Site to Site VPN zwischen RRAS und ZyWALL USG
Hallo Leute
Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.
Leider kenne ich mich mit RRAS nicht wirklich aus.
Hat jemand da Erfahrung?`
Auf der ZyWALL konfiguriere ich folgendes:
phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1
phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1
Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?
Ich hoffe auf eure Antworten
Beste Grüsse
Relesys
Ich versuche zwischen einem Server 2008 R2 mit installierter Routing und RAS Rolle (zwei NIC, eines direkt Public Adressiert und im Netz und das zweite Privat adressiert und im LAN) und einer ZyWALL USG 200 eine site to site VPN Verbindung über IPSEC herzustellen.
Leider kenne ich mich mit RRAS nicht wirklich aus.
Hat jemand da Erfahrung?`
Auf der ZyWALL konfiguriere ich folgendes:
phase 1
MyIP (public ip), z.b 84.5.2.5
Remote-GW (dessen public ip), z.b. 85.2.36.4
PSK: thisisthekey
3des und sha1
phase 2
site to site vpn
local subnet 192.168.1.0
remote subnet 192.168.2.0
3des und sha1
Was muss ich auf dem RRAS konfigurieren, damit ich eine Verbindung hinbekomme?
Ich hoffe auf eure Antworten
Beste Grüsse
Relesys
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186251
Url: https://administrator.de/contentid/186251
Ausgedruckt am: 13.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Nur nochmal dumm nachgefragt: Du hast wirklich einen Winblows Server direkt und ohne Sicherung im Internet exponiert ??
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
So einen Overkill macht eigentlich kein verantwortungsvoller Netzwerker aber wenns wirklich so ist hast du wenigstens keine Probleme mit Port Forwarding und NAT auf einem evtl. davorliegenden Router....
Frage 2: Was steht in den Server Logs UND was steht im Zywall Firewall Log wenn die Phase 1 und Phase 2 des IPsec VPNs aufgebaut wird ??
Das wäre hier sehr hilfreich fürs Troubleshooting um nicht planlos im freien Fall weiterraten zu müssen...
Der Server kann nur L2TP auf Basis von IPsec. Du solltest also vorab erstal im Handbuch bzw. Datenblatt der Zywall klären ob sie L2TP basierte VPNs supportet auf IPsec Basis, ansonsten ist das Vorhaben schon gleich technisch gescheitert an den Features....
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Wenn du nachher eh eine Firewall vor dem Server hast warum machst du dann nicht sinnigerweise ein Firewall zu Firewall VPN wie es allgemein üblich ist ??
Technisch ist das doch viel sinnvoller und auch die klassische Lösung als einen Tunnel auf einen VPN Server zu legen der hinter einer NAT Firewall liegt und dann auch noch MS was eigentlich nur einen Client Dialin per VPN kann.... eigentlich unsinnig und kontraproduktiv im VPN Umfeld ?!
Hallo,
Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.
Gruß,
Peter
Zitat von @relesys:
Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
Dir ist schon Klar das hier ein ISA (Internet Security and Acceleration Server) jetzt der TMG (Threat Management Gatéway) auf der einen Seite ist? Das ist zusätzlich zu deinem Server ein Server Produkt. Und ja, der kann IPSec zusätzlich zu PPTP und L2TP over IPSec.Eigentlich möchte ich genau das machen, einfach nicht mit IAS sondern mit RRAS und nicht mit einer DLINK-Kiste, sondern mit ZyXEL:
ZyWALL Seitig (einfach beim Firewall to Firewall-Szenario) ist es das:
Dir ist schon aufgefallen das hier eine reines IPSec gemacht wird?Dir sind die Unterschiede von PPTP, L2TP over IPSec und IPSec als VPNs bekannt? Und dein Server kann nur PPTP und/oder L2TP over IPSec. Dein Server kann kein IPSec.
Gruß,
Peter