Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794 Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794 Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794 Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794 Warning: Undefined array key "p" in /home/clients/119990c2465ec8673b725b4ed2ffc513/sites/informatikboard.ch/includes/vb5/template.php(404) : eval()'d code on line 794 VPN Tunnel steht: IPs trotzdem nicht pingbar - iB - InformatikBoard.ch - Benutzer helfen Benutzern

Ankündigung

Einklappen
Keine Ankündigung bisher.

VPN Tunnel steht: IPs trotzdem nicht pingbar

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Problem: VPN Tunnel steht: IPs trotzdem nicht pingbar

    Hello together


    Das Problem ist, dass ich einen VPN Tunnen im LAN aufbauen kann, der Tunnen steht, jedoch kann ich dahinter keine IPs anpingen.

    Der Tunnel sollte gemäss meinen Vorstellungen (in meiner Testumgebung) vom grünen LAN (vertrauensvolle LAN) zum orangen LAN (weniger vertrauensvolle LAN, die DMZ) eingeleitet werden.

    Grundgedanke: Möchte meinen oder meine Server, welche ich in der DMZ habe, via VPN Tunnel mit dem LAN auf sichere Art und Weise kommunizieren lassen!

    Wie sieht mein Netz aus (vom Internet aus Richtung DMZ sehend)
    -----------------------------------

    - Internet
    - dahinter eine Fritz Box mit DSL verbunden, macht auch WLAN. Fritz Box ist als Router konfiguriert.

    Konfig:
    > WAN = öffentliche IP von Provider
    > LAN = 192.168.2.254
    -----------------------------------
    - dahinter eine Linux Firewall mit drei eingebauten Netzwerkkarten

    Konfig:
    > WAN Schnittstelle: (rot) = 192.168.2.1 (ist also physisch mit der LAN Schnittstelle der Fritzbox verbunden >> 192.168.2.254)
    > LAN Interface: 192.168.3.1 (grün) (im 192.168.3.0 /24 Netz stehen zwei DCs mit Windows Server 2003 und ein Client mit Windows 7 --> Domäne)
    > DMZ Interface: 192.168.4.1 (orange) Da steht zurzeit ein Server (Arbeitsgruppe) mit VM Server installiert
    -----------------------------------
    -dahinter habe ich eine Zywall 2 (eine alte, nicht mehr supportete Zywall 2, ich weiss) im Einsatz. Dachte, anstatt, dass die da auf meinem Tisch verstaubt, benutze ich diese und richte einen VPN Tunnen auf, einen VPN Tunnel zwischen DMZ (die DMZ wäre dann hinter der Zywall 2) und und LAN.

    Dies wäre zumindest das Ziel, weil ich möchte ja vom LAN aus die Netzwerkgeräte von der DMZ erreichen können respektive umgekehrt.

    von LAN > DMZ wäre eine Kommunikation mit den Netzwerkgeräten in der DMZ möglich, da die Linux Firewall per default dies so zulässt (jeden Datenverkehr, von any to DMZ)

    Umgekehrt verständlicherweise nicht, da es ja nicht der Sinn der Sache wäre, von der DMZ jegliche Kommunikation einfach mit dem LAN zuzulassen.

    Soweit kann ich noch alles nachvollziehen ..
    --------------------------------------------------------
    - hinter der Linux Firwall befindet sich also neu auch die Zywall 2 Firewall.

    Konfig:
    > WAN Schnittstelle = 192.168.4.254 > 192.168.4.1 (ist physisch mit einem Netzwerkabel mit dem DMZ Interface 192.168.4.1 der Linux Firewall verbunden)
    > LAN Schnittstelle der Zywall 2: 192.168.5.1 (DMZ Netz ist also 192.168.5.0 /24)


    VPN Konfiguration der Zywall 2:
    > Netzwerkonfig: Local Network = Subnetz der DMZ gewählt, 192.168.5.0 mit Subnetzmaske 255.255.255.0 eingestellt

    > Remotekonfig: Remote Network = Subnetz des grünen LANs gewählt, also 192.168.3.0 und Subnetzmaske 255.255.255.0 (also habe hier Subnetz eingestellt, im Pulldown Menü)
    (weil ich ja möchte, dass ich von der DMZ mich mit dem LAN kommunizieren kann)

