Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zyxel Zywall USG 50 Ipsec und RDP

Frage Sicherheit Firewall

Mitglied: ckuechler

ckuechler (Level 1) - Jetzt verbinden

04.06.2014 um 15:01 Uhr, 3155 Aufrufe, 3 Kommentare

Hallo

Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere Verbindung auf unseren RDP Server von unterwegs herzustellen.

Ich habe nach Anleitung von Studerus den Client auf dem Notebook installiert und erfolgreich eine Tunnelverbindung mit der Zywall aufgebaut.

Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?

Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?

Eigenschaften:

Zywall IP intern: 10.0.0.1
RDP Server IP intern: 10.0.0.80 (funktioniert problemlos über Lan)
Zywall: Erfolgreiche Tunnelverbindung über eine angelegte Dyndns Adresse steht,

In der Zywall unter Objekt/Adresse habe ich die Adresse des RDP Servers definiert:
553562825f78008d94688096a9be3753 - Klicke auf das Bild, um es zu vergrößern

Unter Objekt/Dienst ist der RDP Dienst bereits eingetragen:
3b4b225df9955f7b85f084813f3b5ce4 - Klicke auf das Bild, um es zu vergrößern

Unter Firewall habe ich dann folgende Regel angelegt:
4a27ba57b82122dc557d3de05c7c6b38 - Klicke auf das Bild, um es zu vergrößern

Client:
9127da1c8d439c3a471d819fc53ff06b - Klicke auf das Bild, um es zu vergrößern


Getestet habe ich dann über eine 3G Verbindung Tunnel steht aber Die Verbindung zum Server scheitert.

Ich hoffe jemand kann mir bei dem Problem helfen

Vielen Dank






Mitglied: aqui
05.06.2014, aktualisiert um 11:47 Uhr
Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?
Ja, das verstehst du genau richtig ! Das ist ja genau der tiefere Sinn eines VPNs !!
Im Tunnel bekommt der Client eine identische IP Adressierung wie im lokalen LAN und arbeitet dann wie als ob er im lokalen LAN angeschlossen ist wenn man mal von der reduzierten bandbreite der Tunnel / WAN Verbindung absieht.
Wie gesagt der tiefere Sinn eines VPNs...
Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?
Das kommt darauf an ob die Zywall sich auch als Firewall auf dem virtuellen Tunneladapter verhält. In der regel tun Firewalls das. D.h. im Default ist dort alles geblockt und du musst über die Firewall Regel entsprechend den VPN IP Adresspool erlauben und ggf. dienste wie TCP 3389 (RDP).
Intelligentere Firewall erzeugen automatisch eine ALLOW Regel wenn ein Client VPN angelegt wird um unwissenden laien zu helfen. Allerdings ist das sehr gefährlich, da man damit so ungewöllte Sicherheitslöcher in der Firewall erzeugen kann. Gute Firewalls fragen also nach wenn sie sowas machen ob man das will und ob die automatischen Einstellungen so richtig sind.
Sehr gute Firewalls unterlassen das und dann muss der Admin das explizit machen.
Hier hilft dir also nur die entsprechende Handbuch Lektüre zur Firewall, denn das kann ein Forum wie dieses natürlich nicht erraten obwohl unsere berühmte Kritallkugel hier schon sehr viel kann...
Frigen die offen sind:
  • Zywall IP intern: 10.0.0.1 Welche Subnetzmaske ??
  • Deine VPN Client Adress ist ebenfalls in einem RFC 1918 LAN. Ist das ein Testaufbau ?? Normal sollte dort eine öffentliche IP stehen. Wenn es hingegen die Tunnel IP Adresse ist ist die de facto falsch, denn dein lokales LAN ist im 10.0.0.0 /24 Netzwerk und der Client (Tunnel ?) dann im 10.0.20.0 /24 Netz was ja ein komplett anderes IP Netz ist und so nicht ginge ?!

Als Grundlagen Info zur IPsec Einrichtung solltest du ggf. dieses Forumstutorial nochmal lesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Achtung auch bei 3G IPsec Verbindungen. Die funktionieren NUR wenn man vom Mobilfunk Provider einen öffentliche IP Adresse auf dem Mobil Client bekommt.
Bei billigen Surf Accounts vergeben die Provider hier oft private RFC 1918 IP Adressen (10er, 172er, 192.168er). mit einem zentralen NAT. Das kann IPsec dann ohne Port Forwarding nicht überwinden und damit scheitern dann IPsec Verbindungen schon in der Phase 1. Es kommt also gar nicht erst zum Tunnelaufbau !
Hier hilft ein Blick mit ipconfig -all was man bei aktiver 3G Verbindung für IP Adressen bekommen hat vom Provider (Windows)
Außerdem ein Blick ins FW Logg beim IPsec Verbindugsaufbau. Dort werden die Verbindungsschritte genau angezeigt. Leider kein Post von dir dazu der beim Troubleshooting helfen würde
Bitte warten ..
Mitglied: ckuechler
05.06.2014 um 11:55 Uhr
Hallo


Das Subnetz ist 255.255.255.0
"Normal sollte dort eine öffentliche IP stehen" dies ist die Tunnel IP. Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt. Wahrscheinlich liegt da das Problem.

Danke für die Hilfe ich werde nun einmal noch die Grundlagen studieren.
Bitte warten ..
Mitglied: sk
06.06.2014 um 00:40 Uhr
Zitat von ckuechler:

Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt.

Das hast Du richtig recherchiert!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
gelöst ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden (4)

Frage von iceget zum Thema Firewall ...

LAN, WAN, Wireless
ZyXEL ZyWALL USG20 - DDNS (1)

Frage von devanager zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN von ZyXEL USG zu Windows Server 2012 R2 (13)

Frage von itschloegl zum Thema Router & Routing ...

Firewall
gelöst Zyxel USG 40 Zugriff auf NAS funktioniert nicht (7)

Frage von Alexwehle zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...