firewall site-to-site konfiguration

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

firewall site-to-site konfiguration

Beitrag von Bogie »

Hallo,

wir haben einen VPN Tunnel zwischen Zentrale (fixe IP) und Außenstelle (dyn. IP).
Von der Zentrale sollen nur einzelne PCs auf das Netz der Außenstelle zugreifen dürfen.
Von der Außenstelle sollen nur einzelne PCs auf das Netz der Zentrale zugreifen dürfen.
Hierfür haben wir auf beiden Seiten Firewall-Regeln definiert.

Zentrale
FW_BS.PNG
Außenstelle
FW_SHO.PNG

Das funktioniert auch, wie es soll, solange die Leitung steht. Wenn aber die Leitung neu aufgebaut werden muss, kommt es zuerst zur Verhandlung zwischen den Routern, der Tunnel wird etabliert und ist im LANmonitor sichtbar, aber ein Zugriff auf die Gegenseite ist noch nicht möglich. Erst wenn in der Firewall der Zentrale die DENY_SHO Regel ausgeschaltet wird, ist der Zugriff möglich. Danach kann die DENY_SHO Regel auch wieder eingeschaltet werden.

Vermutlich fehlt hier noch eine ALLOW-Regel zwischen den Routern. Was müssen wir noch einstellen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: firewall site-to-site konfiguration

Beitrag von Jirka »

Hallo,

der Haken bei "Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet" muss raus.
Verwerfen ist auch nicht unbedingt schön. Zurückweisen/REJECT ist vermutlich angebrachter.

Viele Grüße,
Jirka
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: firewall site-to-site konfiguration

Beitrag von Bogie »

Mit diesen Einstellungen habe ich angefangen und dann weitere versucht. VPN-Haken (wg. VPN) und Drop (wg. Reduktion des Traffics) wurde im Forum beschrieben. Kann ich auch wieder rückgängig machen, ändert aber nichts an der Situation.
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: firewall site-to-site konfiguration

Beitrag von Jirka »

Bogie hat geschrieben: 22 Nov 2019, 09:35Mit diesen Einstellungen habe ich angefangen und dann weitere versucht.
Ich sehe ja die weiteren Einstellungen nicht. Wenn die beiden obigen Punkte berücksichtigt sind, sieht es eigentlich ganz gut aus, wobei man hier natürlich nicht sieht, was MG-BSp3 ist und warum es den anscheinend auf beiden Seiten gibt.
Bogie hat geschrieben: 22 Nov 2019, 09:35VPN-Haken (wg. VPN)
Wegen VPN ist kein Argument. Der Haken wird gesetzt, wenn man VPN-Netzbeziehungen ("SAs") definieren/setzen will. Und ansonsten niemals. Eine Regel kann aber natürlich auch Firewall- und VPN-Regel gleichzeitig sein. Dann sollte man aber wissen, was man tut.
Eigentlich ist dieser VPN-Haken vor vielen vielen Jahren aus Sparsamkeitsgründen entstanden. Man hatte schon eine Tabelle für die Firewall und da dachte man sich wieso fast das gleiche nochmal definieren, das kann man doch ebensogut für die VPN-Regeln nutzen. Leider kommen viele Leute damit nicht klar und deswegen gibt es für die VPN-Netzbeziehungen inzwischen eine neue Tabelle.
Bogie hat geschrieben: 22 Nov 2019, 09:35Drop (wg. Reduktion des Traffics)
Na ja, ob da eine Trafficreduzierung bei raus kommt, wenn der lokale Client immer und immer wieder probiert, mag ich zu bezweifeln und eine eindeutige Ansage ist auch schöner, als wenn sich dann in Folge ewig irgendwo was dreht (auf dem Bildschirm meine ich jetzt).

Viele Grüße,
Jirka
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: firewall site-to-site konfiguration

Beitrag von Bogie »

Jirka hat geschrieben: 22 Nov 2019, 13:20 Wenn die beiden obigen Punkte berücksichtigt sind, sieht es eigentlich ganz gut aus, wobei man hier natürlich nicht sieht, was MG-BSp3 ist und warum es den anscheinend auf beiden Seiten gibt.
"MG-BSp3" ist der Device-Name "einer bestimmten lokalen Station" und ein Notebook, der auf beiden Seiten zum Einsatz kommt.
Der Rest wird zwar dankend zur Kenntnis genommen, bringt uns aber der Lösung leider nicht näher.
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: firewall site-to-site konfiguration

Beitrag von ittk »

Definiere einfach erstmal sauber Deine benoetigen VPN Netzwerkbeziehungen (SAs) und dann muessen die Tunnel immer sauber - auch nach einem Reboot, Verbindungstrennung aufgebaut werden. Danach stellst Du noch das Firewall-Regelwerk passend ein, das war's. Jirka hat da eigentlich schon genuegend Hinweise gegeben...
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: firewall site-to-site konfiguration

Beitrag von Bogie »

Wie gesagt, der Tunnel wird sauber aufgebaut. Nur der Zugriff von der Zentale auf die Außenstelle nach einer Leitungstrennung gelingt erst nach Deaktivieren der DENY-Regel.

