kmulife
Goto Top

Site2Site VPN - Routing Sonicwall, Zyxel

Hallo zusammen

Ich steh momentan auf dem Schlauch und wäre froh um eure Hilfe!
Über die Produkte könnt ihr euch von mir aus beschweren. Der Chef wird deswegen trotzdem nix anderes kaufen face-wink.

Aufbau des Netzwerks:
netzwerk

Ziel ist es, dass die HO-User auf die Server der GmbH zugreifen können. Auf die Server der AG kommen sie. (Die Site2Site-VPN's funktionieren)

Als erster Schritt habe ich bei der HomeOffice-FW ein Routing eingerichtet, da dieser logischerweise das Netz 10.1.0.2 nicht kennt.
Anscheinend mache ich jedoch schon was falsch bei dieser Konfiguration, denn ich sehe im Log sowie auf dem Interface (der FW der AG) keine Anfragen in Richtung 10.1.0.x Netz, nicht mal n "DROP" face-sad.

Auf der Zyxel Firewall wurde folgendes eingerichtet:

Objekt: GmbH angelegt:
objekt_subnet

Routing angelegt:
policy_route

Das Ziel mit diesem Routing ist, dass die Pakete mal an die Firewall der AG geliefert werden. Von dort soll dann eine Weiterleitung eingerichtet werden ins GmbH-Netz sofern noch nötig.
Bei den Kriterien habe ich bewusst mal auf "Any" gesetzt. Werde dies weiter Einschränken sobald es funktioniert. - Sieht jemand was ich falsch mache oder hat eine Idee?

Falls ich noch Infos nachliefern sollte gerne melden!
Freue mich mehr über das Thema zu lernen!
Grüsse
KMUlife

Content-ID: 329339

Url: https://administrator.de/contentid/329339

Ausgedruckt am: 24.11.2024 um 06:11 Uhr

Chonta
Chonta 14.02.2017 um 11:08:10 Uhr
Goto Top
Hallo,

nicht mal n "DROP"
Weil es Private IP sind, die normalerweis enicht geroutet werden?
Ist diesbezüglich was eingestellt, das auch das Routing von privaten IP ermöglicht bzw im Moment sthet es auf verweigert?

Die VPN in die Netze gehen ja über die öffentlichen IP-Adressen und ermöglichen den Zugriff auf das Endnetz hinter dem VPN, aber nicht zwangsläufig auch in von dort weitere erreichbare PrivateNetze.

Am einfachsten wäre vermutlich einen separaten Tunnel aufzubauen.

Gruß

Chonta
em-pie
em-pie 14.02.2017 um 11:15:17 Uhr
Goto Top
Moin,

Tipp 1: anonymisiere mal deinen Screenshot face-wink

Dann: kommst du denn bis zum Router der AG?
Wenn ja, was sagen dir die Logs hier?
Fehlen u.U. noch auf dem Router der AG irgendwelche Firewall-Policies?


Gruß
em-pie
KMUlife
KMUlife 14.02.2017 um 11:19:04 Uhr
Goto Top
Hi Chonta!

Danke für deine Antwort!
Zitat von @Chonta:
Weil es Private IP sind, die normalerweis enicht geroutet werden?
Darum habe ich ja die Routing-Policy angelegt? - Oder verstehe ich dies jetzt falsch?

Ist diesbezüglich was eingestellt, das auch das Routing von privaten IP ermöglicht bzw im Moment sthet es auf verweigert?
Meinste jetzt auf der Zyxel oder auf der Firewall der AG? - Wenn du es auf der Firewall der AG meinst, sollte ich ja mindestens sehen wie das Packet "ankommt"?

Die VPN in die Netze gehen ja über die öffentlichen IP-Adressen und ermöglichen den Zugriff auf das Endnetz hinter dem VPN, aber nicht zwangsläufig auch in von dort weitere erreichbare PrivateNetze.
Dies ist mir bewusst! - Dies wäre dann mein nächster Schritt gewesen: Von dort soll dann eine Weiterleitung eingerichtet werden ins GmbH-Netz sofern noch nötig.

Am einfachsten wäre vermutlich einen separaten Tunnel aufzubauen.
Haben wir getestet und funktioniert, aber ständig zwei VPN's offen zu haben will ich eigentlich gerne vermeiden.

Grüsse
KMUlife
Chonta
Chonta 14.02.2017 um 11:29:01 Uhr
Goto Top
Meinste jetzt auf der Zyxel oder auf der Firewall der AG? - Wenn du es auf der Firewall der AG meinst, sollte ich ja mindestens sehen wie das Packet "ankommt"?
Alle beteiligten Router müssen mitspielen. Wenn in der VPN Vermittlngsstelle keine Pakete für das andere VPN-Netz ankommen, dann schickt der Zyxel die evtl nichtmal raus.

