andrew 15 Geschrieben 2. Dezember 2010 Melden Teilen Geschrieben 2. Dezember 2010 Grundgedanke: Möchte meinen oder meine Server, welche ich in der DMZ habe, via VPN Tunnel mit dem LAN auf sichere Art und Weise kommunizieren lassen! Wie sieht mein Netz aus (vom Internet aus Richtung DMZ sehend) ----------------------------------- - Internet - dahinter eine Fritz Box mit DSL verbunden, macht auch WLAN. Fritz Box ist als Router konfiguriert. Konfig: > WAN = öffentliche IP von Provider > LAN = 192.168.2.254 ----------------------------------- - dahinter eine Linux Firewall mit drei eingebauten Netzwerkkarten Konfig: > WAN Schnittstelle: (rot) = 192.168.2.1 (ist also physisch mit der LAN Schnittstelle der Fritzbox verbunden >> 192.168.2.254) > LAN Interface: 192.168.3.1 (grün) (im 192.168.3.0 /24 Netz stehen zwei DCs mit Windows Server 2003 und ein Client mit Windows 7 --> Domäne) > DMZ Interface: 192.168.4.1 (orange) Da steht zurzeit ein Server (Arbeitsgruppe) mit VM Server installiert ----------------------------------- -dahinter habe ich eine Zywall 2 (eine alte, nicht mehr supportete Zywall 2, ich weiss) im Einsatz. Dachte, anstatt, dass die da auf meinem Tisch verstaubt, benutze ich diese und richte einen VPN Tunnen auf, einen VPN Tunnel zwischen DMZ (die DMZ wäre dann hinter der Zywall 2) und und LAN. Dies wäre zumindest das Ziel, weil ich möchte ja vom LAN aus die Netzwerkgeräte von der DMZ erreichen können respektive umgekehrt. von LAN > DMZ wäre eine Kommunikation mit den Netzwerkgeräten in der DMZ möglich, da die Linux Firewall per default dies so zulässt (jeden Datenverkehr, von any to DMZ) Umgekehrt verständlicherweise nicht, da es ja nicht der Sinn der Sache wäre, von der DMZ jegliche Kommunikation einfach mit dem LAN zuzulassen. Soweit kann ich noch alles nachvollziehen .. -------------------------------------------------------- - hinter der Linux Firwall befindet sich also neu auch die Zywall 2 Firewall. Konfig: > WAN Schnittstelle = 192.168.4.254 > 192.168.4.1 (ist physisch mit einem Netzwerkabel mit dem DMZ Interface 192.168.4.1 der Linux Firewall verbunden) > LAN Schnittstelle der Zywall 2: 192.168.5.1 (DMZ Netz ist also 192.168.5.0 /24) VPN Konfiguration der Zywall 2: > Netzwerkonfig: Local Network = Subnetz der DMZ gewählt, 192.168.5.0 mit Subnetzmaske 255.255.255.0 eingestellt > Remotekonfig: Remote Network = Subnetz des grünen LANs gewählt, also 192.168.3.0 und Subnetzmaske 255.255.255.0 (also habe hier Subnetz eingestellt, im Pulldown Menü) (weil ich ja möchte, dass ich von der DMZ mich mit dem LAN kommunizieren kann) ---------------- Phase 1 ---------------- > IKE Tunnel Settings (Phase 1): > Negotiation Mode = Main Mode > Encryption Algorithm = 3DES Authentication Algorithm = MD5 > Key Group = DH2 > SA Life Time = 28800 (Seconds) > Pre Shared Key = Gugus123$ --------------- Phase 2 --------------- > IPSec Settings (Phase2) > Encapsulation Mode = Tunnel Mode > IPSec Protocol ) = ESP > Encryption Algorithm = 3DES > Authentication Algorithm = SHA1 > SA Live time = 28800 (Seconds) bei Dieser Einstellung bin ich mir auswendig aus dem Kopf nicht mehr sicher, ob hier 28800 steht) Perfect Forward Secrey (PFS) = Yes (glaube da kann ich zwei auswählen, SHA1 und SHA2, habe hier meines Wissens SHA2) So das wars mal, betreffend Zywall 2 Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 2. Dezember 2010 Autor Melden Teilen Geschrieben 2. Dezember 2010 Nun zur Linux VPN KOnfiguration: -------------------------------------- LInux VPN Konfiguration: > Netzwerkonfig: lokales Subnetz: 