IPSec-L2TP Roadwarrior

Moderator: Securepoint

Gesperrt
pepe_m
Beiträge: 5
Registriert: Do 11.04.2013, 00:05

IPSec-L2TP Roadwarrior

Beitrag von pepe_m »

Hallo,

nachdem ich mich die letzten Tage mal wieder durch das Thema 'IPSec-L2TP Roadwarrior' an einem RC100 UTM-Gateway durchgekämpft habe, wollte ich dann doch mal meine 'Probleme' für das nächste mal (und für alle anderen) dokumentieren.

Vorgegangen bin ich nach dem eigntlich gut beschriebenen L2TP Roadwarrior How-To (http://wiki.securepoint.de/index.php/L2TP_-_Roadwarrior)

Im Verlauf der Konfiguration bin ich dann aber doch über die folgenden Punkte 'gestolpert'.

1) Dienste und Dienstgruppen
Der Dienst 'l2tp' fehlte als Mitglied der Dienstgruppe 'vpn'. o.O

2) Lokale L2TP IP-Adresse
Hier wird anscheinent nicht etwa, dem in der Appliance integrierten L2TP-Dienst, eine Adresse zugewiesen sondern die IP-Adresse der Appliance eingetragen. :?:

3) Zonenzuordnung des ppp0-Interfaces
Anscheinend muss das Interface ppp0 auch der Zone 'vpn-ppp' zugeordnet werden. ;)

4) Regeln
Um den Roadwarrior den Zugrif auf die Funktionalität der Appliance (Proxys, DNS, etc.) zu ermöglichen wird zusätzlich zu der beschriebenen L2TP-Netz -> Internal Network Regel noch ein Regel L2TP-Netz -> Internal Interface benötigt.

Gruß,
pepe

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

pepe_m hat geschrieben: Im Verlauf der Konfiguration bin ich dann aber doch über die folgenden Punkte 'gestolpert'.

1) Dienste und Dienstgruppen
Der Dienst 'l2tp' fehlte als Mitglied der Dienstgruppe 'vpn'. o.O
Das ist kein Problem. Die L2TP-Verbindung ist "Related" zur zuvor ausgehandelten ipsec-Verbindung und deshalb automatisch frei.
2) Lokale L2TP IP-Adresse
Hier wird anscheinent nicht etwa, dem in der Appliance integrierten L2TP-Dienst, eine Adresse zugewiesen sondern die IP-Adresse der Appliance eingetragen. :?:
Eingetragen wird dort eine IP-Nummer aus dem Subnetz, aus dem die Clients ihre IP beziehen und sich AUSSERHALB der konfigurierten Range befindet. Im Falle von Proxy-ARP (die IPs kommen aus fem internen Netz) sollte dies weder die IP der Appliance noch eine andere im Netzwerk bereits vergebene IP sein.
3) Zonenzuordnung des ppp0-Interfaces
Anscheinend muss das Interface ppp0 auch der Zone 'vpn-ppp' zugeordnet werden. ;)
Ja. Deswegen liegt diese Zone auch automatisch auf dem externen Interface :)
4) Regeln
Um den Roadwarrior den Zugrif auf die Funktionalität der Appliance (Proxys, DNS, etc.) zu ermöglichen wird zusätzlich zu der beschriebenen L2TP-Netz -> Internal Network Regel noch ein Regel L2TP-Netz -> Internal Interface benötigt.
Richtig erkannt. Die Regeln zum Zugriff sind ja auch für das Netzwerk, und nicht für die Firewall. Das liegt daran, dass die Regeln für Verbindungen auf die Firewall selbst in anderen Tabellen stehen als die für Verbindungen, die, salopp gesprochen, durch die Firewall durch gehen.

janosch
Beiträge: 3
Registriert: Do 16.07.2015, 08:51

Beitrag von janosch »

Moin moin,

da es thematisch ganz gut passt habe ich auch eine Frage zur L2TP over IPsec Einrichtung auf der Securepoint. Bei einem Kunden habe ich die VPN Zugänge gestern eingerichtet, allerdings wird bei der Einwahl kein Gateway auf dem VPN Adapter zugeteilt (bzw. 0.0.0.0 gesetzt), somit ist zwar der Zugriff auf das Firmennetz möglich aber surfen geht nicht. Aktiviere ich Split-Tunneling können Netzlaufwerke beim Kunden nicht mehr erreicht werden, es existiert dort nur ein /24 Subnetz.

