2
Client VPN Zugriff auf Remote Subnet
Hallo zusammen,
ich habe im Moment folgendes Problem:
Mit einem ShrewSoft Standard Client verbinde ich mich via IPSec in unser Firmennetz. Wir haben eine Zyxel Zywall USG310 im Einsatz. Das funktioniert auch wunderbar.
Nun haben wir unsere Server in einem externen Rechenzentrum stehen. Wir haben einen VPN IPSec Tunnel zu dem Rechenzentrum und können lokal (Firmennetz) auf die Server zugreifen.
Wenn ich mich via Client VPN in unser Firmennetz verbinde kann ich allerdings nicht auf die Server zugreifen.
Ich habe im VPN Client unter Remote Policy das Firmen Subnetz eingetragen und das Subnetz der Server im RZ. Ich habe die Firewallregeln angepasst und eine Route konfiguriert. Allerdings bekomme ich bei einem PING auf die Server eine Zeitüberschreitung. Wenn ich ein tracert auf einen der Server durchführe, bekomme ich schon beim ersten Hop eine Zeitüberschreitung.
In den Logs sehe ich, dass der VPN Tunnel sauber aufgebaut wird. Ich sehe aber keine anderen Einträge die mir weiterhelfen.
Was mache ich falsch? Habe ich einen Denkfehler? Habt Ihr Tips zur Analyse?
Über eine Rückmeldung würde ich mich freuen.
Beste Grüße
Niklas
ich habe im Moment folgendes Problem:
Mit einem ShrewSoft Standard Client verbinde ich mich via IPSec in unser Firmennetz. Wir haben eine Zyxel Zywall USG310 im Einsatz. Das funktioniert auch wunderbar.
Nun haben wir unsere Server in einem externen Rechenzentrum stehen. Wir haben einen VPN IPSec Tunnel zu dem Rechenzentrum und können lokal (Firmennetz) auf die Server zugreifen.
Wenn ich mich via Client VPN in unser Firmennetz verbinde kann ich allerdings nicht auf die Server zugreifen.
Ich habe im VPN Client unter Remote Policy das Firmen Subnetz eingetragen und das Subnetz der Server im RZ. Ich habe die Firewallregeln angepasst und eine Route konfiguriert. Allerdings bekomme ich bei einem PING auf die Server eine Zeitüberschreitung. Wenn ich ein tracert auf einen der Server durchführe, bekomme ich schon beim ersten Hop eine Zeitüberschreitung.
In den Logs sehe ich, dass der VPN Tunnel sauber aufgebaut wird. Ich sehe aber keine anderen Einträge die mir weiterhelfen.
Was mache ich falsch? Habe ich einen Denkfehler? Habt Ihr Tips zur Analyse?
Über eine Rückmeldung würde ich mich freuen.
Beste Grüße
Niklas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 319049
Url: https://administrator.de/contentid/319049
Printed on: April 19, 2024 at 15:04 o'clock
2 Comments
Latest comment
Wenn ich mich via Client VPN in unser Firmennetz verbinde kann ich allerdings nicht auf die Server zugreifen.
Deinem VPN Server wo du mit dem Client landest fehlen vermutlich die IP Routen in dieses RZ Netzwerk.Was sagt ein show ip route auf diesem Gerät ??
Kennt das die Routen ins RZ Netz ??
Auch wichtig: Das ist ja eine FW ! Hat die ein Regelwerk was IP Flows aus dem Client VPN Netz ins RZ Netz überhaupt zulässt ?
Leider keinerlei Aussage dazu von dir
Wenn dein VPN Client ein Winblows Rechner ist hilft auch ein route print bei aktivem VPN um mal in die Routing Tabelle zu sehen und zu checken ob die RZ IP Netz überhaupt in den VPN Tunnel geroutet werden ??
Werden sie das nicht verschwinden sie im Nirwana.
Auch diese Auskunft wäre hilfreich und zielführend für uns.
Ebenso wenn du mal ein Traceroute (tracert) oder Pathping machst vom Client um dir die Routehops anzusehen und mal checkst WO es denn nicht weitergeht im Netz.
Genau DA ist dann meistens auch der Fehler.
In den Logs sehe ich, dass der VPN Tunnel sauber aufgebaut wird.