192.168.3.0 mit Subnetzmaske 255.255.255.0 eingestellt > lokale ID = 192.168.4.1 (habe dieses Interface gewählt, weil ich dachte, ich müsses dieses angeben) > Gegenstelle/ Host IP: 192.168.4.254 > Subnetz der Gegenstelle: 192.168.5.0 > entfernte ID: 192.168.4.254 > Pre Shared Key = Gugus123$ ---------------- Phase 1 ---------------- > IKE Tunnel Settings (Phase 1): > IKE Verschlüsselung 3DES > IKE Integrität (SHA oder MD5 auswählbar, hier MD5 angegeben) > IKE Lebensdauer = 1 Stunde) > IKE Gruppen Typ = DH Gruppe 2 (1024 Bit) Tiefer geht nicht, die Endian Linux Firewall beginnt hier, ab DH Gruppe 2 und geht bis DH Gruppe 18 (8192 Bit Verschlüsselung) Bringt mir aber wenig, da der andere VPN Gateway, in meinem Fall die Zywall 2 nur DH 1 und DH 2 Gruppe unterstützt --------------- Phase 2 --------------- > IPSec Settings (Phase2) > ESP Verschlüsselung: Encryption Algorithm = 3DES > Authentication Algorithm = SHA1 (ESP Integrität, hier ist SHA1 und MD5 auswählbar, ich habe SHA1 ausgewählt) > ESP Schlüssel Lebensdauer:8 Stunden > Perfect Forward Secrey (PFS) = Yes (bei der Linux Firewall kann man hier nur sagen, yes oder no, mehr nicht) Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 2. Dezember 2010 Autor Melden Teilen Geschrieben 2. Dezember 2010 So: Initiere ich den Tunnel von der Linux Seite her, sage, bau den Tunnel auf, gelang mir dies auch, nur kann ich zurzeit folgende IPs NICHT anpingen: > GW Interface, also die interne LAN Adresse der Zywall 2, diese ist immer noch 192.168.5.1 > auch den Server 2003 dahinter ist nicht pingbar, der hat nämlich die IP 192.168.5.5 Merkwürdiges Phänomen: > am ersten Tag, als ich diese Idee hatte, nahm ich meine Zywall 2 Appliances und dachte, gut, resete doch mal zuerst diese Zywall 2. Das tat ich auch und richtete genau so wie oben sowohl die VPN Einstellungen auf der Zywall 2 ein wie auch die VPN Einstellungen gemäss obiger Darstellung auf der Linux Firewall. Das Interessante, ich konnte den Tunnel wie gewünscht aufbauen Und: > ich konnte die Zywall 2 internet GW Adresse 192.168.5.1 pingen > ich konnte ebenfalls die IP Adresse des 2003 Servers hintendran pingen, 192.168.5.5 Als ich dann aber merkte, dass ich von der DMZ aus, also von der IP 192.168.5.5 zwar jede erdenkliche IP pingen konnte (die IP jedes Routers), jedoch keine einzige IP des LANs (die beiden DCs im LAN konnte ich beispeilsweise nicht pingen), dachte ich mir, gut, ich spiele da ein wenig mit Routen herum, erstellte auf der Linux Routen ..jedoch ging dann plötzlich noch weniger ... Tja, dann dekativierte ich zuerst die erstellten Routen auf der Linux Firewall wieder und schlussendlich habe ich diese gelöscht. Tja, nun bin ich nicht einmal mehr in der Lage, vom grünen Netz, also vom LAN her die beiden IPs > 192.168.5.1 (ist die interne IP der Zywall 2) > noch die IP des Servers, welcher ebenfalls physisch an den LAN Schnittstellen der Zywall 2 angeschlossen ist, pingen Langer Rede kurzer Sinn: > ich konnte anfangs, nachdem ich die Zywall 2 resetet habe, die oben genannten VPN Einstellungen vornehmen und voilà, ich konnte vom LAN aus (192.168.3.0) auch die IPs > 192.168.5.1 > 192.168.5.5 pingen Jetz, nachdem ich die Zywall 2 schon hundert mal resetet habe, funktioniert die plötzlich nicht mehr, sprich, der Tunnel steht zwar, das ist aber auch gleich alles. Soweit ich es beurteilen kann, fliesst kein Datenverkehr durch den VPN Tunnel, wieso nicht? Die Verschlüsselungen habe ich schon fast alle durchgetestet, also anstatt 3DES AES (habe herausgefunden, dass die Zywall 2 "nur" die AES 128 Bit