2
Global VPN -SSL- auf eine SonicWall mit DynDNS und Fritzbox
Guten Tag Community,
habe folgendes Problem bei folgender Infrastruktur :
Ich habe ein 178. Netz hinter meiner Fritzbox, dort habe ich eine Sonicwall aufgebaut & konfiguriert. (Wan 187.2 ; Netz 101.X) Das ganze ist noch an einen DynDNS gebunden.
Nun habe ich versucht den Global VPN der SonicWall einzurichten, habe die Server & Client Settings erledigt, User angelegt, Port angepasst, Adress Object erstellt, User in die richtigen Gruppen gepackt & den richtigen VPN-Access zugewiesen. Zur Anmeldung wird ein auf der Sonic Wall angelegt User verwendet.
Da dies mein erstes Projekt in diese Richtung ist, habe ich nun folgende Frage : Wenn man nun den NetExtender benutzt um die Verbindung aufzubauen, gibt man einen Server, User, Password & Domain ein. Welcher Adresse ist bei Server anzugeben? Die SonicWall dürfte nicht direkt erreichbar sein. Und wenn ich die DynDNS Adresse benutze, bringt mich das ja logisch auch nicht weiter. Muss ich den SSL Port Forwarden?
Vielen Dank für die Hilfe.
habe folgendes Problem bei folgender Infrastruktur :
Ich habe ein 178. Netz hinter meiner Fritzbox, dort habe ich eine Sonicwall aufgebaut & konfiguriert. (Wan 187.2 ; Netz 101.X) Das ganze ist noch an einen DynDNS gebunden.
Nun habe ich versucht den Global VPN der SonicWall einzurichten, habe die Server & Client Settings erledigt, User angelegt, Port angepasst, Adress Object erstellt, User in die richtigen Gruppen gepackt & den richtigen VPN-Access zugewiesen. Zur Anmeldung wird ein auf der Sonic Wall angelegt User verwendet.
Da dies mein erstes Projekt in diese Richtung ist, habe ich nun folgende Frage : Wenn man nun den NetExtender benutzt um die Verbindung aufzubauen, gibt man einen Server, User, Password & Domain ein. Welcher Adresse ist bei Server anzugeben? Die SonicWall dürfte nicht direkt erreichbar sein. Und wenn ich die DynDNS Adresse benutze, bringt mich das ja logisch auch nicht weiter. Muss ich den SSL Port Forwarden?
Vielen Dank für die Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 348577
Url: https://administrator.de/contentid/348577
Printed on: April 25, 2024 at 08:04 o'clock
2 Comments
Latest comment
Ich habe ein 178. Netz hinter meiner Fritzbox,
Ist das ein dir offizielle zugeteiltes öffentliches IP Netz ? Oder hast du das "gewürfelt" da du keine privaten RFC 1918 IP Netze kanntest ?178er Netze gehören offiziell zur Ex Arcor jetzt Vodafone.
(Wan 187.2 ; Netz 101.X)
Das ist jetzt verwirrend 
Das Providernetz ist ein 178.x.y.z Netz, das Koppelnetz zw. FB und Firewall ist ein 187.x.y.z (187er Netze gehören offiziell einem Provider in Brasilien !) und das lokale LAN an der Firewall ist ein 101.x.y.z Netz (101er netze gehören offiziell der China Telecom !) ?!
Ist das so richtig ??
Mal abgesehen von der Tatsache das du intern eine IP Adressierung von dir nicht gehörenden offizioellen IANA IP Adressen nutzt wäre eine kurze Skizze hilfreich.
Nir mal so nebenbei: Für die interne Nutzung gibt es die privaten RFC 1918 IP Adressen. Die solltest du nutzen statt offizielle IP Netze die dir nicht gehören. Früher oder später kann das zu Problemen führen.
Sowas wie RFC 1918er Nutzung kennt heute jeder Grundschüler.
