SSL-VPN Site-to-Site: Windows-Firewall

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

SSL-VPN Site-to-Site: Windows-Firewall

Beitrag von isential gmbh »

Hallo,

ich habe mit zwei Black-Dwarf-UTM-Firewalls zwei Standorte miteinander verbunden. Allerdings stelle ich fest, dass die Windows-Firewall auf Windows-10 die Zugriffe des jeweils anderen Netzwerkes blockt. Nun habe ich die jeweils entfernten Netzwerke in der jeweiligen Windows-Firewall bekanntgegeben und den Zugriff erlaubt. Jetzt geht es, aber das ist eine zusätzliche Arbeit, die ich gerne eleganter lösen wollte.

Welche andere Möglichkeiten gibt es, um dieses Problem zu lösen? Ich möchte ungern jeden PC mit der Windows-Firewall-Regel ausstatten, wenn es was besseres gibt.

Im Voraus vielen Dank und liebe Grüße!

René

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

das ist der elegante Weg. Sofern ein Domaincontroller vorhanden ist, könnte man die Regeln via GPO ausrollen. (Alternativ Script)

Man könnte auf der UTM eine NAT Regel einrichten, welche sämtlichen Traffic aus dem Tunnel auf die interne IP der jeweiligen UTM nated. Aber das ist nicht besonders schön und sauber.

Gruß

Kenneth

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Moin und lieben Dank!

Nur ein einem der beiden Standorte steht ein Domänencontroller. Es handelt sich aber nicht um so viele PCs, dass man es nicht mit Turnschuhen machen könnte... Nun stehe ich auf dem Schlauch, was das Skript angeht:
  • Wie kann ich die Windows-Firewallregel in ein Skript packen bzw. exportieren?
  • Wie lese ich sie dann ein?
  • Braucht man dafür Administratorrechte?
 
Ich habe vor einigen Tagen in einer anderen Konstellation zwei Standorte genauso über SSL-VPN verbunden. Das hat problemlos geklappt, ohne dass man an der Firewall von Windows etwas hätte man um-/einstellen müssen. Einziger Unterschied: Beide Standorte verfügen über jeweils einen DC mit AD usw. – das verwundert mich etwas.

Noch was: Wie würde die von dir erwähnte (unschöne) NAT-Regel aussehen? Ich hatte gestern (ziemlich spät) vergeblich versucht, Ähnliches zu machen. In Anbetracht der späten Stunde habe ich das aber nach den ersten Fehlschlägen nicht weiter verfolgt.

Nochmals vielen Dank und liebe Grüße!

René

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Was wird denn überhaupt genau geblockt? Wie sehen die entsprechenden Regeln aus in der Windows Firewall?

Skripten kannst du das über die Powershell, hier gibts Infos: https://4sysops.com/archives/managing-t ... owershell/
In dem Zuge auch mal mit Powershellremoting beschäftigten, dann kannst du die ganzen Sachen in einem Rutsch auf allen PCs ausführen und musst nicht mal eine Fernwartung im "klassischen" Sinne machen.

Evtl. auch mal überlegen, ob du die PCs am entfernten Standort mit ins AD aufnimmst, das erleichtert die Konfiguration enorm (wegen GPO).

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Die Pakete erreichen das jeweils andere Netz über den Tunnel, werden aber dann geblockt. Die UTM-FW meldet dann "DEFAULT DROP". Getestet mit Ping, tracert, Windows-Freigaben usw. – immer dasselbe. Ulkigerweise aber erreiche ich das Backend der entfernten UTM-FW problemlos – das in beiden Richtungen. Schalte ich die Windows-Firewall ab, dann läuft es.

Ich habe folgende Eingangsregeln in der Windows-Firewall gemacht:
 
* Alle Programme und Dienste
* Alle Protokolle und Ports
* Remote-IP-Netzwerk den Zugriff erlaubt (192.168.0.0/24 bzw. 192.168.1.0/24)

Also auf jeden PC eine Regel, die den Zugriff des jeweils anderen Netzwerkes erlaubt.

Die Einrichtung, also auch die Portregeln, habe ich streng nach der Wiki-Anleitung durchgeführt:

https://wiki.securepoint.de/UTM/VPN/SSL_VPN-S2S

Einziger Unterschied: Ich habe alles zugelassen, also "any" als Dienst bei den jeweils zwei Portregeln.

P.S.: Ihr habt es sicher gut gemeint, mit dem neuen Forumslayout... Schau bitte zu, dass die linke Seit zugeklappt bleibt und dass die Formatierung funktioniert. Danke!

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

wenn aber doch die UTM "Default drop" meldet, dann passt doch eine/mehrere Regeln in der UTM nicht?! Oder verstehe ich dich falsch?

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Sorry, ich glaube, ich habe einen Knick in der Optik oder es war zu spät. Die Pngs sind zwar an der Ziel-Firewakl angekommen, wurden aber nicht beantwortet, solange die Windiws-Firewall aktiv war bzw. die Ausnahme dafür fehlte. Ich glaube (ich habe die Testumgebung gerade nicht zur Hand), dass die Drops OK waren.

Antworten