheinlich liegt da das Problem.

Danke für die Hilfe ich werde nun einmal noch die Grundlagen studieren.
Bitte warten ..
Mitglied: sk
06.06.2014 um 00:40 Uhr
Zitat von ckuechler:

Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt.

Das hast Du richtig recherchiert!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Firewall
gelöst ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden (4)

Frage von iceget zum Thema Firewall ...

Netzwerkmanagement
IPSEC VPN (Site2Site) bricht Child SA ab - ZyXEL USG - PfSense (2)

Frage von itschloegl zum Thema Netzwerkmanagement ...

Router & Routing
IPSEC VPN Netgear PS UTM 50 hinter Fritzbox (1)

Frage von wtwinni zum Thema Router & Routing ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
gelöst Exchange HyperV Prozessorlast (19)

Frage von theoberlin zum Thema Windows Server ...

Windows Server
Server mit Netzwerkaussetzern (18)

Frage von SarekHL zum Thema Windows Server ...

Server-Hardware
gelöst SPP von HP Abwärtskompatibel? (14)

Frage von fireskyer zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst Batchdatei um einen Proxy einzustellen (14)

Frage von CrystalFlake zum Thema LAN, WAN, Wireless ...