Hallo,
wir haben folgenden Konstellation:
Unsere Außendienst-MA wählen sich per L2TP-VPN in das LAN ein.
Ab diesem Punkt können sie über die lokale Netzwerkschnittstelle nur noch Netzwerkverkehr zum und vom VPN-Tunnel abwickeln - das ist so gewollt.
Nun soll aber das Surfen über den Proxy der Firewall abgewickelt werden. Und hier ist auch schon das Problem: sobald ich aus der Rule
grp-l2tp-net -- internet -- any -- accept -- aktiv
folgende mache
grp-l2tp-net -- internet -- proxy -- accept -- aktiv
ist Ende mit surfen über VPN.
Dabei ist es unerheblich, ob ich am Client in den Interneteinstellungen den Proxy aktivere oder nicht.
Wenn ich einen Tracert vom Client aus bei aktiver VPN-Verbindung z.B. auf heise.de laufen lasse, sehe ich, dass der Netzwerkverkehr auch Brav über den VPN-Tunnel abgewickelt wird.
Es spielt auch keine Rolle, ob ich den DNS-Namen der Firewall oder die IP-Adresse der Firewall als Proxy in den Interneteinstellungen konfiguriere.
Das Problem tritt sowhl unter W7 Pro 32bit als auch XP Pro 32bit auf.
Die VPN-Verbindungen werden jeweils mit Windows-Bordmitteln hergestellt und sind mit Username / PW / Zertifikat abgesichert.
Da aber unbedingt notwendig ist, dass eine Filterung des Surf-Verkehrs über VPN durch den Proxy erfolgt, benötige ich hier weitere Untersütztung für das Problem.
Grüße,
_Ralf_
Surfen über VPN / Proxy
Moderator: Securepoint
Nachtrag:
Der Tracert funktioniert über VPN, trotz der Rule
grp-l2tp-net -- internet -- proxy -- accept -- aktiv
und geht über die hops
- VPN-Gateway der Firewall
- externes Interface der Firewall
- usw.
Die IP-Config-Daten der VPN-Verbindung sehen folgendermaßen aus:
PPP-Adapter L2TP VPN:
Verbindungsspezifisches DNS-Suffix: domain.local
Beschreibung. . . . . . . . . . . : L2TP VPN
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.2.2(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 192.168.1.101
192.168.1.111
Prim„rer WINS-Server. . . . . . . : 192.168.1.101
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
dabei haben wir folgendes Netz 192.168.0.0/16
Das "Subnetz" 192.168.2.0/24 ist dabei für das VPN vorgesehen.
Der Tracert funktioniert über VPN, trotz der Rule
grp-l2tp-net -- internet -- proxy -- accept -- aktiv
und geht über die hops
- VPN-Gateway der Firewall
- externes Interface der Firewall
- usw.
Die IP-Config-Daten der VPN-Verbindung sehen folgendermaßen aus:
PPP-Adapter L2TP VPN:
Verbindungsspezifisches DNS-Suffix: domain.local
Beschreibung. . . . . . . . . . . : L2TP VPN
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.2.2(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 192.168.1.101
192.168.1.111
Prim„rer WINS-Server. . . . . . . : 192.168.1.101
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
dabei haben wir folgendes Netz 192.168.0.0/16
Das "Subnetz" 192.168.2.0/24 ist dabei für das VPN vorgesehen.
Wenn Sie mal in die Dienstgruppe "proxy" schauen, werden Sie feststellen, dass dort nicht port 80/tcp enthalten ist (jedenfalls ist das in den Standard-Einstellungen nicht der Fall).
Der _transparente_ Proxy ist für VPN-Verbindungen nicht aktiv, deshalb muss der auf den Clients eingetragen werden.
Ihre Firewall-Regel muss dann so aussehen:
L2TP-Netz -> Internal Interface -> proxy -> ACCEPT
Der _transparente_ Proxy ist für VPN-Verbindungen nicht aktiv, deshalb muss der auf den Clients eingetragen werden.
Ihre Firewall-Regel muss dann so aussehen:
L2TP-Netz -> Internal Interface -> proxy -> ACCEPT
Zuletzt geändert von Erik am Fr 22.07.2011, 16:12, insgesamt 1-mal geändert.
Danke für die schnelle Antwort am Freitag. Leider war ich schon im Feierabend.
Heute morgen habe ich den Dienst (tcp/80) wie oben beschrieben in die Dienstegruppe "proxy" mit aufgenommen und die Regel entsprechend angepasst.
Den transparenten Proxy verwenden wir momentan nicht.
Auf dem VPN-Client habe ich den Proxy mit dem DNS-Namen der Firewall und dem Port 8080 Konfiguriert. Aber leider konnte ich noch immer nicht über VPN surfen.
Anschließend habe ich noch den Proxy Port 80 versucht - aber leider auch hier kein Surfen möglich.