Verschlüsselung untersützt, bei AES 256 Bit baut Sie keinen Tunnel auf), habe die IKE Integrität und die ESP Integrität (Verschlüsselungs Algorithymus) geändert und konnte zwar je nach je auch einen Tunnel aufbauen, aber eben, die IPs hinter der Zywall 2 erreiche ich ping mässig nicht mehr.... Hat die Zywall 2 einen Schuss? Habe ich was falsches konfiguriert? Noch was zur Zywall2: Das komische ist, wenn ich das Remote Netz angeben will, egal, ob ich hier im Pull Down Menu sage, Subnetz, Range oder Singel Adress, egal, in welchem privaten Adressbereich sich hier die ANgaben auch immer befinden mögen, die Zywall 2 speichert genau diesen Eintrag nie ab .... Gehe ich auf Apply (übernehmen im Menü, dann ein zweites mal auf apply, sehe ich in der VPN Übersicht zwar die erstellte VPN Regel, aber bei Remote Netzwerk steht dann immer : N/A) Tja, nichts destotrotz kann ich trotz diesem "Bug" jeweils einen VPN Tunnel aufbauen, aber eben, die IPS hinten dran, hinter der Zywall 2 respktive, wenn ich von der DMZ aus die IPS im LAN pingen will, geht da nix ... wo Fehler? *pfffffffffffffff* chappe ah, bei der Kälte ... Danke für die zahlreichen Infos von euch, komme nicht weiter ... -------------------------------------------------------------------------------- Grüsse Andrew - MCP 70- 210 & 70- 620 - man kann nicht alles Wissen, aber wenn man weiss wo nachschauen, ist die Lösung nicht mehr weit Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 3. Dezember 2010 Autor Melden Teilen Geschrieben 3. Dezember 2010 von einem anderen Forum (Informatikboard.ch): ----------------------------------------------- ich befürchte, dass Du wohl recht hast. Wenn man eine IPSec VPN Richtlinie erstellt, sollte man eben das local Subnetz und das remote Subnetz angeben können, weil man genau wie Du schreibst, definieren muss, welches lokale Netz soll mit welchem remote Netz "verbunden" werden. Genau das geht bei mir nicht, sprich, die Zywall 2 speichert einfach die Angaben beim Punkt "Remote Adress" nicht, egal, ob ich hier eine Singel Adresse eingebe, eine Subnetz Adresse aus welchen privaten Bereich auch immer, einen Range angebe, diese Zywall 2, welche ich da besitze, speichert genau diese Information NICHT !!! Naja, jetzt weiss ich auch, warum diese und auch ein andere Zyxel Gerät meines letzten Arbeitgebers mir diese zwei Teile quasi "geschenkt" haben. Der Grund ist wohl einfach: Die waren irgendwo vor Ort bei einem Kunden im Einsatz und hatten dann plötzlich einen Schuss, voilà ...das würde auch diese Problematik bei der Einrichtung des VPN Tunnels auf dieser Zywall 2 sprechen .. Naja....Dann löse ich halt das Problem auf eine andere Art und Weise... Bin mir noch am Überlegen, ob ich es mit Routing und RAS versuchen soll (Wählen bei bedarf >> VPN Verbindung von A nach B), oder ob ich mir vorab eine Zywall 2 bei Zyxel bestellen soll (Wäre eine Menge Geld, Minimum 250.-) oder was ich auch machen könnte ist, die Zywall 2 durch eine zweite Linux Firewall ersetzen (Endian, ist gratis)...dazu bräuchte ich aber einen alten PC, den hätte ich auch, benutze ich aber für andere Zwecke ..sprich, habe einen PC zu wenig ;( ... Naja, für Routing und RAS bräuhte ich auch noch was, nämlich Minimum eine zweite Netzwerkkarte, ansonsten haben die Routing und RAS Server nichts zu routen (von wo nach wo auch, wenn nur ein Netzwerk Interface :-)) Ist wohl die billigste Variante, mal gucken hehe ... Danke erst einmal, aber ist so, wie ich es vermutet habe, die Zywall 2 hat wohl einen Schuss!! -------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.