VPN von Tablet
Moderator: Securepoint
VPN von Tablet
Zum Aufbau:
Fritzbox mit der IP 192.168.178.1 vor BLACK DWARF UTMA FIREWALL die Eingangseitig die 192.168.178.254 hat und wieterleitung von Fritzbox mit EXPOSED HOST.
Die Firewall hat im Netzwerk dann die 192.168.100.1 dahinter kommt das NEtzwerk mit einer Switch 192.168.100.2 und dann kommen da die Server drei Stück eine Hardwarekiste und 2 virtuelle.
Wobei ein virtueller auch der Domänencontroller mit DNS und DHCP ist.
In der Firewall ist kein DHCP aktiv.
Geplant ist, dass die Tablets (Win 8 PRO ) mitgenommen werden und per Client eine VPN Verbindung aufgebaut wird, damit ein einzelnes Laufwerk zugeordnet werden kann, damit dort Daten eingetragen werden können.
VPN Verbindung baut er auch auf, aber nun kommt es, der CLient zeigt eine IP ADRESSE oder bekommt eine die schon vergeben ist.
Wie kann ich das beeinflussen, dass die Tablets dann andere freie oder von mit festvergebene bekommen?
Was muss ich tunt damit ich die laufwerke sehe?
MFG
Finchen
Wäre schön wenn ich eine antwort bekomme
Fritzbox mit der IP 192.168.178.1 vor BLACK DWARF UTMA FIREWALL die Eingangseitig die 192.168.178.254 hat und wieterleitung von Fritzbox mit EXPOSED HOST.
Die Firewall hat im Netzwerk dann die 192.168.100.1 dahinter kommt das NEtzwerk mit einer Switch 192.168.100.2 und dann kommen da die Server drei Stück eine Hardwarekiste und 2 virtuelle.
Wobei ein virtueller auch der Domänencontroller mit DNS und DHCP ist.
In der Firewall ist kein DHCP aktiv.
Geplant ist, dass die Tablets (Win 8 PRO ) mitgenommen werden und per Client eine VPN Verbindung aufgebaut wird, damit ein einzelnes Laufwerk zugeordnet werden kann, damit dort Daten eingetragen werden können.
VPN Verbindung baut er auch auf, aber nun kommt es, der CLient zeigt eine IP ADRESSE oder bekommt eine die schon vergeben ist.
Wie kann ich das beeinflussen, dass die Tablets dann andere freie oder von mit festvergebene bekommen?
Was muss ich tunt damit ich die laufwerke sehe?
MFG
Finchen
Wäre schön wenn ich eine antwort bekomme
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo Finchen,
um was für eine VPN Verbindung handelt es sich?
Den Pool können Sie z.B. bei L2TP over IPSec, IPSec XAuth und SSL VPN festlegen, dieser muss nicht zwingend im eigenen Netz liegen.
Gruß
um was für eine VPN Verbindung handelt es sich?
Den Pool können Sie z.B. bei L2TP over IPSec, IPSec XAuth und SSL VPN festlegen, dieser muss nicht zwingend im eigenen Netz liegen.
Gruß
Hallo Finchen,
bei SSL-VPN Roadwarrior macht der SSL-VPN Server per DHCP die Verteilung. Bei SSL-VPN handelt es sich um ein geroutetes Netzwerk was dementsprechend nicht im eigenen Netz liegt. Welches Netz haben Sie denn dem SSL-VPN Server zugewiesen? Haben Sie bei den Benutzern unter VPN eine IP hinterlegt? Wenn ja ist es eine IP aus dem Subnetz des SSL-VPN Servers?
Gruß Björn
bei SSL-VPN Roadwarrior macht der SSL-VPN Server per DHCP die Verteilung. Bei SSL-VPN handelt es sich um ein geroutetes Netzwerk was dementsprechend nicht im eigenen Netz liegt. Welches Netz haben Sie denn dem SSL-VPN Server zugewiesen? Haben Sie bei den Benutzern unter VPN eine IP hinterlegt? Wenn ja ist es eine IP aus dem Subnetz des SSL-VPN Servers?
Gruß Björn
Hallo Finchen,
Sie müssen dem SSL-VPN Server ein anderes Subnetz geben da der SSL-VPN Server hier die IPs zuweist und von den internen IP Adressen nichts kennt.