Das ist evident, denn sonst könntest du gar nicht erst ins Firmennetz !Ich sehe aber keine anderen Einträge die mir weiterhelfen.
Kein Wunder, denn du "siehst" ja nur VPN relevantes da. Du hast aber ein IP Routing Problem oder ggf. ein Firewall Regelproblem oder schlimmstenfalls beides ! Also ne ganz andere Baustelle...
1.
Grundvorraussetzung ist zunächst, dass der VPN-Client eine IP-Adresse aus einem definierten/bekannten Bereich verwendet. Dieser Bereich muss auch überschneidungsfrei mit dem IP-Netzen der USG sowie des RZ sein.
Der VPN-Client muss also entsprechend konfiguriert werden, denn standardmäßig verwendet er die IP des Interfaces, auf dem der VPN-Tunnel clientseitig terminiert wird.
2.
in Abhängigkeit davon, wie der VPN-Client mit dem zusätzlichen Remotenetz umgeht, muss auch auf der USG die Verbindung zum VPN-Client passend konfiguriert werden. Einerseits muss die USG den Traffic an das RZ akzeptieren und andererseits auch den Antworttraffic des RZ zum Client wieder zu diesem durch den oder einen Tunnel schieben.
Wenn der VPN-Client für das RZ-Netz eine eigene Phase2 etabliert, dann muss eine solche logischer Weise auch auf der USG eingerichtet werden.
Wenn der VPN-Client hingegen alles durch den selben Tunnel leitet, genügt auf der USG das Abschalten des Policy Enforcements (je nach ZLD-Version ist dies bereits default) und das Hineinschieben des Antworttraffics des RZ in den Tunnel per Policyroute.
3.
Auch die VPN-Verbindung(en) zwischen USG und dem RZ müssen beiderseits korrekt konfiguriert werden. Also entweder die Phase2-Policy um den IP-Adressbereich der VPN-Clients erweitern bzw. eine zusätzliche Phase2-Policy einrichten oder bei routebased VPN beiderseits passende Routen setzen. Denke insbesondere daran, dass der Antwort-Traffic auch den Weg zurück finden muss.
4.
Alle gequerten Firewalls müssen den Traffic auch zulassen. Also mind. das VPN-GW im RZ, die USG, aber auch die Server und der VPN-Client.
Gruß
sk
Grundvorraussetzung ist zunächst, dass der VPN-Client eine IP-Adresse aus einem definierten/bekannten Bereich verwendet. Dieser Bereich muss auch überschneidungsfrei mit dem IP-Netzen der USG sowie des RZ sein.
Der VPN-Client muss also entsprechend konfiguriert werden, denn standardmäßig verwendet er die IP des Interfaces, auf dem der VPN-Tunnel clientseitig terminiert wird.
2.
in Abhängigkeit davon, wie der VPN-Client mit dem zusätzlichen Remotenetz umgeht, muss auch auf der USG die Verbindung zum VPN-Client passend konfiguriert werden. Einerseits muss die USG den Traffic an das RZ akzeptieren und andererseits auch den Antworttraffic des RZ zum Client wieder zu diesem durch den oder einen Tunnel schieben.
Wenn der VPN-Client für das RZ-Netz eine eigene Phase2 etabliert, dann muss eine solche logischer Weise auch auf der USG eingerichtet werden.
Wenn der VPN-Client hingegen alles durch den selben Tunnel leitet, genügt auf der USG das Abschalten des Policy Enforcements (je nach ZLD-Version ist dies bereits default) und das Hineinschieben des Antworttraffics des RZ in den Tunnel per Policyroute.
3.
Auch die VPN-Verbindung(en) zwischen USG und dem RZ müssen beiderseits korrekt konfiguriert werden. Also entweder die Phase2-Policy um den IP-Adressbereich der VPN-Clients erweitern bzw. eine zusätzliche Phase2-Policy einrichten oder bei routebased VPN beiderseits passende Routen setzen. Denke insbesondere daran, dass der Antwort-Traffic auch den Weg zurück finden muss.
4.
Alle gequerten Firewalls müssen den Traffic auch zulassen. Also mind. das VPN-GW im RZ, die USG, aber auch die Server und der VPN-Client.
Gruß
sk
