13
VPN von ZyXEL USG zu Windows Server 2012 R2
Hallo und schönen Abned zusammen,
stehe vor folgendem Problem:
Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.
Alerdings nicht von der ZyXEL USG.
Nachdem ich nach Stundenlangem googeln nichts wirklich sinnvolles gefunden habe: Hat jemand von euch eine Ahnung ob das ganze funktioniert und wenn ja wie?
Vielen Lieben Dank
Christian
P.S. An die ZyXEL USG bin ich gebunden, an den Windows-VPN-Server nicht (nur an den Windows Server im RZ). Wenn es also irgendein Tool gibt dass einen besseren VN-Server als der in Windows Server integrierte hermacht, und damit eine stressfreie Verbindung möglich ist: Immer her damit.
stehe vor folgendem Problem:
Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.
Alerdings nicht von der ZyXEL USG.
Nachdem ich nach Stundenlangem googeln nichts wirklich sinnvolles gefunden habe: Hat jemand von euch eine Ahnung ob das ganze funktioniert und wenn ja wie?
Vielen Lieben Dank
Christian
P.S. An die ZyXEL USG bin ich gebunden, an den Windows-VPN-Server nicht (nur an den Windows Server im RZ). Wenn es also irgendein Tool gibt dass einen besseren VN-Server als der in Windows Server integrierte hermacht, und damit eine stressfreie Verbindung möglich ist: Immer her damit.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Dani am Oct 08, 2016 um 17:11:55 Uhr
Titel angepasst...
Content-Key: 317277
Url: https://administrator.de/contentid/317277
Printed on: April 19, 2024 at 01:04 o'clock
13 Comments
Latest comment
Hallo
Verrätst du uns auch von welchem VPN Protokoll du sprichst?
Gruß
stehe vor folgendem Problem:
Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.
Alerdings nicht von der ZyXEL USG.
Weil?Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.
Alerdings nicht von der ZyXEL USG.
Nachdem ich nach Stundenlangem googeln nichts wirklich sinnvolles gefunden habe: Hat jemand von euch eine Ahnung ob das ganze funktioniert und wenn ja wie?
Nach was hast du gegoogelt?Verrätst du uns auch von welchem VPN Protokoll du sprichst?
Gruß
Hallo,
und danke für die Antwort.
Mittlerlerweile habe ich durch die Forensuche folgendes herausgefunden:
Windows Server kann kein natives IPSec. Deshalb habe ich jetzt SoftEther aufgesetzt und probiere mich damit.
Wenn alles funktioniert gebe ich nochmal Bescheid
Schönes WE
Christian
und danke für die Antwort.
Mittlerlerweile habe ich durch die Forensuche folgendes herausgefunden:
Windows Server kann kein natives IPSec. Deshalb habe ich jetzt SoftEther aufgesetzt und probiere mich damit.
Wenn alles funktioniert gebe ich nochmal Bescheid
Schönes WE
Christian
Und ein VPN Server gehört niemals auf einen internen Server...aber egal.
Installier die den allseits bekannten Shrew Client auf deiner Winblows Gurke und dann klappt das auch:
https://www.shrew.net/download
Hier findest du diverse Alternativen die das weitaus besser (und sicherer) können als Winblows:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sofern du ein anderes Protokoll als IPsec nutzen kannst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Unsicher aber machbar:
VPNs einrichten mit PPTP
Es führen viele Wege nach Rom...
Installier die den allseits bekannten Shrew Client auf deiner Winblows Gurke und dann klappt das auch:
https://www.shrew.net/download
Hier findest du diverse Alternativen die das weitaus besser (und sicherer) können als Winblows:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sofern du ein anderes Protokoll als IPsec nutzen kannst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Unsicher aber machbar:
VPNs einrichten mit PPTP
Es führen viele Wege nach Rom...
Guten Morgen,
Der Server steht im RZ, d.h. ich kann keinen Router dazwischenschalten. Die Standorte werden über eine ZyXEL USG 20 mit dem Server vernetzt.
Ich nutze jetzt SoftEther als VPN Server auf dem Windows Server im RZ.