Tragen Sie beim SSL-VPN Server einfach mal das Subnetz 192.168.254.0/24 ein. Starten dann den Dienst einmal neu und Verbinden Sie sich. Sie müssen dann natürlich auch das Netzwerkobjekt für die Regel abändern und die Regeln noch einmal aktualisieren.
100%ig versprechen kann ich es nicht das Sie ohne weiteres auf den Servern kommen da ich nicht weiß ob Ihre Server anfragen aus einem anderen Subnetz annehmen bzw. die Firewall als Standardgateway haben.
Sollte es beim versuch scheitern können Sie die Regel wie folgt abändern.
VNP-Netz => internal-network => any => HN => internal-interface
Damit werden die Pakete mit der internen IP der Firewall genattet.
Gruß Björn
Sie müssen dem SSL-VPN Server ein anderes Subnetz geben da der SSL-VPN Server hier die IPs zuweist und von den internen IP Adressen nichts kennt.
Tragen Sie beim SSL-VPN Server einfach mal das Subnetz 192.168.254.0/24 ein. Starten dann den Dienst einmal neu und Verbinden Sie sich. Sie müssen dann natürlich auch das Netzwerkobjekt für die Regel abändern und die Regeln noch einmal aktualisieren.
100%ig versprechen kann ich es nicht das Sie ohne weiteres auf den Servern kommen da ich nicht weiß ob Ihre Server anfragen aus einem anderen Subnetz annehmen bzw. die Firewall als Standardgateway haben.
Sollte es beim versuch scheitern können Sie die Regel wie folgt abändern.
VNP-Netz => internal-network => any => HN => internal-interface
Damit werden die Pakete mit der internen IP der Firewall genattet.
Gruß Björn
So habe ich das nun eingestellt, ich bekomme zwar aus dem SUBNETZ eine IP aber kann ich weder vom Tablet dann einen der drei Server anpingen...
QUELLE: VPN - NETZ (eigen erstelltes Netzobjekt)
Ziel: internal-network
Dienst: any
Netzwerkobjekt:
Habe ich VPN-NETZ angegeben
ZONE: vpn-ipsec
Adressse 192.168.254.0/24
was kann ich noch falsch gemacht haben?????
QUELLE: VPN - NETZ (eigen erstelltes Netzobjekt)
Ziel: internal-network
Dienst: any
Netzwerkobjekt:
Habe ich VPN-NETZ angegeben
ZONE: vpn-ipsec
Adressse 192.168.254.0/24
was kann ich noch falsch gemacht haben?????
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo,
die Zone ist nicht vpn-ipsec sondern vpn-openvpn-NamederOpenVPNVerbindung.
Gruß
die Zone ist nicht vpn-ipsec sondern vpn-openvpn-NamederOpenVPNVerbindung.
Gruß
Und ich habe die IP Adresse auf das Original Netz geändert und dort den DHCP Bereich eingegrenzt.
Die Benutzer bekommen aber eine feste IP zu gewiesen.
Jetzt ist nur die frage, warum ich weder die Netzlaufwerke öffnen kann noch den Server anpingen kann.?
Die Benutzer bekommen aber eine feste IP zu gewiesen.
Jetzt ist nur die frage, warum ich weder die Netzlaufwerke öffnen kann noch den Server anpingen kann.?
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo Finchen
Entweder konfigurieren Sie Ihren Server so, dass dieser auch Anfragen aus dem SSL VPN Netz annimmt oder Sie legen die Zugriffsregel gleich mit einem Hide NAT an:
SSL-Netz -> internal-network -> any
NAT: HideNAT - Schnittstelle: internal-interface
Gruß
Also die IP Adresse vom SSL Server wieder umstellen. Die Regel war korrekt, ich vermute dass Ihr Server die Anfragen nur nicht angenommen hat.Bjoern hat geschrieben: Sie müssen dem SSL-VPN Server ein anderes Subnetz geben da der SSL-VPN Server hier die IPs zuweist und von den internen IP Adressen nichts kennt.
Entweder konfigurieren Sie Ihren Server so, dass dieser auch Anfragen aus dem SSL VPN Netz annimmt oder Sie legen die Zugriffsregel gleich mit einem Hide NAT an:
SSL-Netz -> internal-network -> any
NAT: HideNAT - Schnittstelle: internal-interface
Gruß
Guten Abend,
ich bin nicht nur am verzweifeln ich denke ich habe auch ein dicken denk fehler und schreibe mal von anfang an.