Die Verbindungen sehen so aus:

Zentrale
Netz 192.168.1xx.xxx/24
VPN_GWZ
218.90.xxx.xxx feste IP
Routing
192.168.2xx.xxx -> VPN_GWA (Adresse leer, Haltezeit 0, FQUN, lokales Zertifikat VPN1)

Außenstelle
Netz 192.168.2xx.xxx/24
VPN_GWA
47.80.xxx.xxx dynamische IP
Routing
192.168.1xx.xxx -> VPN_GWZ (218.90.xxx.xxx, Haltezeit 99990, FQUN, lokales Zertifikat VPN1)

Was braucht Ihr noch für Infos?
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: firewall site-to-site konfiguration

Beitrag von Bogie »

Hallo,

hat denn zu unserer Anfrage keiner einen Lösungsansatz?
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: firewall site-to-site konfiguration

Beitrag von GrandDixence »

1.) Jirka's Ratschläge umsetzen (und nicht ignorieren/abblocken).
2.) VPN-Konfiguration mit der entsprechenden Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
abgleichen.
3.) Fehler mit dem entsprechenden Werkzeug eingrenzen:
viewtopic.php?f=31&t=17621&p=99943&hili ... ark#p99943
4.) Auf LCOS 10.32.0092 SU3 oder höher aktualisieren. Gemäss "Release Notes", Eintrag zu LCOS 10.32.0092 RU2, Kapitel "Allgemeines" könnte hier ein LCOS-Update auf 10.32.0092 RU2 oder höher Abhilfe schaffen.

Code: Alles auswählen

Wenn in der Firewall des LANCOM Routers eine „Deny all“-Regel konfiguriert, und für die Kommunikation zwi-
schen dem VPN-Client und dem lokalen Netzwerk eine „Allow“-Regel in der Firewall angelegt war, in welcher
als Quelle der Name der VPN-Gegenstelle hinterlegt wurde, konnte über den VPN-Tunnel keine Kommunikation
stattfinden.
Benutzeravatar
Bogie
Beiträge: 64
Registriert: 23 Okt 2019, 10:44

Re: firewall site-to-site konfiguration

Beitrag von Bogie »

GrandDixence hat geschrieben: 28 Nov 2019, 17:08 1.) Jirka's Ratschläge umsetzen (und nicht ignorieren/abblocken).
Ist längst geschehen, ändert aber nichts, und ich hatte schon geschrieben, dass das unsere Ausgangskonfiguration war.
GrandDixence hat geschrieben: 28 Nov 2019, 17:08 2.) VPN-Konfiguration mit der entsprechenden Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
abgleichen.
Haben wir gemacht.
GrandDixence hat geschrieben: 28 Nov 2019, 17:08 3.) Fehler mit dem entsprechenden Werkzeug eingrenzen:
viewtopic.php?f=31&t=17621&p=99943&hili ... ark#p99943
Bitte präzisieren, was sollen wir untersuchen und welches Tool verwenden?
GrandDixence hat geschrieben: 28 Nov 2019, 17:08 4.) Auf LCOS 10.32.0092 SU3 oder höher aktualisieren. Gemäss "Release Notes", Eintrag zu LCOS 10.32.0092 RU2, Kapitel "Allgemeines" könnte hier ein LCOS-Update auf 10.32.0092 RU2 oder höher Abhilfe schaffen.
Würden wir gerne machen. Es geht aber um R884VA und R883VAW beide mit 10.32.0024. Mehr gibt uns die Kette Lancom/Telekom bisher nicht frei. Das könnte uns aber weiterbringen.
Gruß
Bogie


"The person who asks a question is a fool for a minute. The person who does not ask, is a fool for life." --Confucius
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: firewall site-to-site konfiguration

Beitrag von ittk »

Da musst Du Dich gedulden, bis die es freigeben...
Aber bezieht sich der RN Auszug nicht auf einem VPN-Client, also ein End to Site VPN und nicht auf ein Site-to-Site VPNs?
Bogie hat geschrieben: 29 Nov 2019, 15:54
GrandDixence hat geschrieben: 28 Nov 2019, 17:08 4.) Auf LCOS 10.32.0092 SU3 oder höher aktualisieren. Gemäss "Release Notes", Eintrag zu LCOS 10.32.0092 RU2, Kapitel "Allgemeines" könnte hier ein LCOS-Update auf 10.32.0092 RU2 oder höher Abhilfe schaffen.
Würden wir gerne machen. Es geht aber um R884VA und R883VAW beide mit 10.32.0024. Mehr gibt uns die Kette Lancom/Telekom bisher nicht frei. Das könnte uns aber weiterbringen.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Antworten