Openvpn einrichten Anleitung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Openvpn einrichten Anleitung

Beitrag von Snues »

Hallo die Runde.

Wir nutzen für unser 3 Mann Unternehmen einen TERRA FIREWALL "BLACK
DWARF" wir möchten für 2 Monaten einen VPN einrichten. Jetzt wollte ich fragen ob es irgendwo eine Schritt für Schritt Anleitung gibt um diese einzurichten? Openvpn kenn ich mich etwas aus nur weiß ich nicht wie man diese auf der FW einstellt.

Mfg Bernd

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »


Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo

Danke für die schnelle Antwort. Ähm ich hab mal gelesen das Openvpn auch den 443 Port nutzen kann stimmt das ? Beim einrichten der FW bilde ich mir jetzt ein das 443 Port geöffnet wurden ist.

Mfg Bernd

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

Sie können den OpenVPN Dienst auch auf Port 443/tcp laufen lassen (um zum Beispiel Portsperren zu umgehen in Hotels)
Allerdings darf dann keine Portweiterleitung an einem Exchange eingerichtet sein. Außerdem muss das Userinterface noch umgelegt werden, das läuft Standardmäßig auf 443.
Das können Sie unter "Netzwerk -> Servereinstellungen"

Gruß

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Guten Morgen

@edit: Auf wiki sollte man die vorherige Version anklicken :-D

Da ein Firmware update ansteht wollte ich dies machen nur leider hatte ich dann keinen Zugriff mehr aufs Internet hab das alte Backup rein geladen und funktioniert wieder. 
Was muss ich beachten das alles mit der neuen Firmware wieder läuft ?

Mfg Bernd  

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

um welche Version handelt es sich denn?
Innerhalb der 11.x sollte es bei einem Update zu keinen Problemen kommen. Von eine 10.x aus sollte man den Tunnel und vor allem die Zertifikate neu erstellen ;-)

Was stand denn im Log als es nicht funktioniert hat?

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo Svenja,

ich muss mich entschuldigen das ich erst jetzt schreibe aber musste kurzer Hand leider zu einen Termin.

So ist die Final Version 11.6 leider konnte ich nicht den Log ansehen da die ganzen Pc ohne Internet waren und der Verkauf Raum nervös geworden ist. Die Tunnel bzw die Zertifikate sind mit egal muss sie eh mal neu machen.

Hab das Update durchgeführt und dann ging der Internet Zugang nicht mehr....
Gott sei dank noch vorher ein Backup gemacht. Ich meine es ist sicher besser das mal am Wochenende zu machen.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

von der 11.6 zur 11.7 ist ein bisschen was im Routing verändert worden. Also am Besten einmal alle Routing Einträge überprüfen.

Wenn kein Zugriff auf das Internet besteht, dann sollte es auch Fehlermeldungen im Log geben. Schau am Besten dort einmal nach, wenn du es erneut versuchst.
Sonst Schritt für Schritt den Weg der Pakete nach verfolgen (wo kommen sie noch an und wo "verschwinden" sie).

Kleiner Tip zum Backup: du hättest auch einfach das Update zurückspielen können. Dadurch wäre auch die Config von vor dem Update geladen worden ;-)

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo Svenja,

aha danke für die Info. Leider habe ich noch nicht so viel erfahrung mit FW. Aber ich denk mal wenn ich den Log speichere und hier hochlade wirst du mir sicher helfen oder ?

Ah wie geht das mit dem Update zurück spielen?

Mfg Bernd

pascal

Beitrag von pascal »

Moin,

das Log kannst du gerne hochladen und je nachdem wer schneller ist, kann dir geholfen werden.
Hast du eine DSL-Einwahl oder ein Router davor?

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo die Runde,

so das update hat jetzt ohne Probleme funktioniert. Nur komme ich mit der SSL-Vpn nicht gebacken hab zwar nach den Wiki Anleitung etwas getüftelt aber leider ohne Erfolg :-( kann mir wer da ne Schrift für Schritt Anleitung machen?

Mfg Bernd  

Edit: So gehe ich vor:

1:) VPV -> SSL-Vpn->Roadwarrior Server ->Nein->Protokoll UPD ->Port 1194 ->Servernetzwerke freigeben : 10.0.175.0/24 10.2.175.0/24-> Pool 10.0.176.0/24-> NONE
2:) Benuter-> Gruppe Berechtigung SSL-VPN Aktiviert->SSL-VPN Remote Gateway Dns eingertragen
3.) Firewall->Implizite Regel-> VPN-> SSL VPN UPD aktiviert
4.) Firewall->Portfilter Regel-> Hier stehe ich auf der Leitung was ich hier machen soll (Wiki VPN-Internal finde ich nicht)


Mfg Bernd

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

https://wiki.securepoint.de/UTM/VPN/SSL ... #Regelwerk
  • netzwerkobjekt anlegen
  • ip des transfernetzes
  • openvpn zone
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Guten Morgen David,

bin auch nach dem Link vorgegangen nur leider finde ich die einstellung für die Regel nicht... sslvpn-network?

Mfg Bernd

pascal

Beitrag von pascal »

Moin,

als Typ wird VPN-Netzwerk ausgewählt, dann muss noch die Zone der VPN Verbindung (Wird automatisch erstellt) ausgewählt werden.

