Das Problem ist, dass ich einen VPN Tunnen im LAN aufbauen kann, der Tunnen steht, jedoch kann ich dahinter keine IPs anpingen.
Der Tunnel sollte gemäss meinen Vorstellungen (in meiner Testumgebung) vom grünen LAN (vertrauensvolle LAN) zum orangen LAN (weniger vertrauensvolle LAN, die DMZ) eingeleitet werden.
Grundgedanke: Möchte meinen oder meine Server, welche ich in der DMZ habe, via VPN Tunnel mit dem LAN auf sichere Art und Weise kommunizieren lassen!
Wie sieht mein Netz aus (vom Internet aus Richtung DMZ sehend)
-----------------------------------
- Internet
- dahinter eine Fritz Box mit DSL verbunden, macht auch WLAN. Fritz Box ist als Router konfiguriert.
Konfig:
> WAN = öffentliche IP von Provider
> LAN = 192.168.2.254
-----------------------------------
- dahinter eine Linux Firewall mit drei eingebauten Netzwerkkarten
Konfig:
> WAN Schnittstelle: (rot) = 192.168.2.1 (ist also physisch mit der LAN Schnittstelle der Fritzbox verbunden >> 192.168.2.254)
> LAN Interface: 192.168.3.1 (grün) (im 192.168.3.0 /24 Netz stehen zwei DCs mit Windows Server 2003 und ein Client mit Windows 7 --> Domäne)
> DMZ Interface: 192.168.4.1 (orange) Da steht zurzeit ein Server (Arbeitsgruppe) mit VM Server installiert
-----------------------------------
-dahinter habe ich eine Zywall 2 (eine alte, nicht mehr supportete Zywall 2, ich weiss) im Einsatz. Dachte, anstatt, dass die da auf meinem Tisch verstaubt, benutze ich diese und richte einen VPN Tunnen auf, einen VPN Tunnel zwischen DMZ (die DMZ wäre dann hinter der Zywall 2) und und LAN.
Dies wäre zumindest das Ziel, weil ich möchte ja vom LAN aus die Netzwerkgeräte von der DMZ erreichen können respektive umgekehrt.
von LAN > DMZ wäre eine Kommunikation mit den Netzwerkgeräten in der DMZ möglich, da die Linux Firewall per default dies so zulässt (jeden Datenverkehr, von any to DMZ)
Umgekehrt verständlicherweise nicht, da es ja nicht der Sinn der Sache wäre, von der DMZ jegliche Kommunikation einfach mit dem LAN zuzulassen.
Soweit kann ich noch alles nachvollziehen ..
--------------------------------------------------------
- hinter der Linux Firwall befindet sich also neu auch die Zywall 2 Firewall.
Konfig:
> WAN Schnittstelle = 192.168.4.254 > 192.168.4.1 (ist physisch mit einem Netzwerkabel mit dem DMZ Interface 192.168.4.1 der Linux Firewall verbunden)
> LAN Schnittstelle der Zywall 2: 192.168.5.1 (DMZ Netz ist also 192.168.5.0 /24)
VPN Konfiguration der Zywall 2:
> Netzwerkonfig: Local Network = Subnetz der DMZ gewählt, 192.168.5.0 mit Subnetzmaske 255.255.255.0 eingestellt
> Remotekonfig: Remote Network = Subnetz des grünen LANs gewählt, also 192.168.3.0 und Subnetzmaske 255.255.255.0 (also habe hier Subnetz eingestellt, im Pulldown Menü)
(weil ich ja möchte, dass ich von der DMZ mich mit dem LAN kommunizieren kann)
----------------
Phase 1
----------------
> IKE Tunnel Settings (Phase 1):
> Negotiation Mode = Main Mode
> Encryption Algorithm = 3DES