Zurück zum Thema:
Welcher Adresse ist bei Server
Das ist jetzt schwer zu sagen aber gehen wir mal davon aus das dir schon Grundlagenwissen zur RFC 1918er IP Adressierung fehlen und du diese IP Adressen frei "gewürfelt" hast und unberechtigterweise nutzt, dann oist dein letztes Gateway in Internet die FritzBox in dein Vodafone Netzwerk.D.h. die ganze Welt sieht dich dann im Internet mit der Vodafone IP Adresse am DSL Port bzw. WAN Port der FritzBox.
Auf der FritzBox muss also folglich auch der DynDNS Client aktiv sein weil genau diese seine WAN IP die Adresse ist die an den Clients angegeben werden muss bzw. dem DynDNS Provider gemeldet werden muss.
Folglich muss dann der dynDNS Hostnamen auf die FritzBox WAN IP auflösen.
Soweit sogut...
Die FritzBox muss, da sie ja nicht selber VPN Server ist, sondern die dahinter kaskadierte Zywall, den VPN SSL Port den der Zywall Client bzw. das dort konfigurierte SSL VPN nutzt and die Fiirewall forwarden.
Vermutlich fährst du ein kontraproduktives doppeltes NAT (IP Adress Translation) sowohl auf der FB als auch auf der Zywall so das ein Port Forwarding des SSL Ports auf der FritzBox auf den WAN Port (IP) der FW erforderlich ist damit die aus dem Internet eingehenden SSL VPN Pakete von der FB an dien VPN Server = die Zywall weitergereicht werden.
Angenommen das SSL VPN nutzt den Port TCP 22 dann musst du das in der FritzBox einstellen ala:
Eingehend Port TCP 22 --> forwarden auf die <ip_adresse_fw> Port TCP 22
Der simple Allerwelts Klassiker in einem kaskadierten Umfeld.
Danach kommt das dann sofort zum fliegen.
Grundlagen dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Tip: Ändere besser deine interne IP Adressierung in standardkonforme RFC 1918 IP Netze !!
Entschuldige bitte die rudimentären Info's also :
Der Anschluss gehört (glaube ich) der Vodafone. Das Netz welches die Clients an der FritzBox bekommen ist ein 192.168.178.0 -Netz. An die Fritzbox habe ich eine SonicWall SOHO geklemmt, diese hat auf Ihrem WAN-Port logischerweise die 192.168.178.2. Das Netz welches für die Clients an der SonicWall vergeben ist, ist ein 192.168.101.0 Netz. Habe hier wohl etwas zuviel weggelassen, hoffe das ist jetzt durchsichtiger.
Nein die Grundlagen fehlen mir keineswegs, nur die Beschreibung war Lückenhaft ;)
Der DynDNS ist richtig auf die FB eingetragen und funktioniert auch einwandfrei.
Ich entschuldige mich nochmals für diese Laienhafte Art der Info-Übergabe :D
Das mit dem Port-Forwarding hatte ich mir bereits gedacht, Vielen Dank für die Info's bzw die Erklärungen.
Hätte jetzt sonst den OpenVPN Dienst an der IPfire im RZ bezahlen müssen, da ist mir die Lösung über den Standort & Sonicwall doch lieber
Der Anschluss gehört (glaube ich) der Vodafone. Das Netz welches die Clients an der FritzBox bekommen ist ein 192.168.178.0 -Netz. An die Fritzbox habe ich eine SonicWall SOHO geklemmt, diese hat auf Ihrem WAN-Port logischerweise die 192.168.178.2. Das Netz welches für die Clients an der SonicWall vergeben ist, ist ein 192.168.101.0 Netz. Habe hier wohl etwas zuviel weggelassen, hoffe das ist jetzt durchsichtiger.
Nein die Grundlagen fehlen mir keineswegs, nur die Beschreibung war Lückenhaft ;)
Der DynDNS ist richtig auf die FB eingetragen und funktioniert auch einwandfrei.
Ich entschuldige mich nochmals für diese Laienhafte Art der Info-Übergabe :D
Das mit dem Port-Forwarding hatte ich mir bereits gedacht, Vielen Dank für die Info's bzw die Erklärungen.
Hätte jetzt sonst den OpenVPN Dienst an der IPfire im RZ bezahlen müssen, da ist mir die Lösung über den Standort & Sonicwall doch lieber
