Hallo,
ich habe ein Problem mit einem SecurePoint.
Ich möchte eine L2TP Verbindung zu einem MacServer hinter einen DSL-Modem per PPP und hinter dem SecurePoint machen.
Die Authentifizierung soll der MacServer machen.
Ich wollte die Ports an den MacServer weiterleiten.
Leider bekomme ich immer die Fehlermeldung, dass der L2TP-Server nicht verfügbar wäre.
Kann mir jemand helfen, wo der Fehler liegen könnte.
Ich habe den MacServer als Netzwerkobjekt eingerichtet und per Port-Weiterleitung L2TP und ikePre an den MacServer weitergeleitet.
Mir ist noch nicht ganz klar, welche Einstellungen ich noch auf dem Firewall machen muss, damit die Ports durchlaufen...
Über jede Hilfe bin ich dankbar.
Gruß,
Todd
L2TP passthrough zum MacServer
Moderator: Securepoint
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
Ich meinte natürlich isakmp als Port-Weiterleitung.
Im Portfilter habe ich zwei Regeln eingefügt.
1. Internet auf external-Interface l2tp accept
2. vpn-netzwerk auf internal-netzwerk any accept.
Leider taucht im log nichts auf, beim Macserver kommt aber auch nichts an.
Im Portfilter habe ich zwei Regeln eingefügt.
1. Internet auf external-Interface l2tp accept
2. vpn-netzwerk auf internal-netzwerk any accept.
Leider taucht im log nichts auf, beim Macserver kommt aber auch nichts an.
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
OK, nun habe ich es geschafft, dass das interne Netzwerk nicht mehr ins Internet kommt.
Es ist schon blöd, wenn man aus der Watchguard-Ecke kommt und nicht viel Erfahrung mit dem Securepoint hat.
Wenn ich es richtig verstehe, muss ich die PortFilter anpassen, oder?
Das Problem ist aufgetaucht, als ich den VPN-SSL Zugang konfiguriert habe.
Nach der Anleitung von SecurePoint.
Hat jemand eine Idee, was der Assistent verändert haben kann, so dass es nun nicht mehr funktioniert.
Von außen komme ich auf die Konfig-Oberfläche rauf.
Über Netzwerkwerkzeuge kann ich aber keine interne IPs anpingen.
Ich lasse nun erst einmal die Finger davon und lese mich erst noch ein wenig ein.
Leider gibt es Handbuch hier nicht viel her.
Es ist schon blöd, wenn man aus der Watchguard-Ecke kommt und nicht viel Erfahrung mit dem Securepoint hat.
Wenn ich es richtig verstehe, muss ich die PortFilter anpassen, oder?
Das Problem ist aufgetaucht, als ich den VPN-SSL Zugang konfiguriert habe.
Nach der Anleitung von SecurePoint.
Hat jemand eine Idee, was der Assistent verändert haben kann, so dass es nun nicht mehr funktioniert.
Von außen komme ich auf die Konfig-Oberfläche rauf.
Über Netzwerkwerkzeuge kann ich aber keine interne IPs anpingen.
Ich lasse nun erst einmal die Finger davon und lese mich erst noch ein wenig ein.
Leider gibt es Handbuch hier nicht viel her.
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
Ach ja,
Ping von der Box ins interne Netz geht nicht.
Ping von außen mit neuer Regel geht.
Bei eingrichteter SSL-VPN Verbindung erfolgt eine Einwahl, ich kann aber ebenfalls auf keine lokalen Resourcen zugreifen.
Die Lösung soll sein: für Mac Geräte VPN mit L2TP über den Macserver im internen Netz und für Windows Geräte mit SSL-VPN über den SecurePoint und mit Zertifikaten.
Eventuell später auch für die MacGeräte, ich habe aber zur Zeit keine Resoucren, diese anzupassen.
Ich glaube, ich habe etwas mit dem Routing durcheinander.
Nur leider weiss ich nicht, wo ich anfangen soll zu suchen...
Wie gesagt, ping von Box auf ip von Box funktioniert,
ping von Box auf externe ip funktioniert,
ping von box auf SSL-VPN Client funktioniert nicht.
und auf allen Clients im internen Netz geht es Internet nicht.
Leider kann ich dort zur Zeit nicht hin und ich habe nur einen RemoteZugang...
