Interne Netzwerk-Infrastruktur mit Cable 6660 und Black Dwarf Pro

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
GreenPanda
Beiträge: 2
Registriert: Di 25.10.2022, 14:11

Interne Netzwerk-Infrastruktur mit Cable 6660 und Black Dwarf Pro

Beitrag von GreenPanda »

Moin,

trotz der Unsicherheit, ob ich mit diesem Thema hier richtig bin, hoffe ich auf eine Lösung zu stoßen.
Um anstrengende lange Texte zu vermeiden, zuerst ein tl;dr:


Wir sind eine kleine Firma, im alten Büro hat ein IT-Dienstleister die IT-Infrastruktur aufgebaut, dieser und andere sind inkl. der nächsten mindestens 6 Tage ausgebucht, was bedeutet, dass ich mir selbst, hoffentlich mithilfe des Internets, schnellstmöglich helfen muss.


Ich bin kein Fachmann, verwalte die EDV allerdings im groben Umfang und kann deshalb folgenden Umriss unserer Struktur und dem Problem verschaffen:

Wir brauchen ein internes Netzwerk innerhalb der Büroräume, welches von außerhalb per SSL-VPN erreichbar sein muss. Innerhalb des internen Netzwerkes befindet sich ein via Hyper-V gesteuerter Server mit DC, Daten und Applikationsserver (3 Verschiedene IPs). Das interne Netzwerk, als auch Geräte von außerhalb müssen auf den Server zugreifen müssen. 


folgende Geräte stehen für die Realisierung zur Verfügung:

Fritzbox Cable 6660, selbstverständlich mit Kabel-Anschluss, und der Black Dwarf Pro


Als DHCP wird die Fritzbox verwendet. Wir arbeiten mit IPv4.


Mein Grundgedanke bisher:

Internet kommt aus der Wand in die Fritzbox, Fritzbox leitet die Anfrage ungefiltert an die Firewall weiter, diese löst die Anfrage zum jeweiligen Port oder IP auf und rückwärts. Die Einrichtung dieses Unterfangens erscheint mir zum jetzigen Zeitpunkt allerdings etwas Schleierhaft, kein Fachmann eben. 


Details und aktueller Stand:

Fritzbox erhält Internet über Kabel.
Fritzbox Lan 1 führt auf Dwarf A0
Fritzbox Lan 5 führt auf Dwarf A2
Dwarf A1 führt auf Netzwerkdose

Dwarf A0 Typ: Ethernet (Zonen: external, firewall-external, external_v6, firewall-external_v6, vpn-ipsec, firewall-vpn-ipsec, vpn-ppp) (IP-Adressen: xxx.xxx.114.142/24)
Dwarf A1 Typ: Ethernet (Keine Zonen)
Dwarf A2 Typ: Ethernet (Zonen: dmz1, firewall-dmz1, dmz1_v6, firewall-dmz1_v6)
Dwarf wlan0 Typ: WLAN (Zonen: firewall-wlan-0, wlan-0)
Dwarf Bridge Typ: Bridge - gehört zu: A1 und WLAN (Zonen: internal, firewall-internal, internal_v6, firewall-internal_v6) (IP-Adressen: xxx.xxx.117.143/24)
Dwarf tun0: TUN (vpn-ssl-roadwarrior mit dynamischer IP in anderen IP-Bereich als das interne Netz)(IP-Adressen: xxx.xxx.118.1/24)

Stecken die Kabel überhaupt entsprechend richtig?


Als Routing:

Gateway: xxx.xxx.114.143 mit dem Ziel 0.0.0.0/0 eingestellt.


Intern ist der Server sowie unser NAS erreichbar. Auch die interne Domäne funktioniert. Wir haben zu diesem Zeitpunkt noch keine statische IP. 


Wie sorge ich also nun für die Erreichbarkeit des internen Netzwerkes durch SSL-VPN von außen?


Vielen Dank im voraus.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

Sie brauchen als erstes ein Netzwerkobjekt vom Typ VPN-Netzwerk. Hier geben Sie das Netz xxx.xxx.118.0/24 ein. Dann schreiben Sie die Regel von diesem Netz auf das Netzwerk/Ziele mit den Diensten. Achten Sie darauf das es anfragen aus Fremden Subnetzen sind. Windows oder Virenscannerfirewalls können solche Anfragen verwerfen. Die Ziele müssen auch die Securepoint als default Gateway haben.

Sollte dies nicht realisierbar sein können Sie bei der Regel auch mit Hidenat arbeiten. VPN-Netz => Ziel => Dienst => Hidenat => internal-interface
Sollte hier auch VoIP durch den Tunnel geleitet werden dürfen Sie dieses nicht zusätzlich natten.

GreenPanda
Beiträge: 2
Registriert: Di 25.10.2022, 14:11

Beitrag von GreenPanda »

Guten Morgen Bjoern,

danke, dass du dich dem annimmst!

Unter Portfilter ist bereits ein Ordner "VPN" angelegt.

Quelle: Internal-networks # Ziel: VPN_Network # Dienst: any # NAT: HN # Aktion: Accept
Quelle: VPN_Network # Ziel: Internal-networks # Dienst: any # NAT: HN # Aktion: Accept


Netzwerkobjekte gibt es die folgenden in meinen Augen relevanten:

Name: external-interface Adresse: 0.0.0.0/0 Zone: firewall-external
Name: internet               Adresse: 0.0.0.0/0 Zone: external
Name: internal-interface Adresse: bridge0    Zone: firewall-internal
Name: internal-network  Adresse: bridge0    Zone: internal
Name: dmz1-interface    Adresse: A2           Zone: firewall-dmz1
Name: dmz1-network     Adresse: A2           Zone: dmz1


Welche Informationen über die Konfiguration benötigst du noch, um bestimmen zu können, weshalb die Verbindung nicht hergestellt werden kann?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

lassen denn die Ziele ein Zugriff aus fremden Subnetzen zu? Die Regel reicht von VPN_Network => internal-network

Antworten