Folgendes Probem:
Die ZyXEL USG zeigt verbunden an, der VPN-Server hat aber keine eingehenden Verbindungen.
LG
Christian
Der Server steht im RZ, d.h. ich kann keinen Router dazwischenschalten. Die Standorte werden über eine ZyXEL USG 20 mit dem Server vernetzt.
Ich nutze jetzt SoftEther als VPN Server auf dem Windows Server im RZ.
Folgendes Probem:
Die ZyXEL USG zeigt verbunden an, der VPN-Server hat aber keine eingehenden Verbindungen.
LG
Christian
Ein RZ Standort hat ja per se erstmal nichts damit zu tun ob man ein Router dazwischenschalten kann oder nicht. Fakt ist aber das es für ein RZ grundlegend falsch ist VPN Tunnel schon innerhalb auf einem Server zu terminieren.
Bei einem Sicherheitsloch ist ein Angreifer dann direkt im Herzen des RZ.
Das sagt sehr viel über fehlende Sicherheitskonzepte und Defizite im VPN Wissen und Design aus...aber egal, das ist eine andere Baustelle.
Wenn dem so ist, dann musst du halt mit den Bedingungen leben. Entweder nutzt du dann Bordmittel, bist dann aber auf PPTP oder L2TP festgelegt oder du nutzt einen externen Client wie den obigen Shrew Client bei IPsec.
Oder eben den Klassiker OpenVPN, was dann aber bedeutet das die Zyxel USG Gurken auch OpenVPN supporten müssten.
Denkbar ist auch das du in einer VM (z.B. Virtualbox) eine Software Router oder Firewall (z.B. pfSense) laufen lässt, dei dann die IPsec Tunnel bedienen. Hätte dann noch den Vorteil das es wenigsten ein klein wenig getrennt vom Server wäre mit geringfügig mehr Sicherheit durch die FW.
All das ist möglich.
Man kann es nur wiederholen: Es führen viele Wege nach Rom...
Die Logs auf beiden Seiten müssen einen laufenden IPsec Tunnel anzeigen !
Bei Windows hast du immer noch das Problem das die lokale Firewall das beim aktiven Tunnel etablierte virtuelle Interface als öffentliches netzwerk qualifizieren und dann die Firewall komplett dichtmachen.
Damit erstirbt dann logischerweise jeglicher Traffic im Tunnel und nix geht durch. Hier musst du natürlich die lokale Firewall auf der Winblows Seite zwingend anpassen.
Auch für ICMP Ping: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wie immer sind ipconfig und route print bei etablierter Tunnelverbindung deine besten Freunde zum Troubleshooten !
Bei einem Sicherheitsloch ist ein Angreifer dann direkt im Herzen des RZ.
Das sagt sehr viel über fehlende Sicherheitskonzepte und Defizite im VPN Wissen und Design aus...aber egal, das ist eine andere Baustelle.
Wenn dem so ist, dann musst du halt mit den Bedingungen leben. Entweder nutzt du dann Bordmittel, bist dann aber auf PPTP oder L2TP festgelegt oder du nutzt einen externen Client wie den obigen Shrew Client bei IPsec.
Oder eben den Klassiker OpenVPN, was dann aber bedeutet das die Zyxel USG Gurken auch OpenVPN supporten müssten.
Denkbar ist auch das du in einer VM (z.B. Virtualbox) eine Software Router oder Firewall (z.B. pfSense) laufen lässt, dei dann die IPsec Tunnel bedienen. Hätte dann noch den Vorteil das es wenigsten ein klein wenig getrennt vom Server wäre mit geringfügig mehr Sicherheit durch die FW.
All das ist möglich.
Man kann es nur wiederholen: Es führen viele Wege nach Rom...
Die ZyXEL USG zeigt verbunden an, der VPN-Server hat aber keine eingehenden Verbindungen.
Das ist technisch unmöglich !Die Logs auf beiden Seiten müssen einen laufenden IPsec Tunnel anzeigen !
Bei Windows hast du immer noch das Problem das die lokale Firewall das beim aktiven Tunnel etablierte virtuelle Interface als öffentliches netzwerk qualifizieren und dann die Firewall komplett dichtmachen.