Der nächste Schritt war es, den Proxy am Client abzuschalten. Leider auch erfolglos.
Zuguterletzt habe ich die Firewall neu gestartet (nur um ganz sicher zu gehen) und alle drei Varianten am Client noch Mal durchprobiert.
Den Client habe ich auch mehrfach neu gestartet.
Ein Tracert kommt jetzt noch bis zum L2TP-"Gateway" und dann kommt über die nächsten ca. 30 Hops keine Antwort mehr zurück.
Mit allen drei Proxy-Einstellungsvarianten und dem Pingversuch auf heise.de wurde die IP aufgelöst. Ein Ping oder ein Aufruf der Website im Browser (sowohl mit DNS- als auch IP-Adresse) blieb leider erfolglos.
Bei bestehender VPN-Verbindung kann der Client jedoch problemfrei auf das LAN zugreifen.
Ich hoffe, dass mein(e) Fehler schnell gefunden werden =)
Heute morgen habe ich den Dienst (tcp/80) wie oben beschrieben in die Dienstegruppe "proxy" mit aufgenommen und die Regel entsprechend angepasst.
Den transparenten Proxy verwenden wir momentan nicht.
Auf dem VPN-Client habe ich den Proxy mit dem DNS-Namen der Firewall und dem Port 8080 Konfiguriert. Aber leider konnte ich noch immer nicht über VPN surfen.
Anschließend habe ich noch den Proxy Port 80 versucht - aber leider auch hier kein Surfen möglich.
Der nächste Schritt war es, den Proxy am Client abzuschalten. Leider auch erfolglos.
Zuguterletzt habe ich die Firewall neu gestartet (nur um ganz sicher zu gehen) und alle drei Varianten am Client noch Mal durchprobiert.
Den Client habe ich auch mehrfach neu gestartet.
Ein Tracert kommt jetzt noch bis zum L2TP-"Gateway" und dann kommt über die nächsten ca. 30 Hops keine Antwort mehr zurück.
Mit allen drei Proxy-Einstellungsvarianten und dem Pingversuch auf heise.de wurde die IP aufgelöst. Ein Ping oder ein Aufruf der Website im Browser (sowohl mit DNS- als auch IP-Adresse) blieb leider erfolglos.
Bei bestehender VPN-Verbindung kann der Client jedoch problemfrei auf das LAN zugreifen.
Ich hoffe, dass mein(e) Fehler schnell gefunden werden =)
Hallo,
für eine PROXY-Kommunikation durch VPNs muss ich immer ein neues Netzwerkobjekt anlegen. Welches die interne IP der FW auf dem externen Interface abbildet, da der PROXY aus den VPNs gesehen ja nicht vom internen Interface antwortet, sondern auf dem externen.
Beispiel interne IP: 192.168.175.1
neues Objekt: 192.168.175.1/32 Zone: firewall-external
Dann noch die Regel, dass die VPN-Clients (z.B. das L2TP-Netz) mit diesem Objekt den PROXY-Port verwenden dürfen, und schon läuft es.
Gruß,
Rolf
für eine PROXY-Kommunikation durch VPNs muss ich immer ein neues Netzwerkobjekt anlegen. Welches die interne IP der FW auf dem externen Interface abbildet, da der PROXY aus den VPNs gesehen ja nicht vom internen Interface antwortet, sondern auf dem externen.
Beispiel interne IP: 192.168.175.1
neues Objekt: 192.168.175.1/32 Zone: firewall-external
Dann noch die Regel, dass die VPN-Clients (z.B. das L2TP-Netz) mit diesem Objekt den PROXY-Port verwenden dürfen, und schon läuft es.
Gruß,
Rolf
Zuletzt geändert von merlin am Mo 25.07.2011, 10:25, insgesamt 1-mal geändert.
Hallo Rolf,
ich habe gestern den Vorschlag umgesetzt, jedoch nicht das gewünschte Ergebnis erhalten.
Weiterhin ist es nicht möglich, bei bestehender VPN-Verbindung über die Firewall/Proxy zu surfen.
Das LAN ist anstandslos über VPN zu erreichen. Selbst die DNS-Auflösung funktioniert tadellos in beide Richtungen (IP DNS-Name). Den Proxy habe ich sowohl mit DNS-Eintrag der Firewall als auch mit der IP-Adresse der Firewall versucht - nichts. Auch ohne Proxy nichts.
IP-Adressen bzw. URLs (z.B. heise.de) kann ich bei einer bestehenden VPN Verbindung weder pingen noch einen tracert ausführen.
Gruß,
Ralf
ich habe gestern den Vorschlag umgesetzt, jedoch nicht das gewünschte Ergebnis erhalten.
Weiterhin ist es nicht möglich, bei bestehender VPN-Verbindung über die Firewall/Proxy zu surfen.
