VPN von Tablet

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

VPN von Tablet

Beitrag von Finchen »

Zum Aufbau:
Fritzbox mit der IP 192.168.178.1 vor BLACK DWARF UTMA FIREWALL die Eingangseitig die 192.168.178.254 hat und wieterleitung von Fritzbox mit EXPOSED HOST.
Die Firewall hat im Netzwerk dann die 192.168.100.1 dahinter kommt das NEtzwerk mit einer Switch 192.168.100.2 und dann kommen da die Server drei Stück eine Hardwarekiste und 2 virtuelle.
Wobei ein virtueller auch der Domänencontroller mit DNS und DHCP ist.
In der Firewall ist kein DHCP aktiv.

Geplant ist, dass die Tablets (Win 8 PRO ) mitgenommen werden und per Client eine VPN Verbindung aufgebaut wird, damit ein einzelnes Laufwerk zugeordnet werden kann, damit dort Daten eingetragen werden können.
VPN Verbindung baut er auch auf, aber nun kommt es, der CLient zeigt eine IP ADRESSE oder bekommt eine die schon vergeben ist.

Wie kann ich das beeinflussen, dass die Tablets dann andere freie oder von mit festvergebene bekommen?
Was muss ich tunt damit ich die laufwerke sehe?

MFG
Finchen

Wäre schön wenn ich eine antwort bekomme

Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo Finchen,

um was für eine VPN Verbindung handelt es sich?
Den Pool können Sie z.B. bei L2TP over IPSec, IPSec XAuth und SSL VPN festlegen, dieser muss nicht zwingend im eigenen Netz liegen.

Gruß

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

SSl VPN

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

muss ich der Firewall denn sagen in der Tunnelkonfiguration, wer der DHCPist und der DNS Server?

Bjoern
Securepoint
Beiträge: 549
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Finchen,

bei SSL-VPN Roadwarrior macht der SSL-VPN Server per DHCP die Verteilung. Bei SSL-VPN handelt es sich um ein geroutetes Netzwerk was dementsprechend nicht im eigenen Netz liegt. Welches Netz haben Sie denn dem SSL-VPN Server zugewiesen? Haben Sie bei den Benutzern unter VPN eine IP hinterlegt? Wenn ja ist es eine IP aus dem Subnetz des SSL-VPN Servers?

Gruß Björn

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Das normale netz ist 192.168.100.0
das Tunnel also ssl-vpn netz ist auch die 192.168.100.0
ich werde da morgen mal Fotos machen von.

das heißt also ich muss dem SSLVPN andere IP geben und dann kommen die auch auf den Server rauf?

Bjoern
Securepoint
Beiträge: 549
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Finchen,

Sie müssen dem SSL-VPN Server ein anderes Subnetz geben da der SSL-VPN Server hier die IPs zuweist und von den internen IP Adressen nichts kennt.
Tragen Sie beim SSL-VPN Server einfach mal das Subnetz 192.168.254.0/24 ein. Starten dann den Dienst einmal neu und Verbinden Sie sich. Sie müssen dann natürlich auch das Netzwerkobjekt für die Regel abändern und die Regeln noch einmal aktualisieren.
100%ig versprechen kann ich es nicht das Sie ohne weiteres auf den Servern kommen da ich nicht weiß ob Ihre Server anfragen aus einem anderen Subnetz annehmen bzw. die Firewall als Standardgateway haben.
Sollte es beim versuch scheitern können Sie die Regel wie folgt abändern.

VNP-Netz => internal-network => any => HN => internal-interface

Damit werden die Pakete mit der internen IP der Firewall genattet.

Gruß Björn

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Die Firewall ist das StandartGATEWAY

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

So habe ich das nun eingestellt, ich bekomme zwar aus dem SUBNETZ eine IP aber kann ich weder vom Tablet dann einen der drei Server anpingen...
QUELLE: VPN - NETZ (eigen erstelltes Netzobjekt)
Ziel: internal-network
Dienst: any

Netzwerkobjekt:
Habe ich VPN-NETZ angegeben
ZONE: vpn-ipsec
Adressse 192.168.254.0/24

was kann ich noch falsch gemacht haben?????

Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

die Zone ist nicht vpn-ipsec sondern vpn-openvpn-NamederOpenVPNVerbindung.

Gruß

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Die Zone ist um gestelllt was muss ich noch inder Firewall einsteleln, damit ich auf den Server komme?

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Und ich habe die IP Adresse auf das Original Netz geändert und dort den DHCP Bereich eingegrenzt.
Die Benutzer bekommen aber eine feste IP zu gewiesen.
Jetzt ist nur die frage, warum ich weder die Netzlaufwerke öffnen kann noch den Server anpingen kann.?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo Finchen
Bjoern hat geschrieben: Sie müssen dem SSL-VPN Server ein anderes Subnetz geben da der SSL-VPN Server hier die IPs zuweist und von den internen IP Adressen nichts kennt.
Also die IP Adresse vom SSL Server wieder umstellen. Die Regel war korrekt, ich vermute dass Ihr Server die Anfragen nur nicht angenommen hat.
Entweder konfigurieren Sie Ihren Server so, dass dieser auch Anfragen aus dem SSL VPN Netz annimmt oder Sie legen die Zugriffsregel gleich mit einem Hide NAT an:

SSL-Netz -> internal-network -> any
NAT: HideNAT - Schnittstelle: internal-interface

Gruß

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Guten Abend,

ich bin nicht nur am verzweifeln ich denke ich habe auch ein dicken denk fehler und schreibe mal von anfang an.

Schnittstellen
tun0 --> 192.168.254.1/24 ZOnen: vpn-openvpn-Server

Firewall:
Netzwerkobjekt VPN - Netz: 192.168.254.0 /24 Zone vpn-openvpn-Server

Portfilter:
QUelle: VPN-NEtz
Ziel: internal-network
Dienst :any

NAt:
Typ: Hidenat ---> internal-interface

Die Benutzer bekommen unter Authentifizierung eine IP aus dem Beriech 192.168.254.0 mitgegeben.
Ich gebe den DNS Server 192.168.100.3(192.168.100.1) und den WINS 192.168.100.3 mit

Weil mir das alles komisch vorkommt, habe ich den Servern
SRV-DATA01 HauptIP: 192.168.100.3 auch die 192.168.254.3
SRV-DATABASE01 HautpIP: 192.168.100.5 auch die 192.168.254.5

Ich habe dann mal das Feld von hinten aufgeräumt und habe von Intern die Server über die IPs aus dem 192.168.254.0 Netz angeping und das hat funktioniert.

Und jetzt kommt das Dilemma:

es geht nicht und ich finde den Fehler nicht

Die Firewall ist eine Black Dwarf UTM mit der v11 - 11.4.3.6 Firmware.

Bjoern
Securepoint
Beiträge: 549
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Finchen,

wenn es so eingerichtet ist wie oben Beschrieben ist es korrekt. Sie brauchen den DNS Servern diese zweite IP nicht zuweisen. Durch das Hidenat werden die Pakte von 192.168.254.x hinter der IP der Firewall aus dem 192.168.100.x genattet. Damit kommen die Pakete so gesehen aus dem eigenen Netz. Ist das Zertifikat noch Gültig für den SSL-VPN Server und den Clients? Wenn die Verbidnung aufgebaut ist wird denn die Route korrekt geschrieben?
Beispiel:
192.168.100.0 255.255.255.0 192.168.254.1 192.168.254.2
Ist im SSL-VPN Server der Haken unter erweitert bei LZO gesetzt? Ist dieser Haken evtl. am Client gesetzt?

Gruß Björn

Finchen
Beiträge: 12
Registriert: So 12.04.2015, 16:24

Beitrag von Finchen »

Also erst mal vielen dank für die Hilfe,

seit heute 18:00 läuft es, so wie ich will.

Antworten