daragus
Goto Top

VPN mit Zywall 5 und Android

Guten Tag,

ich habe mir vor kurzem eine Zywall 5 über eBay zugelegt. Der Hauptsinn davon war, eine DMZ im Heimnetzwerk aufzubauen, in den ich meinen Rasberry stecken wollte. Zudem fand ich aber auch die VPN Funktion äußerst interessant, weil ich bis zum jetzigen Zeitpunkt immer nur OpenVpn genutzt hatte, was ich aber nicht immer auf dem Rasberry laufen lassen möchte.
Das Problem ist jetzt nur, dass ich die Zywall nicht so konfiguriert kriege, dass ich verbinden kann. Ich habe wahrscheinlich schon fast alles versucht, was mir eingefallen ist. Das Problem ist, das die Pakete meistens noch nicht mal ankommen.
Achso mein Netzwerk besteht aus zwei Subnetzen, das eine (192.168.0.xxx) wird vom Router (Technicolor 7200) verwaltet, da ich den irgendwie nicht so konfiguriert kriege, dass er lediglich als Modem funktioniert, das andere von der ZyWall (192.168.1.xxx).
Ich habe bereits versucht aus beiden Netzen, darauf zuzugreifen. Aber die Pakete kommen lediglich an, wenn ich über Lan gehe (192.168.1.xxx), aber trotzdem wird keine Verbindung aufgebaut. Über wlan (192.168.0.xxx) tut sich gleich gar nichts, obwohl ich hierfür extra eine Firewall Regel eingerichtet hat, die alle Ports, die mir bekannt sind freigibt.
Für die Authentfizierung wird ein PreSharded Key verwendet, und für den Schlüsselaustausch IKE.

Ich hoffe ihr könnt mir helfen,

daragus

Content-Key: 287009

Url: https://administrator.de/contentid/287009

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: aqui
aqui 29.10.2015 aktualisiert um 16:28:58 Uhr
Goto Top
Das hiesige Tutorial zu dem Thema hast du gelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Dort findest du die Antworten zu allen deinen Fragen !
Essentiell dabei ist natürlich das du die Pakete per Port Forwarding über den NAT Router Firewall bekommst.
Anhand deiner obigen, recht oberflächlichen Beschreibung kann man aus dem Wart "IKE" erahnen das du ein IPsec basiertes VPN erstellen willst, richtig ?
Wenn es IPsec ist dann betrifft das immer die Ports:
  • UDP 500
  • UDP 4500
  • ESP Protokoll (IP Nummer 50, Achtung: Nicht TCP oder UDP 50 ! ESP ist ein eigenständiges IP Protokoll)
Diese musst du zwingedn auf die Tunnel Engeräte durchlassen. Sonst kein VPN....
Wenn du vor der Zywall noch einen weiteren Router hast, also eine NAT Kaskade musst du es logischerweise 2mal forwarden.
Besser ist ein simples DSL Modem also wirklich ein reines Modem und kein Router vor die Zywall zu schalten sollte diese KEIN integriertes Modem haben.
Routerkaskaden sind immer kontraproduktiv bei VPNs wegen der multiplen Port Forwarding Frickelei.
Mitglied: michi1983
michi1983 29.10.2015 um 23:46:51 Uhr
Goto Top
Hallo,

falls du bei Unitymedia bist und einen DSLite Anschluss hast, kannst du das Vorhaben leider ganz begraben.

Falls nicht, einfach die Anleitung von @aqui befolgen, dann wird das schon face-wink

Gruß
Mitglied: aqui
aqui 30.10.2015, aktualisiert am 16.11.2015 um 18:21:55 Uhr
Goto Top
Richtig ! DSlite wäre der Todesstoß für IPsec jedenfalls auf IPv4 Basis. Mit IPv6 Adressen klappts aber bei DSlite.
Aber DSlite Provider vergeben auch feste IPv4 Anschlüsse für solche Anwendungen. Freilich dann für einen geringen Aufpreis.
Dazu müsstest du aber erstmal klären ob du DSlite hast oder nicht....könne wir ja auch nur raten hier ohne Input von dir.
Mitglied: daragus
daragus 16.11.2015 um 18:28:10 Uhr
Goto Top
Sorry zuerst mal, dass ich so lange nicht geantwortet habe. Ich war schulisch und privat in letzter Zeit leider etwas eingespannt, und hab deswegen leider nicht wirklich die Zeit gefunden weiter am Netzwerk zu werkeln.
ja, ich versuche Ipsec zum Einsatz zu bringen. Die Ports sind am Modem (mit integriertem Router) und an der Zywall selbst freigegeben. Ich versuche aktuell aber nur Intern per Lan eine Verbindung herzustellen, um zu sehen, ob es an etwaigen Port fehlern usw. liegt. Aber leider klappt nicht einmal das. Weder über lan noch über W-Lan (W-Lan Router und Lan Endgerät hängen im Lan Berreich der Firewall). Deswegen bin ich jetzt von einem Konfigurationsfehler meinerseits ausgegangen. Bis jetzt hatte ich halt immer den Rasberry mit OpenVPN am Start, wollte aber umsatteln.
Meinen Anschluss habe ich bei KabelBW, sprich ich müsste DS-Lite haben. Laut Internet kann man aber wenn man anfragt auch auf normales DS umgestellt werden. Nur bevor ich da anrufe, dachte ich, ich schaue erstmal dass ich es schaffe wenigstens Lokal VPN verbindungen aufzubauen.

Colin
Mitglied: aqui
aqui 17.11.2015 aktualisiert um 10:08:02 Uhr
Goto Top
OK, wenn du schon lokal kein IPsec VPN zustande bekommt in einem Test Setup, dann hast du natürlich erstmal ein ganz anderes Problem... ?!
Vielleicht hilft dir da das hiesige IPsec Tutorial um etwas Licht ins Dunkel zu bringen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Damit sollte es dann eigentlich ein Kinderspiel sein für dich ?!