Das LAN ist anstandslos über VPN zu erreichen. Selbst die DNS-Auflösung funktioniert tadellos in beide Richtungen (IP DNS-Name). Den Proxy habe ich sowohl mit DNS-Eintrag der Firewall als auch mit der IP-Adresse der Firewall versucht - nichts. Auch ohne Proxy nichts.
IP-Adressen bzw. URLs (z.B. heise.de) kann ich bei einer bestehenden VPN Verbindung weder pingen noch einen tracert ausführen.
Gruß,
Ralf
Moin,
ich bin mir nicht sicher ob Rolf das so korrekt abgebildet hat, zumindest muss man eine manuelle Filterregel hinzufügen: "Extras -> Erweiterte Einstellungen -> Vorlagen -> "Securepoint_Firewall" -> "postrules.sh"
iptables -I INPUT 5 -s 10.0.12.0/24 -d 10.0.0.1/32 -i ppp+ -m state --state NEW,ESTABLISHED -j ACCEPT_LOG_NONE_0
wobei:
10.0.12.0/24 ist der L2TP-Pool
10.0.0.1/32 ist die IP des internen Interfaces
Dann noch ein HideNAT:
Externe-Primäre-IP
Interne-IP
L2tp-Pool
Position 1:
Include
Lies: Maskiere alles was zum L2tpNetz geht, mit der internen IP, anstatt der externen IP
ich bin mir nicht sicher ob Rolf das so korrekt abgebildet hat, zumindest muss man eine manuelle Filterregel hinzufügen: "Extras -> Erweiterte Einstellungen -> Vorlagen -> "Securepoint_Firewall" -> "postrules.sh"
iptables -I INPUT 5 -s 10.0.12.0/24 -d 10.0.0.1/32 -i ppp+ -m state --state NEW,ESTABLISHED -j ACCEPT_LOG_NONE_0
wobei:
10.0.12.0/24 ist der L2TP-Pool
10.0.0.1/32 ist die IP des internen Interfaces
Dann noch ein HideNAT:
Externe-Primäre-IP
Interne-IP
L2tp-Pool
Position 1:
Include
Lies: Maskiere alles was zum L2tpNetz geht, mit der internen IP, anstatt der externen IP
Zuletzt geändert von carsten am Di 26.07.2011, 09:54, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Ein kleiner Nachtrag für die Einstellungen im Internet Explorer:
Damit der Proxy über VPN vom IE auch wirklich benutzt wird, muss man über Extras --> Internetoptionen --> Verbindungen --> für jede VPN-Verbindung den Proxy separat einstellen (VPN-Verbindung auswählen und dann "Einstellungen").
Sonst ignoriert der IE den Proxy und versucht weiterhin über Port 80 auf HTTP-Seiten zuzugreifen - was natürlich nicht funktioniert...
Der Firefox nutzt den im FF konfigurierten Proxy auch über VPN ohne sparate Einstellung für jede VPN Verbindung.
Damit der Proxy über VPN vom IE auch wirklich benutzt wird, muss man über Extras --> Internetoptionen --> Verbindungen --> für jede VPN-Verbindung den Proxy separat einstellen (VPN-Verbindung auswählen und dann "Einstellungen").
Sonst ignoriert der IE den Proxy und versucht weiterhin über Port 80 auf HTTP-Seiten zuzugreifen - was natürlich nicht funktioniert...
Der Firefox nutzt den im FF konfigurierten Proxy auch über VPN ohne sparate Einstellung für jede VPN Verbindung.
Zuletzt geändert von _Ralf_ am Di 26.07.2011, 14:45, insgesamt 1-mal geändert.
Ich habe noch eine Frage zu der oben beschriebenen Konfiguration von carsten:
Kann man die Befehlszeile als Grundlage für die PPTP-VPN-Verbindungen nutzen? Bzw. wo/wie muss man die Befehlszeile eintragen?
Also z.B.
"iptables -I INPUT 5 -s 10.0.11.0/24 -d 10.0.0.1/32 -i ppp+ -m state --state NEW,ESTABLISHED -j ACCEPT_LOG_NONE_0"
Dabei ist das 10.0.11.0/32 "Subnetz" den PPTP-Verbindungen vorbehalten.
Wenn die Zeile so korrekt ist, kann sie dann in die post_rules.sh eingetragen werden?
Grüße,
_Ralf_
Kann man die Befehlszeile als Grundlage für die PPTP-VPN-Verbindungen nutzen? Bzw. wo/wie muss man die Befehlszeile eintragen?
Also z.B.
"iptables -I INPUT 5 -s 10.0.11.0/24 -d 10.0.0.1/32 -i ppp+ -m state --state NEW,ESTABLISHED -j ACCEPT_LOG_NONE_0"
Dabei ist das 10.0.11.0/32 "Subnetz" den PPTP-Verbindungen vorbehalten.
Wenn die Zeile so korrekt ist, kann sie dann in die post_rules.sh eingetragen werden?
Grüße,
_Ralf_
