relesys
Goto Top

Site to Site VPN zwischen RRAS und ZyWALL USG

Hallo Leute

Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.

Leider kenne ich mich mit RRAS nicht wirklich aus.

Hat jemand da Erfahrung?`

Auf der ZyWALL konfiguriere ich folgendes:

phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1

phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1

Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?

Ich hoffe auf eure Antworten face-wink

Beste Grüsse
Relesys

Content-ID: 186251

Url: https://administrator.de/contentid/186251

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

aqui
aqui 11.06.2012 aktualisiert um 11:47:24 Uhr
Goto Top
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen... face-sad
relesys
relesys 11.06.2012 um 12:09:04 Uhr
Goto Top
Salute

Ja, jetzt in der Testumgebung schon. Wenn der Tunnel dann läuft und das System dann in die Produktion übernommen wird, ist dann eine Richtige Firewall vor den Server. Zum rumprobieren ist es so einfacher...

Trauriger weise bin ich noch nicht so weit. Ich habe die Möglichkeiten beim RRAS gesichtet und damit rummgespielt, aber ich muss immer überall einen benutzer definieren, der zugreifen darf. das kann ich aber bei der zywall nicht.

Also aktuell bin ich so weit: Zywall konfiguriert, alles vernetzt und RRAS Server bereit, sodass ich bei der RRAS-MMC rechts drauf klicken kann und "Routing und RAS konfigurieren und aktivieren" klicken kann.

Danke für die Rückmeldung.

LG Relesys
relesys
relesys 11.06.2012 aktualisiert um 12:09:35 Uhr
Goto Top
und habe natürlich ca. 12 Stunden gegoogelt...
aqui
aqui 11.06.2012 aktualisiert um 12:29:30 Uhr
Goto Top
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
relesys
relesys 11.06.2012 aktualisiert um 16:04:05 Uhr
Goto Top
Salute

Vielen Dank für den Post. Die USG Kann L2TP over IPSEC, habe ich abgeklärt. Das normale Szenario ist beispielsweise, wenn man möchte, dass Windows User mit einer RAS Verbindung einen VPN Tunnel zur ZyWALL öffnen (was dann auch L2TP over IPsec ist).

Das Firewall to Firewall VPN ist auch meine normale Variante. Nun ist es aber so, dass wir hier ASP (Application Service Provider) Lösungen, welche in einem Rechenzentrum laufen anbieten möchten. Das Terminieren von VPN-Sessions ist da mit einem Firewall to Firewall Szenario nicht möglich, da wir sonst die Subnetze der Kunden veralten müssten (es drüfen nicht zwei Kunden das identische Subnetz haben, denn sonst kann man den Verkehr nicht mehr Routen). Die Lösung soll skalierbar sein.

Deswegen ist der Plan, dass die Kunden mit Ihrer Firewall direkt ein VPN auf die ihnen zugewiesene Virtual Machine machen. Die VM hat Server 2008 R2 Standard und kann somit Routing und RAS (RRAS).

Gemäss Hersteller geht es auch, aber er hat keine Anleitung dazu. Aussage: Es gebe Kunden, welche dies so einsetzen.

Liebe Grüsse
Relesys
relesys
relesys 11.06.2012 aktualisiert um 13:34:46 Uhr
Goto Top
Nachtrag: Der ASP Server ist direkt public adressiert und nicht hinter NAT --> RZ. Die Firewall wir dann davor zugeschaltet (wirklich nur Firewall, nicht Modem/Nat-Router/Firewall-DHCP-Server-Kiste face-wink )

Aber das ist jetzt aktuell im Test-Szenario auch egal. Fürs Erste, bis der Tunnel läuft, ist es einfach direkt am Netz (ich teste sowieso nicht direkt im Internet).

Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
http://www.isaserver.org/articles/2004isadlink.html

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
http://www.studerus.ch/files/knowledgebase/USG%20FW%202.20%20-%20IPSec% ...
Pjordorf
Pjordorf 11.06.2012 aktualisiert um 15:01:03 Uhr
Goto Top
Hallo,

Zitat von @relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.

ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?

Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.

Gruß,
Peter
relesys
relesys 11.06.2012 um 15:11:27 Uhr
Goto Top
Hallo Peter

Danke für deinen Eintrag. Ja, die Unterschiede zwischen den VPN-Arten sind mir bekannt, der Name des Nachfolgers von IAS ist mir dank deinem Beitrag nun auch klar.

Der Hersteller respektive der Importeur teilte mir mit, dass es mit RRAS funktionieren sollte, was du nun verneinst.

Ich schau dann mal weiter.
Gruss Relesys
relesys
relesys 05.09.2012 um 12:12:57 Uhr
Goto Top
Die ZyWALL kanns doch nicht... Dies nur zur Info.