bmitsol
Goto Top

VPN von ZyXEL USG zu Windows Server 2012 R2

Hallo und schönen Abned zusammen,

stehe vor folgendem Problem:

Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.

Alerdings nicht von der ZyXEL USG.


Nachdem ich nach Stundenlangem googeln nichts wirklich sinnvolles gefunden habe: Hat jemand von euch eine Ahnung ob das ganze funktioniert und wenn ja wie?


Vielen Lieben Dank
Christian


P.S. An die ZyXEL USG bin ich gebunden, an den Windows-VPN-Server nicht (nur an den Windows Server im RZ). Wenn es also irgendein Tool gibt dass einen besseren VN-Server als der in Windows Server integrierte hermacht, und damit eine stressfreie Verbindung möglich ist: Immer her damit.
Kommentar vom Moderator Dani am 08.10.2016 um 19:11:55 Uhr
Titel angepasst...

Content-ID: 317277

Url: https://administrator.de/forum/vpn-von-zyxel-usg-zu-windows-server-2012-r2-317277.html

Ausgedruckt am: 27.12.2024 um 19:12 Uhr

michi1983
michi1983 08.10.2016 um 18:58:44 Uhr
Goto Top
Zitat von @bmitsol:

Hallo und schönen Abned zusammen,
Hallo

stehe vor folgendem Problem:

Ich habe eine ZyXEL USG 20 und würde gerne eine VPN zu einem Windows Server 2012 R2 im RZ aufbauen. Der Windows Server ist als VPN-Server konfiguriert, und von einem windows Client kann ich auch eine Verbindung aufbauen.

Alerdings nicht von der ZyXEL USG.
Weil?

Nachdem ich nach Stundenlangem googeln nichts wirklich sinnvolles gefunden habe: Hat jemand von euch eine Ahnung ob das ganze funktioniert und wenn ja wie?
Nach was hast du gegoogelt?

Verrätst du uns auch von welchem VPN Protokoll du sprichst?

Gruß
bmitsol
bmitsol 08.10.2016 um 19:05:29 Uhr
Goto Top
Hallo,

und danke für die Antwort.


Mittlerlerweile habe ich durch die Forensuche folgendes herausgefunden:

Windows Server kann kein natives IPSec. Deshalb habe ich jetzt SoftEther aufgesetzt und probiere mich damit.


Wenn alles funktioniert gebe ich nochmal Bescheid face-smile

Schönes WE
Christian
aqui
Lösung aqui 08.10.2016 aktualisiert um 19:15:33 Uhr
Goto Top
Und ein VPN Server gehört niemals auf einen internen Server...aber egal.
Installier die den allseits bekannten Shrew Client auf deiner Winblows Gurke und dann klappt das auch:
https://www.shrew.net/download
Hier findest du diverse Alternativen die das weitaus besser (und sicherer) können als Winblows:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sofern du ein anderes Protokoll als IPsec nutzen kannst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Unsicher aber machbar:
VPNs einrichten mit PPTP
Es führen viele Wege nach Rom...
bmitsol
bmitsol 09.10.2016 um 12:15:42 Uhr
Goto Top
Guten Morgen,

Der Server steht im RZ, d.h. ich kann keinen Router dazwischenschalten. Die Standorte werden über eine ZyXEL USG 20 mit dem Server vernetzt.

Ich nutze jetzt SoftEther als VPN Server auf dem Windows Server im RZ.

Folgendes Probem:
Die ZyXEL USG zeigt verbunden an, der VPN-Server hat aber keine eingehenden Verbindungen.