    ----------------
    Phase 1
    ----------------
    > IKE Tunnel Settings (Phase 1):
    > Negotiation Mode = Main Mode
    > Encryption Algorithm = 3DES
    Authentication Algorithm = MD5
    > Key Group = DH2
    > SA Life Time = 28800 (Seconds)
    > Pre Shared Key = Gugus123$


    ---------------
    Phase 2
    ---------------
    > IPSec Settings (Phase2)
    > Encapsulation Mode = Tunnel Mode
    > IPSec Protocol ) = ESP
    > Encryption Algorithm = 3DES
    > Authentication Algorithm = SHA1
    > SA Live time = 28800 (Seconds) bei Dieser Einstellung bin ich mir auswendig aus dem Kopf nicht mehr sicher, ob hier 28800 steht)
    Perfect Forward Secrey (PFS) = Yes (glaube da kann ich zwei auswählen, SHA1 und SHA2, habe hier meines Wissens SHA2)

    So das wars mal, betreffend Zywall 2
    Nun zur Linux VPN KOnfiguration:

    --------------------------------------
    LInux VPN Konfiguration:

    > Netzwerkonfig: lokales Subnetz: 192.168.3.0 mit Subnetzmaske 255.255.255.0 eingestellt
    > lokale ID = 192.168.4.1 (habe dieses Interface gewählt, weil ich dachte, ich müsses dieses angeben)
    > Gegenstelle/ Host IP: 192.168.4.254
    > Subnetz der Gegenstelle: 192.168.5.0
    > entfernte ID: 192.168.4.254
    > Pre Shared Key = Gugus123$

    Bemerkung:
    Warum man entfernte ID und auch noch Gegenstelle( Host IP) angeben muss, verstehe ich nicht, vielleicht kann mir das Jemand erklären, auf jeden Fall habe ich bei beiden Orten die gleiche IP angegeben (das äussere Interface, also das WAN INterface, sozusagen der Zywall 2, eben 192.168.4.254)

    ----------------
    Phase 1
    ----------------
    > IKE Tunnel Settings (Phase 1):
    > IKE Verschlüsselung 3DES
    > IKE Integrität (SHA oder MD5 auswählbar, hier MD5 angegeben)
    > IKE Lebensdauer = 1 Stunde)
    > IKE Gruppen Typ = DH Gruppe 2 (1024 Bit)
    Tiefer geht nicht, die Endian Linux Firewall beginnt hier, ab DH Gruppe 2 und geht bis DH Gruppe 18 (8192 Bit Verschlüsselung)

    Bringt mir aber wenig, da der andere VPN Gateway, in meinem Fall die Zywall 2 nur DH 1 und DH 2 Gruppe unterstützt


    ---------------
    Phase 2
    ---------------
    > IPSec Settings (Phase2)
    > ESP Verschlüsselung: Encryption Algorithm = 3DES
    > Authentication Algorithm = SHA1 (ESP Integrität, hier ist SHA1 und MD5 auswählbar, ich habe SHA1 ausgewählt)
    > ESP Schlüssel Lebensdauer:8 Stunden
    > Perfect Forward Secrey (PFS) = Yes (bei der Linux Firewall kann man hier nur sagen, yes oder no, mehr nicht)

    --------------------------------------------------------------



    So, was habe ich nun versucht?
    Habe überlegt, gut, ich möchte eine sichere Kommunikation zwischen grünem LAN und orangem LAN (DMZ), also richtete ich einen VPN Tunnen ein, wie oben beschrieben (VPN Einstellungen auf der Zywall 2 und VPN Einstellungen auf der Linux Firewall vorgenommen, wie oben beschrieben)

    Bemerkung:
    Meine Linux Firewall, für die Leute, welche es interessiert: Endial Firewall --> Endian - Unified Threat Management, Firewall Appliance, UTM Appliance, Hotspot, Antispam, Antivirus, VPN, OpenVPN, Open Source --> ein preisgekröntes, gratis Produkt) kann man via WAN Internface und auch beispielsweise via oranges Interface, also via DMZ Interface einen VPN Tunnen initieren.


