Firewall Rule für VPN
Wir haben eine Check Point VPN UTM-1 Edge X Firewall. VPN funktioniert nur wenn wir für den Client IP-Bereich eine Firewall ausnahme einrichten.
Hallo
wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).
gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.
Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?
lg Dirm
Hallo
wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).
gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.
Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?
lg Dirm
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114384
Url: https://administrator.de/forum/firewall-rule-fuer-vpn-114384.html
Ausgedruckt am: 26.04.2025 um 13:04 Uhr
4 Kommentare
Neuester Kommentar
Du hast dir deine Frage doch schon selber beantwortet !!!
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !
Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !
Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
hmmm na das SecuRemote ist für die VPN Verbindung selbst. Das brauche ich um die Verbindung zu öffnen.
Das Thema hat sich vorerst erledigt - der Techniker hat uns das ganze als Feature erklärt. Man braucht - freigeschaltene interneIP + Benutzer + Passwort.
Aber zB mit mobilem Internet ist es ja meist nicht möglich die IP zu wählen.
Die Verwendung ist dafür zwar noch nicht geplant, aber das könnte bald kommen und wenn ich dann jeden 2. Tag 10 IP adressen eintragen muss wird das auch fad...
Falls wer das gleiche Gerät hat, würde es mich interessieren wie ihr das macht.
lg Dirm
Das Thema hat sich vorerst erledigt - der Techniker hat uns das ganze als Feature erklärt. Man braucht - freigeschaltene interneIP + Benutzer + Passwort.
Aber zB mit mobilem Internet ist es ja meist nicht möglich die IP zu wählen.
Die Verwendung ist dafür zwar noch nicht geplant, aber das könnte bald kommen und wenn ich dann jeden 2. Tag 10 IP adressen eintragen muss wird das auch fad...
Falls wer das gleiche Gerät hat, würde es mich interessieren wie ihr das macht.
lg Dirm
Hallo Dirm,
ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.
Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).
Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.
Etwa so:
mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz
Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.
Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.
Grüße, Steffen
ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.
Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).
Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.
Etwa so:
mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz
Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.
Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.
Grüße, Steffen
Die Lösung für das ganze Problem:
- SecureClient statt SecuRemote verwenden
- OfficeMode in der FW aktivieren
- OfficeMode im SecureClient Profil aktivieren
- verbinden
Der Client bekommt anschließend eine interne IP (std 192.168.254.0/24) und kann ganz ins LAN. Hier kann man auch DNS-Einträge verteilen und DHCP aktivieren.
Die Firewallregeln werden auf die VPN-Clients angewendet, als wären sie im LAN. Man kann aber Regeln erstellen, die Traffic - der über eine OfficeMode Verbindung kommt - überprüfen.
sg Dirm
- SecureClient statt SecuRemote verwenden
- OfficeMode in der FW aktivieren
- OfficeMode im SecureClient Profil aktivieren
- verbinden
Der Client bekommt anschließend eine interne IP (std 192.168.254.0/24) und kann ganz ins LAN. Hier kann man auch DNS-Einträge verteilen und DHCP aktivieren.
Die Firewallregeln werden auf die VPN-Clients angewendet, als wären sie im LAN. Man kann aber Regeln erstellen, die Traffic - der über eine OfficeMode Verbindung kommt - überprüfen.
sg Dirm
