VPN Routing Zyxel USG Flex 100 Firewall Problem
Guten Tag Community,
Vorwort:
Vielen Dank das Ihr mein Problem durchlest und auch mit konstruktiven Vorschlägen weiter helft. (Kommentare wie "Du bist doch kein Admin" und ähnliches werden nicht beantwortet oder kommentiert)
Ich habe mich jetzt 4 Woche mit Threads und anderen Foren rumgeschlagen bzw. IT Firmen um Hilfe gebeten. Die mir leider bei dem Miniproblem auch nicht weiterhelfen konnten. Deshalb versuche ich es mal hier. Weil ich glaube ich sehr vor lauten Bäumen einfach da die Lösung nicht mehr.
Netzwerktopografie
Mein kleines Netzwerk:
10.20.40.1 - 255 / Serverbereich (Domain Server / Backupserver / DHCP / HA-Cluster
10.20.41.1 / IP Bereich feste Geräte
10.20.42.1 / DHCP
10.20.43.1 / VPN-Tunnel
Firewall: Zyxel USG Flex 100
Modem: VMG3006-D70A (Modem)
Problem
Ich möchte gerne mit dem Standard Windowsboardmitteln über VPN auf das Netzwerk zugreifen.
Aktueller Stand ist:
Die Verbindung über Ikev2 mit Zertifkat funktioniert, ach die Verbindung mit AD um die Benutzerfreigabe zu steuern für VPN ging ohne Probleme.
Siehe Anleitung Youtube
So bis hierhin alles schick. Alle Ahnen was jetzt kommt, Verbindung unter Win 10 aufgebaut. Verbindung ja, aber kein Ping auf das interne Subnet möglich und da hackt es. Da fehlt mir eine Erklärung von Zyxel wie man das sauber einstellen kann.
Die IPconfig vom Clientpc zeigt für den Tunnel bei Verbunden folgendes an (das ist festgelegt in der USG und passt meiner Meinung)
IP: 10.20.43.1
Mask.: 255.255.255.255
Im Log unter VPN - IPSEC kommt jetzt bei der Richtlinie 0.0.0.0/1<>10.20.43.1 was mir sagt. Er bekommt vom internen Subnet keine IP zugewiesen.
So und wo muss ich das jetzt einstellen? Mir wurden jetzt schon mehrfach allgemeine Erklärungen gegeben. Mir ist bewusst das die interne Weiterleitung fehlt.
Aber wo stelle ich das bei der USG Flex 100 ein. Weil selbst der Support von Zyxel hat darauf nicht geantwortet.
Zielstellung:
1. Optimum
Der Client meldet sich an und die Firewall leitet die DHCP Abfrage (Delay Server??) an den DHCP Server weiter. Dieser gibt dann die IP Adresse zurück.
2. Zwischenlösung
Die Firewall darf einen DHCP Bereich verwalten aber nur für User die sich per VPN anmelden.
Vielen Dank für eure Hilfen und die Profis werden bestimmt erstmal wieder Lachen...
Vorwort:
Vielen Dank das Ihr mein Problem durchlest und auch mit konstruktiven Vorschlägen weiter helft. (Kommentare wie "Du bist doch kein Admin" und ähnliches werden nicht beantwortet oder kommentiert)
Ich habe mich jetzt 4 Woche mit Threads und anderen Foren rumgeschlagen bzw. IT Firmen um Hilfe gebeten. Die mir leider bei dem Miniproblem auch nicht weiterhelfen konnten. Deshalb versuche ich es mal hier. Weil ich glaube ich sehr vor lauten Bäumen einfach da die Lösung nicht mehr.
Netzwerktopografie
Mein kleines Netzwerk:
10.20.40.1 - 255 / Serverbereich (Domain Server / Backupserver / DHCP / HA-Cluster
10.20.41.1 / IP Bereich feste Geräte
10.20.42.1 / DHCP
10.20.43.1 / VPN-Tunnel
Firewall: Zyxel USG Flex 100
Modem: VMG3006-D70A (Modem)
Problem
Ich möchte gerne mit dem Standard Windowsboardmitteln über VPN auf das Netzwerk zugreifen.
Aktueller Stand ist:
Die Verbindung über Ikev2 mit Zertifkat funktioniert, ach die Verbindung mit AD um die Benutzerfreigabe zu steuern für VPN ging ohne Probleme.
Siehe Anleitung Youtube
So bis hierhin alles schick. Alle Ahnen was jetzt kommt, Verbindung unter Win 10 aufgebaut. Verbindung ja, aber kein Ping auf das interne Subnet möglich und da hackt es. Da fehlt mir eine Erklärung von Zyxel wie man das sauber einstellen kann.
Die IPconfig vom Clientpc zeigt für den Tunnel bei Verbunden folgendes an (das ist festgelegt in der USG und passt meiner Meinung)
IP: 10.20.43.1
Mask.: 255.255.255.255
Im Log unter VPN - IPSEC kommt jetzt bei der Richtlinie 0.0.0.0/1<>10.20.43.1 was mir sagt. Er bekommt vom internen Subnet keine IP zugewiesen.
So und wo muss ich das jetzt einstellen? Mir wurden jetzt schon mehrfach allgemeine Erklärungen gegeben. Mir ist bewusst das die interne Weiterleitung fehlt.
Aber wo stelle ich das bei der USG Flex 100 ein. Weil selbst der Support von Zyxel hat darauf nicht geantwortet.
Zielstellung:
1. Optimum
Der Client meldet sich an und die Firewall leitet die DHCP Abfrage (Delay Server??) an den DHCP Server weiter. Dieser gibt dann die IP Adresse zurück.