Die VPN User werden per RADIUS authentifiziert und nicht als lokale User in der Securepoint gepflegt.

Es wir der Windows Bordmittel-Client eingesetzt, sowohl unter Windows 7 als auch unter Windows 8.1. Welche Punkte in der Konfiguration könnte ich hier übersehen haben?

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

janosch hat geschrieben:Moin moin,

da es thematisch ganz gut passt habe ich auch eine Frage zur L2TP over IPsec Einrichtung auf der Securepoint. Bei einem Kunden habe ich die VPN Zugänge gestern eingerichtet, allerdings wird bei der Einwahl kein Gateway auf dem VPN Adapter zugeteilt (bzw. 0.0.0.0 gesetzt), somit ist zwar der Zugriff auf das Firmennetz möglich aber surfen geht nicht. Aktiviere ich Split-Tunneling können Netzlaufwerke beim Kunden nicht mehr erreicht werden, es existiert dort nur ein /24 Subnetz.

Die VPN User werden per RADIUS authentifiziert und nicht als lokale User in der Securepoint gepflegt.

Es wir der Windows Bordmittel-Client eingesetzt, sowohl unter Windows 7 als auch unter Windows 8.1. Welche Punkte in der Konfiguration könnte ich hier übersehen haben?
Eigentlich nur die Tatsache, dass split tunneling mit Windows-Bordmitteln nicht wirklich funktioniert, wenn eine geroutete Verbindung hergestellt wird. Ich würde die Verwendung von SSL-VPN empfehlen. Wenn unbedingt L2TP weiter verwendet werden soll, kann man als "Würgaround" statt der gerouteten Verbindung mit separatem Netz für die VPN-Clients den Proxy-ARP-Modus verwenden. Hierzu konfiguriert man als IP-Nummernpool einfach eine Range aus dem internen Netz (der dort natürlich auch frei sein muss). Jetzt befinden sich die L2TP-Clients logisch im gleichen Subnetz mit den Hosts im Internen Netz und es ist clientseitig kein Routing nötig um diese zu erreichen.

Neben besserer Sicherheit und Stabilität hätte SSL VPN den Vorteil, dass der Server die clientseitig nötigen Routen bei Verbindungsaufbau überträgt.


Mehr dazu hier: http://wiki.securepoint.de/index.php/V1 ... oadwarrior

janosch
Beiträge: 3
Registriert: Do 16.07.2015, 08:51

Beitrag von janosch »

Stimmt. Daran, dass ich mit den VPN Clients in einem separaten Subnetz bin, habe ich gar nicht gedacht. Gibt es denn auf der Securepoint keinerlei Möglichkeit ein Gateway mitzugeben? Denn so könnte ich logischerweise mit keinem VPN Client Split Tunneling nutzen. Wie regelt die Securepoint denn den Zugriff vom L2TP Pool auf das interne Netz?
Sagen wir der Pool hat IP Adressen aus 192.168.190.0 und das interne Netz befindet sich im Bereich 192.168.180.0/24. Da muss ich ja trotzdem routen,

SSL VPN ist keine Alternative, da hier explizit die Windows Bordmittel gewünscht sind um es den Usern möglichst einfach zu machen. Klar, wenn sich die Einrichtung mit den Bordmitteln als zu kompliziert herausstellt besteht die Möglichkeit einen externen Client zu nutzen ob das nun ein SSL-VPN oder ein IPsec ist spielt eigentlich keine große Rolle.

Kann ich Proxy ARP denn auch bereits in v10 nutzen oder ist das ein Update auf v11 nötig?

