Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zyxel Zywall USG 50 Ipsec und RDP

Frage Sicherheit Firewall

Mitglied: ckuechler

ckuechler (Level 1) - Jetzt verbinden

04.06.2014 um 15:01 Uhr, 3483 Aufrufe, 3 Kommentare

Hallo

Wir haben kürzlich eine Ipsec VPN Client Lizenz für unsere Zyxel Zywall USG 50 gekauft, um eine sichere Verbindung auf unseren RDP Server von unterwegs herzustellen.

Ich habe nach Anleitung von Studerus den Client auf dem Notebook installiert und erfolgreich eine Tunnelverbindung mit der Zywall aufgebaut.

Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?

Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?

Eigenschaften:

Zywall IP intern: 10.0.0.1
RDP Server IP intern: 10.0.0.80 (funktioniert problemlos über Lan)
Zywall: Erfolgreiche Tunnelverbindung über eine angelegte Dyndns Adresse steht,

In der Zywall unter Objekt/Adresse habe ich die Adresse des RDP Servers definiert:
553562825f78008d94688096a9be3753 - Klicke auf das Bild, um es zu vergrößern

Unter Objekt/Dienst ist der RDP Dienst bereits eingetragen:
3b4b225df9955f7b85f084813f3b5ce4 - Klicke auf das Bild, um es zu vergrößern

Unter Firewall habe ich dann folgende Regel angelegt:
4a27ba57b82122dc557d3de05c7c6b38 - Klicke auf das Bild, um es zu vergrößern

Client:
9127da1c8d439c3a471d819fc53ff06b - Klicke auf das Bild, um es zu vergrößern


Getestet habe ich dann über eine 3G Verbindung Tunnel steht aber Die Verbindung zum Server scheitert.

Ich hoffe jemand kann mir bei dem Problem helfen

Vielen Dank






Mitglied: aqui
05.06.2014, aktualisiert um 11:47 Uhr
Verstehe ich das richtig, dass durch die Tunnelverbindung sich das Notebook von ausserhalb nun im internen Netz befindet und somit eigentlich problemlos auf den RDP Server über die interne Lan-Adresse zugegriffen werden kann?
Ja, das verstehst du genau richtig ! Das ist ja genau der tiefere Sinn eines VPNs !!
Im Tunnel bekommt der Client eine identische IP Adressierung wie im lokalen LAN und arbeitet dann wie als ob er im lokalen LAN angeschlossen ist wenn man mal von der reduzierten bandbreite der Tunnel / WAN Verbindung absieht.
Wie gesagt der tiefere Sinn eines VPNs...
Was muss noch bei der Zywall eingestellt werden, dass er eine Verbindung vom Client zum RDP Server zulässt?
Das kommt darauf an ob die Zywall sich auch als Firewall auf dem virtuellen Tunneladapter verhält. In der regel tun Firewalls das. D.h. im Default ist dort alles geblockt und du musst über die Firewall Regel entsprechend den VPN IP Adresspool erlauben und ggf. dienste wie TCP 3389 (RDP).
Intelligentere Firewall erzeugen automatisch eine ALLOW Regel wenn ein Client VPN angelegt wird um unwissenden laien zu helfen. Allerdings ist das sehr gefährlich, da man damit so ungewöllte Sicherheitslöcher in der Firewall erzeugen kann. Gute Firewalls fragen also nach wenn sie sowas machen ob man das will und ob die automatischen Einstellungen so richtig sind.
Sehr gute Firewalls unterlassen das und dann muss der Admin das explizit machen.
Hier hilft dir also nur die entsprechende Handbuch Lektüre zur Firewall, denn das kann ein Forum wie dieses natürlich nicht erraten obwohl unsere berühmte Kritallkugel hier schon sehr viel kann...
Frigen die offen sind:
  • Zywall IP intern: 10.0.0.1 Welche Subnetzmaske ??
  • Deine VPN Client Adress ist ebenfalls in einem RFC 1918 LAN. Ist das ein Testaufbau ?? Normal sollte dort eine öffentliche IP stehen. Wenn es hingegen die Tunnel IP Adresse ist ist die de facto falsch, denn dein lokales LAN ist im 10.0.0.0 /24 Netzwerk und der Client (Tunnel ?) dann im 10.0.20.0 /24 Netz was ja ein komplett anderes IP Netz ist und so nicht ginge ?!

Als Grundlagen Info zur IPsec Einrichtung solltest du ggf. dieses Forumstutorial nochmal lesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Achtung auch bei 3G IPsec Verbindungen. Die funktionieren NUR wenn man vom Mobilfunk Provider einen öffentliche IP Adresse auf dem Mobil Client bekommt.
Bei billigen Surf Accounts vergeben die Provider hier oft private RFC 1918 IP Adressen (10er, 172er, 192.168er). mit einem zentralen NAT. Das kann IPsec dann ohne Port Forwarding nicht überwinden und damit scheitern dann IPsec Verbindungen schon in der Phase 1. Es kommt also gar nicht erst zum Tunnelaufbau !
Hier hilft ein Blick mit ipconfig -all was man bei aktiver 3G Verbindung für IP Adressen bekommen hat vom Provider (Windows)
Außerdem ein Blick ins FW Logg beim IPsec Verbindugsaufbau. Dort werden die Verbindungsschritte genau angezeigt. Leider kein Post von dir dazu der beim Troubleshooting helfen würde
Bitte warten ..
Mitglied: ckuechler
05.06.2014 um 11:55 Uhr
Hallo


Das Subnetz ist 255.255.255.0
"Normal sollte dort eine öffentliche IP stehen" dies ist die Tunnel IP. Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt. Wahrscheinlich liegt da das Problem.

Danke für die Hilfe ich werde nun einmal noch die Grundlagen studieren.
Bitte warten ..
Mitglied: sk
06.06.2014 um 00:40 Uhr
Zitat von ckuechler:

Ich habe gelesen, dass die nicht im gleichem bereich sein darf, darum habe ich für die Tunnel IP 10.0.20.1 gewählt.

Das hast Du richtig recherchiert!
Bitte warten ..
Ähnliche Inhalte
Firewall
IPSec VPN zwischen pfSense und Zyxel USG
Frage von tr00p3rFirewall24 Kommentare

Guten Tag Grundsätzlich sollten die pfSense und die Zyxel USG für den Verbindungsaufbau eines IPSec VPN Tunnels kompatibel sein. ...

Firewall
ZyXEL ZyWALL USG 100 - Multinat möglich ?
Frage von uridium69Firewall6 Kommentare

Ich plane eine ZyXEL ZyWALL USG 100 zu erwerben, gebraucht, für mich ist es ein MUSS dass ich mehrere ...

Firewall
IPSEC Zyxel USG 100 mehrere User
gelöst Frage von geocastFirewall4 Kommentare

Einen schönen windigen Abend zusammen Ich habe gerade eine IPSEC Verbindung mit meiner USG 100 (aktuellste Firmware) und Shrewsoft ...

Firewall
ZyXEL Zywall 110 L2TP-IPSec VPN mit AD
gelöst Frage von ValexusFirewall8 Kommentare

Hallo an alle, da bei unserem DrayTek 3900 ein L2TP/IPSec VPN in Verbindung mit einer AD Gruppe nur mit ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 17 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 22 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 22 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
gelöst Frage von prodriveNetzwerkmanagement12 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...