Firewall Rule für VPN
Wir haben eine Check Point VPN UTM-1 Edge X Firewall. VPN funktioniert nur wenn wir für den Client IP-Bereich eine Firewall ausnahme einrichten.
Hallo
wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).
gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.
Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?
lg Dirm
Hallo
wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).
gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.
Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?
lg Dirm
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114384
Url: https://administrator.de/forum/firewall-rule-fuer-vpn-114384.html
Ausgedruckt am: 05.04.2025 um 07:04 Uhr
4 Kommentare
Neuester Kommentar
Du hast dir deine Frage doch schon selber beantwortet !!!
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !
Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !
Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....

Hallo Dirm,
ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.
Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).
Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.
Etwa so:
mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz
Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.
Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.
Grüße, Steffen
ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.
Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).
Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.
Etwa so:
mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz
Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.
Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.
Grüße, Steffen