Ping von der Box ins interne Netz geht nicht.
Ping von außen mit neuer Regel geht.
Bei eingrichteter SSL-VPN Verbindung erfolgt eine Einwahl, ich kann aber ebenfalls auf keine lokalen Resourcen zugreifen.
Die Lösung soll sein: für Mac Geräte VPN mit L2TP über den Macserver im internen Netz und für Windows Geräte mit SSL-VPN über den SecurePoint und mit Zertifikaten.
Eventuell später auch für die MacGeräte, ich habe aber zur Zeit keine Resoucren, diese anzupassen.
Ich glaube, ich habe etwas mit dem Routing durcheinander.
Nur leider weiss ich nicht, wo ich anfangen soll zu suchen...
Wie gesagt, ping von Box auf ip von Box funktioniert,
ping von Box auf externe ip funktioniert,
ping von box auf SSL-VPN Client funktioniert nicht.
und auf allen Clients im internen Netz geht es Internet nicht.
Leider kann ich dort zur Zeit nicht hin und ich habe nur einen RemoteZugang...
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
Habe das Routing korrigiert. Es lag an einer doppelten IP auf dem l2tp-Dienst, den ich versuchsweise angelegt hatte.
Die Box musste aber rebootet werden. Nur deaktivieren hat nicht geholfen.
Leider sucht man nach solchen Fehlern schon ein wenig länger.
Bleibt mein Problem mit der Port-Weiterleitung.
Ich habe die Dienste l2tp und den Port 500 auf den MacServer weitergeleitet.
Leider kommt dort nichts an.
Mir ist noch nicht klar, welche Regel ich im Port-Filter dafür vorsehen muss.
Ich habe bisher internet->macserver->l2tp
oder muss es vpn sein.
oder muss ich mir einen eigenen Dienst für die Ports bauen, damit die eingebauten Dienste nicht angesprochen werden.
Diese habe ich deaktiviert.
Ich habe die Logs auf den Regeln eingeschaltet. Dort wird aber nur angezeigt
pluto[2921]: packet from 134.139.208.213:4500: Main Mode message is part of an unknown exchange
Kann damit jemand etwas anfangen oder weiss jemand, warum die Ports nicht weitergeleitet werden.
Die Box musste aber rebootet werden. Nur deaktivieren hat nicht geholfen.
Leider sucht man nach solchen Fehlern schon ein wenig länger.
Bleibt mein Problem mit der Port-Weiterleitung.
Ich habe die Dienste l2tp und den Port 500 auf den MacServer weitergeleitet.
Leider kommt dort nichts an.
Mir ist noch nicht klar, welche Regel ich im Port-Filter dafür vorsehen muss.
Ich habe bisher internet->macserver->l2tp
oder muss es vpn sein.
oder muss ich mir einen eigenen Dienst für die Ports bauen, damit die eingebauten Dienste nicht angesprochen werden.
Diese habe ich deaktiviert.
Ich habe die Logs auf den Regeln eingeschaltet. Dort wird aber nur angezeigt
pluto[2921]: packet from 134.139.208.213:4500: Main Mode message is part of an unknown exchange
Kann damit jemand etwas anfangen oder weiss jemand, warum die Ports nicht weitergeleitet werden.
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
Ok, vielleicht hilft es ja jemanden anderen mit einem ähnlichem Problem, meinen Weg nachzuvollziehen, daher auch die einzelnen Schritte.
Ich habe nun die Port-Weiterleitung erfolgreich eingestellt.
Leider kommt am MacServer immernoch nichts an, da die IDS die Pakete wegfängt.
Es kommt immer die Meldung
snort[2390]: [122:19:0] (portscan) UDP Portsweep {PROTO255}
und dann die externe ip und die ip des clients.
Ergebnis, immernoch kein l2tp Server erreichbar beim Client.
Ich habe die Dienste im ids schon testweise ausgeschaltet, aber auch dies hat keine Hilfe gebracht.
Es ist die Rede von Tuning für Snort, damit die false-positives nicht mehr vorkommen.
Nur wie stelle ich dies an?
Hat jemand eine Idee?
Ich habe nun die Port-Weiterleitung erfolgreich eingestellt.
Leider kommt am MacServer immernoch nichts an, da die IDS die Pakete wegfängt.