Gruß

Chonta
aqui
aqui 14.02.2017 um 11:32:41 Uhr
Goto Top
Ziel ist es, dass die HO-User auf die Server der GmbH zugreifen können.
Eigentlich ein Kinderspiel ! Das Tutorial zu dem Thema hast du gelesen ??
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Sinnvoll wäre gewesen du hättest uns mal mitgeteilt welches der zahllosen VPN Protokolle du verwendest face-sad
Als erster Schritt habe ich bei der HomeOffice-FW ein Routing eingerichtet,
Eigentlich Quatsch, denn das regeln die allermeisten VPN Protokolle automatisch und dynamsich !
da dieser logischerweise das Netz 10.1.0.2 nicht kennt.
Klar, lernt er aber beim Tunnelaufbau dynamsich kennen. Siehe Tutorial oben...
Sieht jemand was ich falsch mache
Wie weit kommst du denn mit einem Traceroute (tracert) oder Pathping ?? Da wo es abbricht ist auch immer der Fehler ! Das kann in einem FW Umfeld bei dir viel sein:
  • Fehlende FW Regeln
  • Fehlendes Routing. Hier hilft immer ein Blick in die Routing Tabelle
  • Nicht aufgebauter oder fehlender VPN Tunnel.
All diese 3 Dinge musst du abklopfen.
KMUlife
KMUlife 14.02.2017 um 13:53:39 Uhr
Goto Top
Hallo zusammen!

Zuerst mal danke an alle Hilfestellungen und Tipps!

@em-pie
Tipp1: --> gemacht face-smile (Danke!)

Also einfach um das klar zu stellen. Mit einem Gerät im Netz der AG kann ich beide Sites sowie Geräte im Netzwerk pingen! Die Site2Site Verbindungen stehen.

Ich kann also auch vom HomeOffice aus, die Geräte in der AG erreichen, jedoch nicht die Geräte der GmbH.

Gebaut wurde das ganze mit folgendem Protokoll & Verschlüsselung:
ESP: AES-256/HMAC SHA1 (IKE)

Ich nehme stark an, dass es an Fehlenden FW Regeln / Routing liegt. Da ich aber nicht wirklich Ahnung habe wo ich das genau Einstellen muss und was, bin ich etwas überfordert. Ich konsultiere mal deine Anleitung aqui, Danke auch dafür! Wahrscheinlich komme ich mit den Infos unter "Teil 2: Praxisbeispiel einer gemischten IPsec VPN Standort Vernetzung" am meisten weiter oder? Ist ja eig. ziemlich das was ich bauen will face-smile.

Zitat von @aqui:

Wie weit kommst du denn mit einem Traceroute (tracert) oder Pathping ?? Da wo es abbricht ist auch immer der Fehler ! Das kann in einem FW

Ich nehme an es liegt entweder an der Konfig der Zyxel oder AG. Tracert von AG in Richtung GmbH funktioniert. Tracert von AG richtung HO (Zyxel) funktioniert nicht (obwohl ich das Gerät pingen kann). Tracert von HO zu AG funktioniert nicht...

Danke für die wertvollen Infos!
KMUlife
laster
laster 14.02.2017 um 21:33:20 Uhr
Goto Top
auf allen FW in den VPN-Profilen die Zielnetzwerke eingetragen?
Bei den SonicWALLs kannst Du die Netzwerke im VPN Tunnel einstellen, oder du machst das über Route-Based VPN ( https://support.sonicwall.com/kb/sw11606 )

vG
LS
KMUlife
KMUlife 15.02.2017 um 15:26:55 Uhr
Goto Top
Hallo zusammen!


Zitat von @laster:

auf allen FW in den VPN-Profilen die Zielnetzwerke eingetragen?

Das wollte ich, geht aber bei den Zyxeln irgendwie nicht, da ich keine "Adress-Group" zuweisen kann. :/

Bei den SonicWALLs kannst Du die Netzwerke im VPN Tunnel einstellen

Dies habe ich meiner Meinung nach gemacht.

--> Zwischenfrage:
Empfiehlt ihr NetBios auf den Site2Site's zu aktivieren? Ich habe festgestellt das ich im Ereignisprotokoll immer wieder folgende Einträge vorfinde:
"Der Name "BLABLA :1d" konnte nicht auf der Schnittstelle mit IP-Adresse 10.10.x.x registriert werden. Der Computer mit IP-Adresse 10.0.x.x hat nicht zugelassen, dass dieser Computer diesen Namen verwendet.

Nehme an es liegt am blockieren der Broadcast Meldungen von NetBios. - Was können negative folgen sein wenn dies aktiviert ist? (abgesehen von erhöhtem traffic)

Grüsse
KMUlife