Damit erstirbt dann logischerweise jeglicher Traffic im Tunnel und nix geht durch. Hier musst du natürlich die lokale Firewall auf der Winblows Seite zwingend anpassen.
Auch für ICMP Ping: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wie immer sind ipconfig und route print bei etablierter Tunnelverbindung deine besten Freunde zum Troubleshooten !
Hallo und danke für die ausführliche Antwort,
das stimmt, es felt mir an grundlegendem Basiswissen im VPN-Bereich. Nichts desto trotz muss ich jetzt bis heute Abend eine funktionierende Lösung finden. Und wenn du mir (ich will ja gerne eine sichere Lösung erzeugen), einen anderen (besseren) Weg sagen kannst, bin ich gerne bereit das anders umzusetzen.
Folgene Gegebenheiten:
Standorte: Jeweils eine ZyXEL USG 20 (unterstützt nur natives IPsec)
RZ: Ein Rootserver mit Proxmox, da drauf eine VM --> Windows Server
Jetzt muss ich zwischen der ZyXEL USG und dem Windows Server eine VPN einrichten.
Wie würdest du das lösen?
SCHONMAL EIN RIESENFETTES DANKESCHÖN
Christian
das stimmt, es felt mir an grundlegendem Basiswissen im VPN-Bereich. Nichts desto trotz muss ich jetzt bis heute Abend eine funktionierende Lösung finden. Und wenn du mir (ich will ja gerne eine sichere Lösung erzeugen), einen anderen (besseren) Weg sagen kannst, bin ich gerne bereit das anders umzusetzen.
Folgene Gegebenheiten:
Standorte: Jeweils eine ZyXEL USG 20 (unterstützt nur natives IPsec)
RZ: Ein Rootserver mit Proxmox, da drauf eine VM --> Windows Server
Jetzt muss ich zwischen der ZyXEL USG und dem Windows Server eine VPN einrichten.
Wie würdest du das lösen?
SCHONMAL EIN RIESENFETTES DANKESCHÖN
Christian
Hat er ja schon gesagt: z.b. eine 2. VM neben dem Windows Server aufsetzen und dort z.B. PfSense installieren und dann eine Verbindung von der Fortigate zur PfSense aufbauen.
Gruß
Gruß
Ok, dann werde ich das mal versuchen...
Nimm den Shrew Client, damit funktioniert das auf Anhieb ! Zudem ist das schnell erledigt ohne großen Aufwand.
Dann habe ich aber keine Chance die IP-Telefone über die Gateway zu schicken ^^
Warum meintest du sollte das nicht gehen ??
Weil ich das gesamte Netzwerk auf die USG schicke und von dort aus routen möchte...
Nebenbei: Irgendeine Ahnung was dieser PFSense Fehler bedeuten kann?
Nebenbei: Irgendeine Ahnung was dieser PFSense Fehler bedeuten kann?
found 1 matching config, but none allows pre-shared key authentication
Das ist ja per se auch richtig das du das so machst ! Warum meinst du dann das man die Telefone daüber nicht schicken kann.
Letztlich sind Voice Pakete auch nur simple und einfache IP Pakete. Du kannst du sogar über einen feuchten Bindfaden schicken wenn man muss.
Über die Zyxel Gurke sollte es also allemal klappen. Vorausgesetzt natürlich du hast dort die richtigen regeln definiert. Eine pfSense kanns wenigstens mit Links...
Zum Fehler:
Er hat einen einzigen Preshared Key gefunden aber der passt nicht auf die Authentisierung mit der Gegenstelle.
Mit anderen Worten der PSK ist falsch ! Tippfehler ?!
Letztlich sind Voice Pakete auch nur simple und einfache IP Pakete. Du kannst du sogar über einen feuchten Bindfaden schicken wenn man muss.
Über die Zyxel Gurke sollte es also allemal klappen. Vorausgesetzt natürlich du hast dort die richtigen regeln definiert. Eine pfSense kanns wenigstens mit Links...
Zum Fehler:
Er hat einen einzigen Preshared Key gefunden aber der passt nicht auf die Authentisierung mit der Gegenstelle.
Mit anderen Worten der PSK ist falsch ! Tippfehler ?!