LG
Christian
aqui
aqui 09.10.2016 aktualisiert um 12:34:05 Uhr
Goto Top
Ein RZ Standort hat ja per se erstmal nichts damit zu tun ob man ein Router dazwischenschalten kann oder nicht. Fakt ist aber das es für ein RZ grundlegend falsch ist VPN Tunnel schon innerhalb auf einem Server zu terminieren.
Bei einem Sicherheitsloch ist ein Angreifer dann direkt im Herzen des RZ.
Das sagt sehr viel über fehlende Sicherheitskonzepte und Defizite im VPN Wissen und Design aus...aber egal, das ist eine andere Baustelle.
Wenn dem so ist, dann musst du halt mit den Bedingungen leben. Entweder nutzt du dann Bordmittel, bist dann aber auf PPTP oder L2TP festgelegt oder du nutzt einen externen Client wie den obigen Shrew Client bei IPsec.
Oder eben den Klassiker OpenVPN, was dann aber bedeutet das die Zyxel USG Gurken auch OpenVPN supporten müssten.
Denkbar ist auch das du in einer VM (z.B. Virtualbox) eine Software Router oder Firewall (z.B. pfSense) laufen lässt, dei dann die IPsec Tunnel bedienen. Hätte dann noch den Vorteil das es wenigsten ein klein wenig getrennt vom Server wäre mit geringfügig mehr Sicherheit durch die FW.
All das ist möglich.
Man kann es nur wiederholen: Es führen viele Wege nach Rom...
Die ZyXEL USG zeigt verbunden an, der VPN-Server hat aber keine eingehenden Verbindungen.
Das ist technisch unmöglich !
Die Logs auf beiden Seiten müssen einen laufenden IPsec Tunnel anzeigen !
Bei Windows hast du immer noch das Problem das die lokale Firewall das beim aktiven Tunnel etablierte virtuelle Interface als öffentliches netzwerk qualifizieren und dann die Firewall komplett dichtmachen.
Damit erstirbt dann logischerweise jeglicher Traffic im Tunnel und nix geht durch. Hier musst du natürlich die lokale Firewall auf der Winblows Seite zwingend anpassen.
Auch für ICMP Ping: https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wie immer sind ipconfig und route print bei etablierter Tunnelverbindung deine besten Freunde zum Troubleshooten !
bmitsol
bmitsol 09.10.2016 um 13:57:58 Uhr
Goto Top
Hallo und danke für die ausführliche Antwort,

das stimmt, es felt mir an grundlegendem Basiswissen im VPN-Bereich. Nichts desto trotz muss ich jetzt bis heute Abend eine funktionierende Lösung finden. Und wenn du mir (ich will ja gerne eine sichere Lösung erzeugen), einen anderen (besseren) Weg sagen kannst, bin ich gerne bereit das anders umzusetzen.

Folgene Gegebenheiten:

Standorte: Jeweils eine ZyXEL USG 20 (unterstützt nur natives IPsec)
RZ: Ein Rootserver mit Proxmox, da drauf eine VM --> Windows Server

Jetzt muss ich zwischen der ZyXEL USG und dem Windows Server eine VPN einrichten.


Wie würdest du das lösen?


SCHONMAL EIN RIESENFETTES DANKESCHÖN
Christian
michi1983
michi1983 09.10.2016 um 14:09:15 Uhr
Goto Top
Hat er ja schon gesagt: z.b. eine 2. VM neben dem Windows Server aufsetzen und dort z.B. PfSense installieren und dann eine Verbindung von der Fortigate zur PfSense aufbauen.

Gruß
bmitsol
bmitsol 09.10.2016 um 14:12:00 Uhr
Goto Top
Ok, dann werde ich das mal versuchen...
aqui
aqui 09.10.2016 um 16:19:04 Uhr
Goto Top
Nimm den Shrew Client, damit funktioniert das auf Anhieb ! Zudem ist das schnell erledigt ohne großen Aufwand.
bmitsol
bmitsol 09.10.2016 um 18:17:43 Uhr
Goto Top
Dann habe ich aber keine Chance die IP-Telefone über die Gateway zu schicken ^^
aqui
aqui 09.10.2016 um 19:03:44 Uhr
Goto Top
Warum meintest du sollte das nicht gehen ??
bmitsol
bmitsol 09.10.2016 um 19:57:00 Uhr
Goto Top
Weil ich das gesamte Netzwerk auf die USG schicke und von dort aus routen möchte...

Nebenbei: Irgendeine Ahnung was dieser PFSense Fehler bedeuten kann?
found 1 matching config, but none allows pre-shared key authentication
aqui
aqui 10.10.2016 aktualisiert um 16:35:49 Uhr
Goto Top
Das ist ja per se auch richtig das du das so machst ! Warum meinst du dann das man die Telefone daüber nicht schicken kann.
Letztlich sind Voice Pakete auch nur simple und einfache IP Pakete. Du kannst du sogar über einen feuchten Bindfaden schicken wenn man muss.
Über die Zyxel Gurke sollte es also allemal klappen. Vorausgesetzt natürlich du hast dort die richtigen regeln definiert. Eine pfSense kanns wenigstens mit Links... face-wink
Zum Fehler:
Er hat einen einzigen Preshared Key gefunden aber der passt nicht auf die Authentisierung mit der Gegenstelle.
Mit anderen Worten der PSK ist falsch ! Tippfehler ?!