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

janosch hat geschrieben:Stimmt. Daran, dass ich mit den VPN Clients in einem separaten Subnetz bin, habe ich gar nicht gedacht. Gibt es denn auf der Securepoint keinerlei Möglichkeit ein Gateway mitzugeben? Denn so könnte ich logischerweise mit keinem VPN Client Split Tunneling nutzen. Wie regelt die Securepoint denn den Zugriff vom L2TP Pool auf das interne Netz?
Sagen wir der Pool hat IP Adressen aus 192.168.190.0 und das interne Netz befindet sich im Bereich 192.168.180.0/24. Da muss ich ja trotzdem routen,
Ja. Das nennt sich dann "Geroutete Verbindung".

Das Problem ist dann, dass vom L2TP-Server keine Routinginformationen mitgeliefert werden. Demnach ist nur forced tunneling möglich.
SSL VPN ist keine Alternative, da hier explizit die Windows Bordmittel gewünscht sind um es den Usern möglichst einfach zu machen. Klar, wenn sich die Einrichtung mit den Bordmitteln als zu kompliziert herausstellt besteht die Möglichkeit einen externen Client zu nutzen ob das nun ein SSL-VPN oder ein IPsec ist spielt eigentlich keine große Rolle.
Der Aufbau einer Verbindung mittels des Securepoint SSL VPN-Clients ist meines Erachtens nicht wirklich komplizierter. Noch dazu ist er kostenlos, im Gegensatz zu den meisten IPSec-Clients. Der Client kann komplett konfiguriert ausgerollt bzw. vom User selbst heruntergeladen werden. Auspacken - Einschalten - Geht! ;-)
Kann ich Proxy ARP denn auch bereits in v10 nutzen oder ist das ein Update auf v11 nötig?
Mann konnte PPTP/L2TP mit Proxy Arp auch schon in früheren Versionen nutzen. Alles was man tun muss ist die Adresspools und das Netzwerkobjekt für die Firewall-Regeln entsprechend zu konfigurieren. Ein Update auf V11 würde sich natürlich aus vielen anderen Gründen empfehlen, zumal der Kunde mit einer gültigen Lizenz kostenlos dazu berechtigt ist ;-)

janosch
Beiträge: 3
Registriert: Do 16.07.2015, 08:51

Beitrag von janosch »

Andreas hat geschrieben:Der Aufbau einer Verbindung mittels des Securepoint SSL VPN-Clients ist meines Erachtens nicht wirklich komplizierter. Noch dazu ist er kostenlos, im Gegensatz zu den meisten IPSec-Clients. Der Client kann komplett konfiguriert ausgerollt bzw. vom User selbst heruntergeladen werden. Auspacken - Einschalten - Geht! ;-)
Ja für uns Beide würde ich das sogar unterschreiben, bei Kunden sieht das dann immer wieder etwas anders aus ;)
Eventuell kann ich mit ein bißchen Überzeugungsarbeit etwas beeinflußen.

Andreas hat geschrieben:Mann konnte PPTP/L2TP mit Proxy Arp auch schon in früheren Versionen nutzen. Alles was man tun muss ist die Adresspools und das Netzwerkobjekt für die Firewall-Regeln entsprechend zu konfigurieren. Ein Update auf V11 würde sich natürlich aus vielen anderen Gründen empfehlen, zumal der Kunde mit einer gültigen Lizenz kostenlos dazu berechtigt ist ;-)
Was muss ich denn genau in den Firewall-Regeln einstellen damit Proxy-ARP genutzt wird?

Das Update auf die V11 steht dem Kunden grundsätzlich zur Verfügung, allerdings sind wir nicht deren Securepoint Partner und der Kunde ist in der Regel etwas übervorsichtig was Änderungen im System angeht.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

janosch hat geschrieben:Was muss ich denn genau in den Firewall-Regeln einstellen damit Proxy-ARP genutzt wird?
Sie passen einfach in den L2TP-Einstellungen den Pool an (so wie Andreas es oben beschrieben hat) und sorgen dann dafür, dass die entsprechenden Netzwerkobjekte mit dem gewählten Pool übereinstimmen. Ansonsten unterscheidet sich das in keinster Weise von der Konfiguration, wie sie ja offenbar bei Ihnen schon läuft

Gesperrt