    So: Initiere ich den Tunnen von der Linux Seite her, sage, bau den Tunnel auf, gelang mir dies auch, nur kann ich zurzeit folgende IPs NICHT anpingen:

    > GW Interface, also die interne LAN Adresse der Zywall 2, diese ist immer noch 192.168.5.1
    > auch den Server 2003 dahinter ist nicht pingbar, der hat nämlich die IP 192.168.5.5


    Merkwürdiges Phänomen:
    > am ersten Tag, als ich diese Idee hatte, nahm ich meine Zywall 2 Appliances und dachte, gut, resete doch mal zuerst diese Zywall 2. Das tat ich auch und richtete genau so wie oben sowohl die VPN Einstellungen auf der Zywall 2 ein wie auch die VPN Einstellungen gemäss obiger Darstellung auf der Linux Firewall.

    Das Interessante, ich konnte den Tunnel wie gewünscht aufbauen Und:

    > ich konnte die Zywall 2 internet GW Adresse 192.168.5.1 pingen
    > ich konnte ebenfalls die IP Adresse des 2003 Servers hintendran pingen, 192.168.5.5


    Als ich dann aber merkte, dass ich von der DMZ aus, also von der IP 192.168.5.5 zwar jede erdenkliche IP pingen konnte (die IP jedes Routers), jedoch keine einzige IP des LANs (die beiden DCs im LAN konnte ich beispeilsweise nicht pingen), dachte ich mir, gut, ich spiele da ein wenig mit Routen herum, erstellte auf der Linux Routen ..jedoch ging dann plötzlich noch weniger ...

    Tja, dann dekativierte ich zuerst die erstellten Routen auf der Linux Firewall wieder und schlussendlich habe ich diese gelöscht.

    Tja, nun bin ich nicht einmal mehr in der Lage, vom grünen Netz, also vom LAN her die beiden IPs

    > 192.168.5.1 (ist die interne IP der Zywall 2)
    > noch die IP des Servers, welcher ebenfalls physisch an den LAN Schnittstellen der Zywall 2 angeschlossen ist, pingen



    Langer Rede kurzer Sinn:
    > ich konnte anfangs, nachdem ich die Zywall 2 resetet habe, die oben genannten VPN Einstellungen vornehmen und voilà, ich konnte vom LAN aus (192.168.3.0) auch die IPs

    > 192.168.5.1
    > 192.168.5.5 pingen

    Jetz, nachdem ich die Zywall 2 schon hundert mal resetet habe, funktioniert die plötzlich nicht mehr, sprich, der Tunnel steht zwar, das ist aber auch gleich alles.

    Soweit ich es beurteilen kann, fliesst kein Datenverkehr durch den VPN Tunnel, wieso nicht?

    Die Verschlüsselungen habe ich schon fast alle durchgetestet, also anstatt 3DES AES (habe herausgefunden, dass die Zywall 2 "nur" die AES 128 Bit Verschlüsselung untersützt, bei AES 256 Bit baut Sie keinen Tunnel auf), habe die IKE Integrität und die ESP Integrität (Verschlüsselungs Algorithymus) geändert und konnte zwar je nach je auch einen Tunnel aufbauen, aber eben, die IPs hinter der Zywall 2 erreiche ich ping mässig nicht mehr....

    Hat die Zywall 2 einen Schuss?
    Habe ich was falsches konfiguriert?

    Noch was zur Zywall2:
    Das komische ist, wenn ich das Remote Netz angeben will, egal, ob ich hier im Pull Down Menu sage, Subnetz, Range oder Singel Adress, egal, in welchem privaten Adressbereich sich hier die ANgaben auch immer befinden mögen, die Zywall 2 speichert genau diesen Eintrag nie ab ....

    Gehe ich auf Apply (übernehmen im Menü, dann ein zweites mal auf apply, sehe ich in der VPN Übersicht zwar die erstellte VPN Regel, aber bei Remote Netzwerk steht dann immer : N/A)

    Tja, nichts destotrotz kann ich trotz diesem "Bug" jeweils einen VPN Tunnel aufbauen, aber eben, die IPS hinten dran, hinter der Zywall 2 respktive, wenn ich von der DMZ aus die IPS im LAN pingen will, geht da nix ...

    wo Fehler? *pfffffffffffffff*
    chappe ah, bei der Kälte ...