Authentication Algorithm = MD5
> Key Group = DH2
> SA Life Time = 28800 (Seconds)
> Pre Shared Key = Gugus123$
---------------
Phase 2
---------------
> IPSec Settings (Phase2)
> Encapsulation Mode = Tunnel Mode
> IPSec Protocol ) = ESP
> Encryption Algorithm = 3DES
> Authentication Algorithm = SHA1
> SA Live time = 28800 (Seconds) bei Dieser Einstellung bin ich mir auswendig aus dem Kopf nicht mehr sicher, ob hier 28800 steht)
Perfect Forward Secrey (PFS) = Yes (glaube da kann ich zwei auswählen, SHA1 und SHA2, habe hier meines Wissens SHA2)
So das wars mal, betreffend Zywall 2
Nun zur Linux VPN KOnfiguration:
--------------------------------------
LInux VPN Konfiguration:
> Netzwerkonfig: lokales Subnetz: 192.168.3.0 mit Subnetzmaske 255.255.255.0 eingestellt
> lokale ID = 192.168.4.1 (habe dieses Interface gewählt, weil ich dachte, ich müsses dieses angeben)
> Gegenstelle/ Host IP: 192.168.4.254
> Subnetz der Gegenstelle: 192.168.5.0
> entfernte ID: 192.168.4.254
> Pre Shared Key = Gugus123$
Bemerkung:
Warum man entfernte ID und auch noch Gegenstelle( Host IP) angeben muss, verstehe ich nicht, vielleicht kann mir das Jemand erklären, auf jeden Fall habe ich bei beiden Orten die gleiche IP angegeben (das äussere Interface, also das WAN INterface, sozusagen der Zywall 2, eben 192.168.4.254)
----------------
Phase 1
----------------
> IKE Tunnel Settings (Phase 1):
> IKE Verschlüsselung 3DES
> IKE Integrität (SHA oder MD5 auswählbar, hier MD5 angegeben)
> IKE Lebensdauer = 1 Stunde)
> IKE Gruppen Typ = DH Gruppe 2 (1024 Bit)
Tiefer geht nicht, die Endian Linux Firewall beginnt hier, ab DH Gruppe 2 und geht bis DH Gruppe 18 (8192 Bit Verschlüsselung)
Bringt mir aber wenig, da der andere VPN Gateway, in meinem Fall die Zywall 2 nur DH 1 und DH 2 Gruppe unterstützt
---------------
Phase 2
---------------
> IPSec Settings (Phase2)
> ESP Verschlüsselung: Encryption Algorithm = 3DES
> Authentication Algorithm = SHA1 (ESP Integrität, hier ist SHA1 und MD5 auswählbar, ich habe SHA1 ausgewählt)
> ESP Schlüssel Lebensdauer:8 Stunden
> Perfect Forward Secrey (PFS) = Yes (bei der Linux Firewall kann man hier nur sagen, yes oder no, mehr nicht)
--------------------------------------------------------------
So, was habe ich nun versucht?
Habe überlegt, gut, ich möchte eine sichere Kommunikation zwischen grünem LAN und orangem LAN (DMZ), also richtete ich einen VPN Tunnen ein, wie oben beschrieben (VPN Einstellungen auf der Zywall 2 und VPN Einstellungen auf der Linux Firewall vorgenommen, wie oben beschrieben)
Bemerkung:
Meine Linux Firewall, für die Leute, welche es interessiert: Endial Firewall --> Endian - Unified Threat Management, Firewall Appliance, UTM Appliance, Hotspot, Antispam, Antivirus, VPN, OpenVPN, Open Source --> ein preisgekröntes, gratis Produkt) kann man via WAN Internface und auch beispielsweise via oranges Interface, also via DMZ Interface einen VPN Tunnen initieren.