Schnittstellen
tun0 --> 192.168.254.1/24 ZOnen: vpn-openvpn-Server
Firewall:
Netzwerkobjekt VPN - Netz: 192.168.254.0 /24 Zone vpn-openvpn-Server
Portfilter:
QUelle: VPN-NEtz
Ziel: internal-network
Dienst :any
NAt:
Typ: Hidenat ---> internal-interface
Die Benutzer bekommen unter Authentifizierung eine IP aus dem Beriech 192.168.254.0 mitgegeben.
Ich gebe den DNS Server 192.168.100.3(192.168.100.1) und den WINS 192.168.100.3 mit
Weil mir das alles komisch vorkommt, habe ich den Servern
SRV-DATA01 HauptIP: 192.168.100.3 auch die 192.168.254.3
SRV-DATABASE01 HautpIP: 192.168.100.5 auch die 192.168.254.5
Ich habe dann mal das Feld von hinten aufgeräumt und habe von Intern die Server über die IPs aus dem 192.168.254.0 Netz angeping und das hat funktioniert.
Und jetzt kommt das Dilemma:
es geht nicht und ich finde den Fehler nicht
Die Firewall ist eine Black Dwarf UTM mit der v11 - 11.4.3.6 Firmware.
ich bin nicht nur am verzweifeln ich denke ich habe auch ein dicken denk fehler und schreibe mal von anfang an.
Schnittstellen
tun0 --> 192.168.254.1/24 ZOnen: vpn-openvpn-Server
Firewall:
Netzwerkobjekt VPN - Netz: 192.168.254.0 /24 Zone vpn-openvpn-Server
Portfilter:
QUelle: VPN-NEtz
Ziel: internal-network
Dienst :any
NAt:
Typ: Hidenat ---> internal-interface
Die Benutzer bekommen unter Authentifizierung eine IP aus dem Beriech 192.168.254.0 mitgegeben.
Ich gebe den DNS Server 192.168.100.3(192.168.100.1) und den WINS 192.168.100.3 mit
Weil mir das alles komisch vorkommt, habe ich den Servern
SRV-DATA01 HauptIP: 192.168.100.3 auch die 192.168.254.3
SRV-DATABASE01 HautpIP: 192.168.100.5 auch die 192.168.254.5
Ich habe dann mal das Feld von hinten aufgeräumt und habe von Intern die Server über die IPs aus dem 192.168.254.0 Netz angeping und das hat funktioniert.
Und jetzt kommt das Dilemma:
es geht nicht und ich finde den Fehler nicht
Die Firewall ist eine Black Dwarf UTM mit der v11 - 11.4.3.6 Firmware.
Hallo Finchen,
wenn es so eingerichtet ist wie oben Beschrieben ist es korrekt. Sie brauchen den DNS Servern diese zweite IP nicht zuweisen. Durch das Hidenat werden die Pakte von 192.168.254.x hinter der IP der Firewall aus dem 192.168.100.x genattet. Damit kommen die Pakete so gesehen aus dem eigenen Netz. Ist das Zertifikat noch Gültig für den SSL-VPN Server und den Clients? Wenn die Verbidnung aufgebaut ist wird denn die Route korrekt geschrieben?
Beispiel:
192.168.100.0 255.255.255.0 192.168.254.1 192.168.254.2
Ist im SSL-VPN Server der Haken unter erweitert bei LZO gesetzt? Ist dieser Haken evtl. am Client gesetzt?
Gruß Björn
wenn es so eingerichtet ist wie oben Beschrieben ist es korrekt. Sie brauchen den DNS Servern diese zweite IP nicht zuweisen. Durch das Hidenat werden die Pakte von 192.168.254.x hinter der IP der Firewall aus dem 192.168.100.x genattet. Damit kommen die Pakete so gesehen aus dem eigenen Netz. Ist das Zertifikat noch Gültig für den SSL-VPN Server und den Clients? Wenn die Verbidnung aufgebaut ist wird denn die Route korrekt geschrieben?
Beispiel:
192.168.100.0 255.255.255.0 192.168.254.1 192.168.254.2
Ist im SSL-VPN Server der Haken unter erweitert bei LZO gesetzt? Ist dieser Haken evtl. am Client gesetzt?
Gruß Björn