    Danke für die zahlreichen Infos von euch, komme nicht weiter ...
    Grüsse Andrew - MCP 70- 210 & 70- 620 - man kann nicht alles Wissen, aber wenn man weiss wo nachschauen, ist die Lösung nicht mehr weit

  • #2
    AW: VPN Tunnel steht: IPs trotzdem nicht pingbar

    Ich kann Dir zwar hier nicht helfen, aber Gratulation zur den Angaben!!
    Gruß

    Wolfen


    Nur tote Fische schwimmen mit dem Strom.

    Kommentar


    • #3
      AW: VPN Tunnel steht: IPs trotzdem nicht pingbar

      Mein lieber Schwan ...

      Muss ich grad ernsthaft drüber nachdenken ... Zywall (alt) auf Linux ... nach mir immer mal wieder eine Knacknuss :-}

      Warum arbeitest Du nicht "nur" mit IPCop (Vermutung wegen Linux usw.)?

      Tipp: check mal im Zxel Forum und in der Zyxel Knowlege Base, ob da jemand einen Lösung hat oder ein Vorgehen dokumentiert ist. Studerus AG usw. kennst Du ja.

      NB: wirklich mal eine super Beschreibung, habe grad zuwenig Zeit, mir das ganze ernsthaft anzuschauen, eventuell nächste Woche ... verspreche aber nix.

      CU
      Demo

      Kommentar


      • #4
        AW: VPN Tunnel steht: IPs trotzdem nicht pingbar

        welcher Schwan denn? *pfffffp*

        Ja wisst Ihr, warum ich so viel geschrieben habe?

        1. damit Ihr versteht, um was es geht oder wo mein Problem liegt, nicht wahr ...in zwei, drei Sätzen dies kurz und prägnant schildern, jäääää, ich weiss also nicht, ob dies technisch überhaupt geht

        2. An den MCSE Prüfungen hat man auch stets zwei Kilometer Text und sollte, wenn man unten bei der Frage angelangt ist, noch wissen, was oben im Text nun eigentlich die Frage war *pfff*

        Naja.. versuche halt immer, so vile Infos wie möglich wieder zu geben, jedoch versuche ich stets, auch wenn man diesen Eindruck anhand meines Textes oder meiner Problemschilderung evtl. nicht gleich erhält, mich kurz zu halten

        In den IT Firmen, wo ich bis jetzt war, stiess das geräumige, weitläufige Schildern von Problem respektvie von den Lösungsansätzten nie auf grosses Interesse, im Gegenteil ...man kritisierte diese Art und Weise, wie ich Probleme respektive Lösungen dokumentierte stets.

        P.S.
        Vielleicht wegen all den Leuten, die eben genau dies nicht tun und nur so ein, zwei Sätze "brömseln" und man zusätzlich noch zwischen den Zeilen soll, wie und warum man was so und nicht anders gemacht hat ....

        Tja, ich bin auch nicht für ellen lange Lösungs oder Problemschilderungen ...man sollte schon stets kurz und prägnant versuchen, sein Anliegen oder was auch immer versuchen, eben, so kurz und bündig wie möglich zu schildern, aber dennoch die wichtigen Details dabei trotzdem nicht aus dem Auge und somit auch nicht aus dem Sinn verlieren "höhö"

        Ihr habt mich wohl nur auf den Arm genommen oder? vonwegen, wieder mal eine gute, ausüführliche Schilderung....

        Ich bin mir konkstruktive Kritik gewöhnt, nur zu ...ich bedanke mich auf jeden Fall für diese "smile"



        Lösungen? Fragen? Ideen? lest doch mal meine Problemstellung durch, macht wenn nötig eine Zeichnung, damit Ihr schneller seht, wie, wo was und warum und nicht anders von mir so aufgebaut/ konfiguriert wurde ....seit kritisch, hintefragt meine Konfig, kein Problem



        cheers
        André
        Grüsse Andrew - MCP 70- 210 & 70- 620 - man kann nicht alles Wissen, aber wenn man weiss wo nachschauen, ist die Lösung nicht mehr weit

        Kommentar


        • #5
          AW: VPN Tunnel steht: IPs trotzdem nicht pingbar

          Hallo André

          Du schreibst
          Zitat von André Beitrag anzeigen
          Noch was zur Zywall2:
          Das komische ist, wenn ich das Remote Netz angeben will, egal, ob ich hier im Pull Down Menu sage, Subnetz, Range oder Singel Adress, egal, in welchem privaten Adressbereich sich hier die ANgaben auch immer befinden mögen, die Zywall 2 speichert genau diesen Eintrag nie ab ....