So: Initiere ich den Tunnen von der Linux Seite her, sage, bau den Tunnel auf, gelang mir dies auch, nur kann ich zurzeit folgende IPs NICHT anpingen:
> GW Interface, also die interne LAN Adresse der Zywall 2, diese ist immer noch 192.168.5.1
> auch den Server 2003 dahinter ist nicht pingbar, der hat nämlich die IP 192.168.5.5
Merkwürdiges Phänomen:
> am ersten Tag, als ich diese Idee hatte, nahm ich meine Zywall 2 Appliances und dachte, gut, resete doch mal zuerst diese Zywall 2. Das tat ich auch und richtete genau so wie oben sowohl die VPN Einstellungen auf der Zywall 2 ein wie auch die VPN Einstellungen gemäss obiger Darstellung auf der Linux Firewall.
Das Interessante, ich konnte den Tunnel wie gewünscht aufbauen Und:
> ich konnte die Zywall 2 internet GW Adresse 192.168.5.1 pingen
> ich konnte ebenfalls die IP Adresse des 2003 Servers hintendran pingen, 192.168.5.5
Als ich dann aber merkte, dass ich von der DMZ aus, also von der IP 192.168.5.5 zwar jede erdenkliche IP pingen konnte (die IP jedes Routers), jedoch keine einzige IP des LANs (die beiden DCs im LAN konnte ich beispeilsweise nicht pingen), dachte ich mir, gut, ich spiele da ein wenig mit Routen herum, erstellte auf der Linux Routen ..jedoch ging dann plötzlich noch weniger ...
Tja, dann dekativierte ich zuerst die erstellten Routen auf der Linux Firewall wieder und schlussendlich habe ich diese gelöscht.
Tja, nun bin ich nicht einmal mehr in der Lage, vom grünen Netz, also vom LAN her die beiden IPs
> 192.168.5.1 (ist die interne IP der Zywall 2)
> noch die IP des Servers, welcher ebenfalls physisch an den LAN Schnittstellen der Zywall 2 angeschlossen ist, pingen
Langer Rede kurzer Sinn:
> ich konnte anfangs, nachdem ich die Zywall 2 resetet habe, die oben genannten VPN Einstellungen vornehmen und voilà, ich konnte vom LAN aus (192.168.3.0) auch die IPs
> 192.168.5.1
> 192.168.5.5 pingen
Jetz, nachdem ich die Zywall 2 schon hundert mal resetet habe, funktioniert die plötzlich nicht mehr, sprich, der Tunnel steht zwar, das ist aber auch gleich alles.
Soweit ich es beurteilen kann, fliesst kein Datenverkehr durch den VPN Tunnel, wieso nicht?
Die Verschlüsselungen habe ich schon fast alle durchgetestet, also anstatt 3DES AES (habe herausgefunden, dass die Zywall 2 "nur" die AES 128 Bit Verschlüsselung untersützt, bei AES 256 Bit baut Sie keinen Tunnel auf), habe die IKE Integrität und die ESP Integrität (Verschlüsselungs Algorithymus) geändert und konnte zwar je nach je auch einen Tunnel aufbauen, aber eben, die IPs hinter der Zywall 2 erreiche ich ping mässig nicht mehr....
Hat die Zywall 2 einen Schuss?
Habe ich was falsches konfiguriert?
Noch was zur Zywall2:
Das komische ist, wenn ich das Remote Netz angeben will, egal, ob ich hier im Pull Down Menu sage, Subnetz, Range oder Singel Adress, egal, in welchem privaten Adressbereich sich hier die ANgaben auch immer befinden mögen, die Zywall 2 speichert genau diesen Eintrag nie ab ....
Gehe ich auf Apply (übernehmen im Menü, dann ein zweites mal auf apply, sehe ich in der VPN Übersicht zwar die erstellte VPN Regel, aber bei Remote Netzwerk steht dann immer : N/A)
Tja, nichts destotrotz kann ich trotz diesem "Bug" jeweils einen VPN Tunnel aufbauen, aber eben, die IPS hinten dran, hinter der Zywall 2 respktive, wenn ich von der DMZ aus die IPS im LAN pingen will, geht da nix ...
wo Fehler? *pfffffffffffffff*
chappe ah, bei der Kälte ...
Danke für die zahlreichen Infos von euch, komme nicht weiter ...
Kommentar