Es kommt immer die Meldung
snort[2390]: [122:19:0] (portscan) UDP Portsweep {PROTO255}
und dann die externe ip und die ip des clients.
Ergebnis, immernoch kein l2tp Server erreichbar beim Client.
Ich habe die Dienste im ids schon testweise ausgeschaltet, aber auch dies hat keine Hilfe gebracht.
Es ist die Rede von Tuning für Snort, damit die false-positives nicht mehr vorkommen.
Nur wie stelle ich dies an?
Hat jemand eine Idee?
Ich muss sie enttäuschen: Das Intrusion Detection System macht genau das - es detected nur und fängt nichts weg.
Damit L2TP funktioniert, müssen Sie zum einen den Dienst "isakmp" und zum anderen den Dienst "l2tp" weiterleiten.
Das machen Sie in der v11 über eine Firewall-Regel:
internet -> macserver -> isakmp (+DESTNAT -> external-interface -> isakmp)
internet -> macserver -> l2tp (+DESTNAT -> external-interface -> l2tp)
Aber viel Spaß werden Sie damit nicht haben. Spätestens wenn ihr Client ebenfalls hinter einem NAT-Gerät steht funktioniert das schon nicht mehr. Warum soll die VPN-Verbindung nicht auf der Firewall terminiert werden?
Damit L2TP funktioniert, müssen Sie zum einen den Dienst "isakmp" und zum anderen den Dienst "l2tp" weiterleiten.
Das machen Sie in der v11 über eine Firewall-Regel:
internet -> macserver -> isakmp (+DESTNAT -> external-interface -> isakmp)
internet -> macserver -> l2tp (+DESTNAT -> external-interface -> l2tp)
Aber viel Spaß werden Sie damit nicht haben. Spätestens wenn ihr Client ebenfalls hinter einem NAT-Gerät steht funktioniert das schon nicht mehr. Warum soll die VPN-Verbindung nicht auf der Firewall terminiert werden?
-
ToddMaller
- Beiträge: 25
- Registriert: Mo 04.03.2013, 10:40
Hallo,
vielen Dank für die Antwort und den Tipp.
Die ersten Tests haben genau diese Fehlerursache ergeben.
Bei Clients hinter NAT-Routern finden die Pakete keinen Rückweg mehr.
Für die Mitleser: Es ist also keine gute Idee die VPN Server Funktion des MacServers hinter einem SecurePoint zu verwenden. Lieber gleich die eingebaute einsetzen und die Clients umprogrammieren.
Meine Vorgabe war nur dass es mit nativer Software unter Mac laufen soll und keine weiteren Clients eingesetzt werden sollen.
Ich habe mich also entschlossen alle Clients umzustellen und L2TP auf dem Securepoint einzusetzen.
Allerdings ist mir dort die Einrichtung noch nicht ganz klar.
Ich muss dem lokalen L2TP Netz also eine IP Adresse aus dem lokalem Netz geben und der Pool für die Clients muss ebenfalls aus dem lokalem Netz sein.
Ich antworte darauf aber in dem zweitem Thread.
Dieses Thema kann damit geschlossen werden und ich habe wieder etwas gelernt.
vielen Dank für die Antwort und den Tipp.
Die ersten Tests haben genau diese Fehlerursache ergeben.
Bei Clients hinter NAT-Routern finden die Pakete keinen Rückweg mehr.
Für die Mitleser: Es ist also keine gute Idee die VPN Server Funktion des MacServers hinter einem SecurePoint zu verwenden. Lieber gleich die eingebaute einsetzen und die Clients umprogrammieren.
Meine Vorgabe war nur dass es mit nativer Software unter Mac laufen soll und keine weiteren Clients eingesetzt werden sollen.
Ich habe mich also entschlossen alle Clients umzustellen und L2TP auf dem Securepoint einzusetzen.
Allerdings ist mir dort die Einrichtung noch nicht ganz klar.
Ich muss dem lokalen L2TP Netz also eine IP Adresse aus dem lokalem Netz geben und der Pool für die Clients muss ebenfalls aus dem lokalem Netz sein.
Ich antworte darauf aber in dem zweitem Thread.
Dieses Thema kann damit geschlossen werden und ich habe wieder etwas gelernt.