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Update

Mahlzeit

So ich glaube ich hab es geschafft alles einzustellen. Da wir eine Fixe Ip benutzen hat sich das mit dem DNS auch erledigt.
Der Client verbindet sich ohne Probleme. Wenn ich jetzt Verbunden bin müsste ich ja die anderen PCs im Netzwerk anpingen können oder ? Leider sehe ich das kein Traffic kommt und somit vermute ich mal das ich nicht wirklich verbunden bin... sehe ich das richtig ?

Mfg Bernd

pascal

Beitrag von pascal »

Moin,

wenn der VPN Client grün wird, solltest du verbunden sein. Mach gerne mal ein Bild von deiner Portfilterregel für die VPN Verbindung.

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo

Hmm intressant warum kann ich dann kein Gerät anpingen?

Hier die Foto sorry mi Links hab den BBcode probiert aber wird nichts....?

Bild
Bild
Bild

Mfg Bernd

pascal

Beitrag von pascal »

Moin,

es könnte natürlich sein das die Firewall des Zielgeräts keine Pings beantwortet, weil die Anfragen aus einem fremden Subnet kommen (SSL-VPN Netzwerk). Hier könntest du ein Hidenat auf das Internal Interface hinzufügen (einfach die Regel 56 bearbeiten)

ACHTUNG!
Regel 24 funktioniert so nicht, da du kein DestNat hast.
Regel 25 funktioniert so nicht, da keine Portweiterleitung auf eine Netzwerkgruppe erstellt werden kann, kein Destnat ausgewählt wurde UND bitte Niemals any auf ein Gerät weiterleiten.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

die VPN-Regel sieht soweit gut aus. Was versuchst du denn zu pingen? Windows 10 antwortet per Default nicht auf einen Ping, das muss erst in den Firewallregeln freigegeben werden.

Die Regel 24 aus deinem letzten Bild halte ich für gefährlich, da du dort den Zugriff auf interne Ressourcen für das ganze Internet freigibst. Wenn es sich dabei um eine Portweiterleitung handeln soll, dann müsste bitte auch ein DestNAT eingerichtet werden (auch wenn ich das weiterhin für gefährlich halte und auch nicht verstehe, was das mit dem VPN Problem zu tun hat...)

Für das Debuging könntest du bitte in der VPN Regel einmal das Logging aktivieren, dann siehst du im Log, wenn Pakete durch den Tunnel gehen und kannst die Ursache weiter einschränken. Alternativ schaust du mit tcpdump auf den entsprechenden Schnittstellen, ob die Pakete die UTM erreichen und auch an der richtigen Schnittstelle wieder verlassen.

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Guten Morgen

So hab mal die SSL-VPN regel deaktiviert.
Regel 24,25 wurde von mir nicht eingestellt. Das hat damals bei der Firmen Gründung ein IT Techniker gemacht der hat uns das Modem und die FW eingerichtet das einzige was ich bis jetzt gemacht habe war die einstellung für die VPN Verbindungen. Sind die Regeln im allgemeinen jetzt gefährlich oder nur in Verbindung mit VPN ? Was würde gegen Clientless Verbindung sprechen ?

Mfg Bernd

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

eine Portweiterleitung ist immer gefährlich, da man dann dem gesamten Internet (so nicht weiter eingeschränkt) sein Netzwerk öffnen. Die Sicherheitsleistung liegt dann ausschließlich auf den System, auf das zugegriffen wird. In jedem Fall ist der mögliche Angreifer dann schon mal in dem betroffenen Netzwerk.

Die Beste Verbindungsmöglichkeit ist immer über VPN oder über den Reverse Proxy. Dann werden auch alle Sicherheitsfeatures der UTM genutzt.
Clientless VPN kann man auch machen, erlaubt aber halt nur den Zugriff über RDP/VNC auf eingetragene IPs. Das hilft einem z.B. beim Zugriff auf einen Dateiserver recht wenig.

Warum hast du die VPN Regel deaktiviert?

Grüße
Svenja

P.S.: Wenn in dem Regelwerk eh noch Regel-Leichen herumfliegen wäre es vielleicht an der Zeit, alle Regeln einmal zu überdenken und sich ein schlüssiges Konzept zu überlegen ;-)

pascal

Beitrag von pascal »

Moin,

die VPN Regel muss nicht deaktiviert werden, aktiviere die Regel gerne erneut und prüfe das Log, wie Svenja geschrieben hatte.
Regel 24 und 25 sind unabhängig von SSL-VPN, da hier Pakete auf einen Server / Gerät weitergeleitet werden sollen, das funktioniert so auch ohne SSL-VPN.

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo

Aha ich dachte in Verbindung mit VPN wird es gefährlich.... Gibt es von Securpoint ein Techniker in Österreich der sich das anschauen kann ? Mir wird das zu heiß etwas abzuändern:-(

Mit dem Clientless dachte ich mir eigentlich braucht der Kollege eh nur 1 Programm um zu arbeiten und das könnte er auf dem Büro Rechner machen.

Mfg Bernd

pascal

Beitrag von pascal »

Moin,

mach einfach ein Ticket über das Resellerportal oder telefonisch auf, wir melden uns dann und gucken gemeinsam auf die Firewall. Ein Vor Ort Service ist dafür nicht notwendig.
Am besten du hast einen Zugriff via TeamViewer bereit (https://www.securepoint.de/tv)
LG

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo
TV ist schin drauf ;-) Hab leider kein zugangsdaten mehr vom Resellerportal die hat der IT Techniker noch... warte schon seit gestern früh auf den Rückruf von ihm... wäre das beste das Telefonisch zu klären oder ? Zu wenn muss ich mich verbinden lassen wenn ich anrufe ?

Mfg Bernd

Antworten