2. Zwischenlösung
Die Firewall darf einen DHCP Bereich verwalten aber nur für User die sich per VPN anmelden.
Vielen Dank für eure Hilfen und die Profis werden bestimmt erstmal wieder Lachen...
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1504660992
Url: https://administrator.de/forum/vpn-routing-zyxel-usg-flex-100-firewall-problem-1504660992.html
Ausgedruckt am: 12.05.2025 um 04:05 Uhr
6 Kommentare
Neuester Kommentar
Moin,
bist Du sicher, dass Dir die Windows FW nicht dazwischenfunkt, indem sie den IP-Bereich blockiert, den Du lt. der Anleitung als Adresspool für das VPN konfiguriert hast?
Gruß
Uwe
bist Du sicher, dass Dir die Windows FW nicht dazwischenfunkt, indem sie den IP-Bereich blockiert, den Du lt. der Anleitung als Adresspool für das VPN konfiguriert hast?
Gruß
Uwe
Moin,
ob das wirklich ein "Miniproblem" ist, lässt sich (für uns) recht schwer beurteilen, da (exakte) Angaben zur aktuellen Konfiguration (VPN-Client und Server) gänzlich fehlen.
Auch ein Trace mit bspw. Wireshark wäre hilfreich bei der Analyse.
Vermutungen:
- Adresspool für die VPN-Clients wurde nicht angelegt, wie in dem verlinkten Videotutorial und auch hier bzw. hier angegeben
- Hat die USG eine feste öffentliche IP oder arbeitest Du über DynDNS o.ä.?
- Firewall der USG funkt eventuell noch dazwischen und wie bereits erwähnt ggf. auch noch die client- bzw. serverseitige Windows Firewall
- Warum hast Du 2 DHCP-Server oben aufgelistet und wo laufen die jeweils?
Man könnte noch einige Punkte mehr aufführen, aber alles nur Spekulation, was die Analyse nicht einfacher macht.
Ob das mit dem DHCP-Relay für die VPN-Clients funktioniert hängt von der USG ab. Je nach Wunschkonfiguration muss man auch noch die entsprechende Richtlinie anpassen.
Gruß
cykes
ob das wirklich ein "Miniproblem" ist, lässt sich (für uns) recht schwer beurteilen, da (exakte) Angaben zur aktuellen Konfiguration (VPN-Client und Server) gänzlich fehlen.
Auch ein Trace mit bspw. Wireshark wäre hilfreich bei der Analyse.
Vermutungen:
- Adresspool für die VPN-Clients wurde nicht angelegt, wie in dem verlinkten Videotutorial und auch hier bzw. hier angegeben
- Hat die USG eine feste öffentliche IP oder arbeitest Du über DynDNS o.ä.?
- Firewall der USG funkt eventuell noch dazwischen und wie bereits erwähnt ggf. auch noch die client- bzw. serverseitige Windows Firewall
- Warum hast Du 2 DHCP-Server oben aufgelistet und wo laufen die jeweils?
Man könnte noch einige Punkte mehr aufführen, aber alles nur Spekulation, was die Analyse nicht einfacher macht.
Ob das mit dem DHCP-Relay für die VPN-Clients funktioniert hängt von der USG ab. Je nach Wunschkonfiguration muss man auch noch die entsprechende Richtlinie anpassen.
Gruß
cykes
Danke erstmal an Beide das ihr euch zum Sonntag Zeit genommen habt...
transocean und cykes.... und stimmt habe wenig Angaben gemacht.... Aber das hat schon gereicht... die Bäume im Wald halt...
Also es war der DHCP Bereich für das VPN, den ich mir einfach mal so angelegt habe (hat halt schön in die Topografie gepasst) ohne mir darüber Gedanken gemacht zu haben das die FW es stören könnte. Habe den jetzt außerhalb vom IP Bereich des DHCP und Domäne gelegt und schau an schon geht der Ping. War schon fast zu einfach.
Jetzt muss ich noch schauen warum der Ping geht und alle Webservices, aber ich nicht per Remote im VPN auf die Server komm. Aber das schau ich mir erstmal in Ruhe mit Videos wieder an. Bzw. mach einen neue Thread auf. Passt sonst nicht zur Problembeschreibung.
Danke Leutz und schönen Tag noch.
transocean und cykes.... und stimmt habe wenig Angaben gemacht.... Aber das hat schon gereicht...
die Bäume im Wald halt...Also es war der DHCP Bereich für das VPN, den ich mir einfach mal so angelegt habe (hat halt schön in die Topografie gepasst) ohne mir darüber Gedanken gemacht zu haben das die FW es stören könnte. Habe den jetzt außerhalb vom IP Bereich des DHCP und Domäne gelegt und schau an schon geht der Ping. War schon fast zu einfach.
Jetzt muss ich noch schauen warum der Ping geht und alle Webservices, aber ich nicht per Remote im VPN auf die Server komm. Aber das schau ich mir erstmal in Ruhe mit Videos wieder an. Bzw. mach einen neue Thread auf. Passt sonst nicht zur Problembeschreibung.
Danke Leutz und schönen Tag noch.
Netzwerktopografie
Subnetzmasken wären hier für alle hilfreich gewesen um die IP Topologie zu verstehen. So sind die o.a. Angaben mehr oder minder sinnfrei wie die Kollegen oben schon zu recht bemerkt haben ! 
Bzw. mach einen neue Thread auf. Passt sonst nicht zur Problembeschreibung.
Dann solltest du diesen dann zumindestens auch als gelöst schliessen !!Wie kann ich einen Beitrag als gelöst markieren?
1
War auch mein erster Beitrag. Wird in Zukunft besser werden. Falls wieder eine Frage entsteht.
FAQs lesen hilft wirklich...!! 
