SSL VPN Site to Site

cjp · Beitrag von **cjp** » Di 27.12.2011, 16:41

Guten Tag,
ich habe folgende Problemstellung.

SSL VPN Site to Site wurde wie im folgenden How To eingerichtet:

http://wiki.securepoint.de/index.php/OpenVPN_Site_to_Site

FW Piranja Server
FW Black Dwarf Client

Internes Netz Piranja: 172.20.21.0/24
Internes Netz Dwarf: 172.20.5.0/24
tun0 vpn-openvpn: 192.168.250.1/24 (bei beiden FW's)

Zertifikate wurden erstellt, exportiert und importiert. (Root CA, SSL_Server, SSL_Client)

Server:

Am Server wurde eine Route ins Clientnetz angelegt:
GW: 192.168.250.1
Ziel NW: 172.20.5.0/24

Änderungen an der Konfigurationsdatei wurden vorgenommen:

Code: Alles auswählen

change extc_value openvpn CLIENT_MODE 0
change extc_value openvpn CERT_CN SSL_Server
change extc_value PASSWORD_AUTH 0
add extc_value openvpn EXTRA_ROUTES "172.20.5.0/24 vpn_gateway"

add extc_template openvpn /tmp/clients/SSL_Client
ifconfig-push 192.168.250.6 192.168.250.1
iroute 172.20.5.0/24
**

Netzwerkobjekt Client_NW als VPN HOST/Netz hinzugefügt:
IP: 172.20.5.0/24 Zone: vpn-openvpn

Regeln angelegt:
Internet --> External Interface --> openvpn
Internal Network --> Client_NW --> any

Dienststatus überprüft --> SSL VPN Server läuft.

Client:

Zertifikate importiert

Konfigurationsdatei geändert:

Code: Alles auswählen

change extc_value openvpn CLIENT_MODE 1
change extc_value openvpn CERT_CN SSL_Client
change extc_value openvpn REMOTE 178.x.x.x (externe IP des Servers)

Netzwerkobjekt Server_NW als VPN HOST/Netz hinzugefügt:
IP: 172.20.21.0/24 Zone: vpn-openvpn

Regeln angelegt:
Internet --> External Interface --> openvpn
Internal Network --> Server_NW --> any

Dienststatus überprüft --> SSL VPN Server läuft.

So,
von der SSL VPN Verbindung ist reichlich wenig spürbar.
Auf der Server Appliance erscheint zumindest der Client im Cockpit unter SSL VPN Benutzer, aber ist weder ping-, noch erreichbar.

Hat das was mit der Tunnel IP zu tun oder damit das mit verschiedenen Subnetzen gearbeitet wird.

Es wäre von größter Wichtigkeit hier eine Lösung zu finden da nahezu alle unsere Kunden auf Securepoint umstellen werden und SSL VPN eingesetzt werden soll um uns mit den Kunden zu verbinden.

Ich hoffe Sie können mir mit einem Guten Rat zu Seite stehen.

mfg

cjp

carsten · Beitrag von **carsten** » Mi 28.12.2011, 15:22

Hallo,

gibt es die Regeln nur in eine Richtung oder auch umgekehrt:

Internal Network --> Client_NW --> any
Client NW -> Internal Network -> any

cjp · Beitrag von **cjp** » Mo 02.01.2012, 10:11

Ja natürlich habe ich das mit den Regeln auch versucht, aber leider keine Verbesserung.

Ich bin auch noch über ein anderes Tutorial gestoßen:

Code: Alles auswählen

Site to Site Verbindungen mit OpenVPN

Verbindung von 172.20.21.0/24 auf FW1 zu 172.20.5.0/24 auf FW2 erstellen:

FW1 wird als OpenVPN-Server eingerichtet
FW2 wird als OpenVPN-Client eingerichtet

Zertifikate erstellen:

FW1> add x509 1024 "" 2020-01-01 OVPN_CA "" "" "" "" "" ""
FW1> add x509 1024 "" 2020-01-01 OVPN_FW1 "" "" "" "" "" "" "" OVPN_CA
FW1> add x509 1024 "" 2020-01-01 OVPN_FW2 "" "" "" "" "" "" "" OVPN_CA

Openvpn Server Konfiguration
FW1> change extc_value openvpn CLIENT_MODE 0
FW1> change extc_value openvpn CERT_CN OVPN_FW1
FW1> change extc_value openvpn PASSWORD_AUTH 0

Benutzer fuer FW2 anglegen (username==CN des Zertifikates)
FW1> add user OVPN_FW2 "" "" "" 128 "" "" 192.168.250.3

Route anlegen
FW1> add route "" 172.20.5.0/24 192.168.250.3

Netzwerkobjekte anlegen
FW1> add networkobject NETZ_B 172.20.5.0/24 vpn-openvpn
FW1> add networkgroup NETZ_BG
FW1> add networkobjectingroup NETZ_BG NETZ_B

FW1> add networkobject NETZ_A 172.20.21.0/24 vpn-openvpn
FW1> add networkgroup NETZ_AG
FW1> add networkobjectingroup NETZ_AG NETZ_A

Regeln anlegen

FW1> add rule NETZ_BG NETZ_AG any 1 ACCEPT NONE
FW1> add rule NETZ_AG NETZ_BG any 1 ACCCPT NONE

Firewall 2 Client Konfiguration:

OpenVPN als Client einrichten

FW2> change extc_value CLIENT_MODE 1
FW2> change extc_value CERT_CN OVPN_FW2
FW2> change extc_value REMOTE 17*.*.*.*

Zertifikate:

FW2> import crl
FW2> [OVPN_CA/CRL]
FW2> **
FW2> import x509
FW2> [OVPN_CA/X509]
FW2> **
FW2> import x509
FW2> [OVPN_FW2/X509]
FW2> **

Routen anlegen:

routen muessen nicht von hand angelegt werden, da sie von openvpn
angelegt werden

Netzwerkobjekte anlegen
FW2> add networkobject NETZ_B 172.20.5.0/24 vpn-openvpn
FW2> add networkgroup NETZ_BG
FW2> add networkobjectingroup NETZ_BG NETZ_B

FW2> add networkobject NETZ_A 172.20.21.0/24 vpn-openvpn
FW2> add networkgroup NETZ_AG
FW2> add networkobjectingroup NETZ_AG NETZ_A

Regeln anlegen

FW2> add rule NETZ_BG NETZ_AG any 1 ACCEPT NONE
FW2> add rule NETZ_AG NETZ_BG any 1 ACCCPT NONE

So lautet meine aktuelle Konfiguration, alles über die CLI bzw. PuTTY eingetragen.

Ich habe die Verbindung auch schon mit einem TCP Dump überprüft aber es kommt nichts an.

Woran könnte es liegen?

Wäre über Hilfe sehr verbunden.

mfg

carsten · Beitrag von **carsten** » Mo 02.01.2012, 12:18

Hallo,

das kann ich Ihnen so nicht sagen.

Müsste ich mal auf beide Geräte schauen -> hier anrufen.