          Gehe ich auf Apply (übernehmen im Menü, dann ein zweites mal auf apply, sehe ich in der VPN Übersicht zwar die erstellte VPN Regel, aber bei Remote Netzwerk steht dann immer : N/A)
          Und ich würde mal behaupten, hier liegt das eigentliche Problem.
          Dein VPN-Tunnel wird ja korrekt aufgebaut. Also stimmt soweit alles mit deinen Verschlüsselungseinstellungen etc.

          Aber wenn du beim Remote-Netz nichts eintragen kannst, dann kannst du dort auch nichts pingen. Mit genau dieser Angabe regelst du nämlich den Zugriff auf welche Hosts/Netze du über VPN zugreifen kannst.

          Das Netz oder den Host/IP welchen du dort versucht hast einzutragen, ist von dieser Zywall aus erreichbar oder? (in deinem Beispiel wäre das irgend was in diesem Bereich 192.168.5.0 /24) Ausser du hast noch irgendwelche Routen eingetragen, dann kann das irgend ein Netz/Host sein.

          Kommentar


          • #6
            AW: VPN Tunnel steht: IPs trotzdem nicht pingbar

            ich befürchte, dass Du wohl recht hast. Wenn man eine IPSec VPN Richtlinie erstellt, sollte man eben das local Subnetz und das remote Subnetz angeben können, weil man genau wie Du schreibst, definieren muss, welches lokale Netz soll mit welchem remote Netz "verbunden" werden.

            Genau das geht bei mir nicht, sprich, die Zywall 2 speichert einfach die Angaben beim Punkt "Remote Adress" nicht, egal, ob ich hier eine Singel Adresse eingebe, eine Subnetz Adresse aus welchen privaten Bereich auch immer, einen Range angebe, diese Zywall 2, welche ich da besitze, speichert genau diese Information NICHT !!!

            Naja, jetzt weiss ich auch, warum diese und auch ein andere Zyxel Gerät meines letzten Arbeitgebers mir diese zwei Teile quasi "geschenkt" haben.

            Der Grund ist wohl einfach: Die waren irgendwo vor Ort bei einem Kunden im Einsatz und hatten dann plötzlich einen Schuss, voilà ...das würde auch diese Problematik bei der Einrichtung des VPN Tunnels auf dieser Zywall 2 sprechen ..

            Naja....Dann löse ich halt das Problem auf eine andere Art und Weise...
            Bin mir noch am Überlegen, ob ich es mit Routing und RAS versuchen soll (Wählen bei bedarf >> VPN Verbindung von A nach B), oder ob ich mir vorab eine Zywall 2 bei Zyxel bestellen soll (Wäre eine Menge Geld, Minimum 250.-)

            oder was ich auch machen könnte ist, die Zywall 2 durch eine zweite Linux Firewall ersetzen (Endian, ist gratis)...dazu bräuchte ich aber einen alten PC, den hätte ich auch, benutze ich aber für andere Zwecke ..sprich, habe einen PC zu wenig ;( ...

            Naja, für Routing und RAS bräuhte ich auch noch was, nämlich Minimum eine zweite Netzwerkkarte, ansonsten haben die Routing und RAS Server nichts zu routen (von wo nach wo auch, wenn nur ein Netzwerk Interface :-))

            Ist wohl die billigste Variante, mal gucken hehe ...

            Danke erst einmal, aber ist so, wie ich es vermutet habe, die Zywall 2 hat wohl einen Schuss!!
            Grüsse Andrew - MCP 70- 210 & 70- 620 - man kann nicht alles Wissen, aber wenn man weiss wo nachschauen, ist die Lösung nicht mehr weit

            Kommentar

            Lädt...
            X