rokkabrands
Goto Top

VPN Routing Zyxel USG Flex 100 Firewall Problem

Guten Tag Community,

Vorwort:
Vielen Dank das Ihr mein Problem durchlest und auch mit konstruktiven Vorschlägen weiter helft. (Kommentare wie "Du bist doch kein Admin" und ähnliches werden nicht beantwortet oder kommentiert)
Ich habe mich jetzt 4 Woche mit Threads und anderen Foren rumgeschlagen bzw. IT Firmen um Hilfe gebeten. Die mir leider bei dem Miniproblem auch nicht weiterhelfen konnten. Deshalb versuche ich es mal hier. Weil ich glaube ich sehr vor lauten Bäumen einfach da die Lösung nicht mehr.

Netzwerktopografie
Mein kleines Netzwerk:
10.20.40.1 - 255 / Serverbereich (Domain Server / Backupserver / DHCP / HA-Cluster
10.20.41.1 / IP Bereich feste Geräte
10.20.42.1 / DHCP
10.20.43.1 / VPN-Tunnel


Firewall: Zyxel USG Flex 100
Modem: VMG3006-D70A (Modem)

Problem
Ich möchte gerne mit dem Standard Windowsboardmitteln über VPN auf das Netzwerk zugreifen.
Aktueller Stand ist:
Die Verbindung über Ikev2 mit Zertifkat funktioniert, ach die Verbindung mit AD um die Benutzerfreigabe zu steuern für VPN ging ohne Probleme.
Siehe Anleitung Youtube
So bis hierhin alles schick. Alle Ahnen was jetzt kommt, Verbindung unter Win 10 aufgebaut. Verbindung ja, aber kein Ping auf das interne Subnet möglich und da hackt es. Da fehlt mir eine Erklärung von Zyxel wie man das sauber einstellen kann.

Die IPconfig vom Clientpc zeigt für den Tunnel bei Verbunden folgendes an (das ist festgelegt in der USG und passt meiner Meinung)
IP: 10.20.43.1
Mask.: 255.255.255.255

Im Log unter VPN - IPSEC kommt jetzt bei der Richtlinie 0.0.0.0/1<>10.20.43.1 was mir sagt. Er bekommt vom internen Subnet keine IP zugewiesen.
So und wo muss ich das jetzt einstellen? Mir wurden jetzt schon mehrfach allgemeine Erklärungen gegeben. Mir ist bewusst das die interne Weiterleitung fehlt.
Aber wo stelle ich das bei der USG Flex 100 ein. Weil selbst der Support von Zyxel hat darauf nicht geantwortet.


Zielstellung:
1. Optimum
Der Client meldet sich an und die Firewall leitet die DHCP Abfrage (Delay Server??) an den DHCP Server weiter. Dieser gibt dann die IP Adresse zurück.

2. Zwischenlösung
Die Firewall darf einen DHCP Bereich verwalten aber nur für User die sich per VPN anmelden.

Vielen Dank für eure Hilfen und die Profis werden bestimmt erstmal wieder Lachen... face-smile

Content-Key: 1504660992

Url: https://administrator.de/contentid/1504660992

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: transocean
Lösung transocean 14.11.2021 um 10:43:26 Uhr
Goto Top
Moin,

bist Du sicher, dass Dir die Windows FW nicht dazwischenfunkt, indem sie den IP-Bereich blockiert, den Du lt. der Anleitung als Adresspool für das VPN konfiguriert hast?

Gruß

Uwe
Mitglied: cykes
Lösung cykes 14.11.2021 um 12:50:38 Uhr
Goto Top
Moin,

ob das wirklich ein "Miniproblem" ist, lässt sich (für uns) recht schwer beurteilen, da (exakte) Angaben zur aktuellen Konfiguration (VPN-Client und Server) gänzlich fehlen.

Auch ein Trace mit bspw. Wireshark wäre hilfreich bei der Analyse.

Vermutungen:

- Adresspool für die VPN-Clients wurde nicht angelegt, wie in dem verlinkten Videotutorial und auch hier bzw. hier angegeben
- Hat die USG eine feste öffentliche IP oder arbeitest Du über DynDNS o.ä.?
- Firewall der USG funkt eventuell noch dazwischen und wie bereits erwähnt ggf. auch noch die client- bzw. serverseitige Windows Firewall
- Warum hast Du 2 DHCP-Server oben aufgelistet und wo laufen die jeweils?

Man könnte noch einige Punkte mehr aufführen, aber alles nur Spekulation, was die Analyse nicht einfacher macht.
Ob das mit dem DHCP-Relay für die VPN-Clients funktioniert hängt von der USG ab. Je nach Wunschkonfiguration muss man auch noch die entsprechende Richtlinie anpassen.

Gruß

cykes
Mitglied: RokkaBrands
RokkaBrands 14.11.2021 um 19:39:40 Uhr
Goto Top
Danke erstmal an Beide das ihr euch zum Sonntag Zeit genommen habt...
transocean und cykes.... und stimmt habe wenig Angaben gemacht.... Aber das hat schon gereicht... face-smile die Bäume im Wald halt...

Also es war der DHCP Bereich für das VPN, den ich mir einfach mal so angelegt habe (hat halt schön in die Topografie gepasst) ohne mir darüber Gedanken gemacht zu haben das die FW es stören könnte. Habe den jetzt außerhalb vom IP Bereich des DHCP und Domäne gelegt und schau an schon geht der Ping. War schon fast zu einfach.

Jetzt muss ich noch schauen warum der Ping geht und alle Webservices, aber ich nicht per Remote im VPN auf die Server komm. Aber das schau ich mir erstmal in Ruhe mit Videos wieder an. Bzw. mach einen neue Thread auf. Passt sonst nicht zur Problembeschreibung.

Danke Leutz und schönen Tag noch.
Mitglied: aqui
aqui 14.11.2021 um 20:04:07 Uhr
Goto Top
Netzwerktopografie
Subnetzmasken wären hier für alle hilfreich gewesen um die IP Topologie zu verstehen. So sind die o.a. Angaben mehr oder minder sinnfrei wie die Kollegen oben schon zu recht bemerkt haben ! face-sad
Bzw. mach einen neue Thread auf. Passt sonst nicht zur Problembeschreibung.
Dann solltest du diesen dann zumindestens auch als gelöst schliessen !!
Wie kann ich einen Beitrag als gelöst markieren?
Mitglied: RokkaBrands
RokkaBrands 15.11.2021 um 08:44:02 Uhr
Goto Top
War auch mein erster Beitrag. Wird in Zukunft besser werden. Falls wieder eine Frage entsteht. face-smile
Mitglied: aqui
aqui 15.11.2021 um 17:14:49 Uhr
Goto Top
FAQs lesen hilft wirklich...!! face-big-smile