Openvpn einrichten Anleitung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Re: Openvpn einrichten Anleitung

Beitrag von Svenja »

Hallo Snues,

einfach telefonisch ein Ticket eröffnen lassen (04131-24010), dann meldet sich der Support bei dir.
Eine Möglichkeit, sich direkt durchstellen zu lassen, gibt es nicht.

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo 

So hab vor 40 min angerufen, bekam gerade den Rückruf von euch und hier wurde mir mitgeteilt das Sie keinen Endsupport machen können und verwiesen mich wieder auf den IT- Techniker....

Mfg Bernd  

Edit: Danke Svenja

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

dann ist der Reseller, über den du das Gerät gekauft hast, für dich zuständig.

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo die Runde.

So der Reseller hat sich gemeldet und mit einem Techniker von Securepoint das Problem gelöst. Jetzt sollten theoretisch auch alle Regeln passen. Leider war ich noch nicht selbst vor um das zu überprüfen... Mein Client am Handy lässt jetzt auch Traffic durch also müsste es auch passen.
Eine frage hätte ich doch noch? Zum thema Pingen wenn ich mit dem Netzwerk verbunden bin sollte ja doch die einzelne Pc anpingen können oder? Die FW anpingen funktioniert ja.

Mfg Bernd

Edit: Danke Pascal und David für euer Angebot.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

die Clients im internen Netz der Firewall sollten Sie pingen können, zumindest von den Portfilterregeln her. Es kann sein, dass die Clients die Pings aufgrund von der Windows Firewall oder ähnlichem nicht beantwortet, da die Anfrage für Sie aus einem fremden Netz (Transfernetz des OpenVPN) kommen. Sollte das der Fall sein können Sie in der Portfilterregel ein HideNAT setzen mit dem internen-interface, so kommen die Pakete bei den Clients mit der internen IP der Firewall an:

SSL-Netz -> internal-network -> Dienst
HideNAT: internal-interface

Für den Zugriff/Ping auf die Firewall benötigen Sie immer eine eigene Regel:

SSL-Netz -> internal-interface -> ping/icmp-echo-request

Beste Grüße
Christian

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo Christian

Vielen vielen Dank für die rasche Antwort mit Anleitung.

So im Meeting wurde mir gerade gesagt das der Kollege mit der Vpn Verbindung auch zugriff auf das Warenwirtschafts Programm haben soll. Das Programm läuft auf einen Pc Win 10 im Büro im Netzwerk sind nur Clients die darauf zugreifen. Das stellt das Programm bei der Installierung selbst her.

Wenn ich jetzt auf dem Laptop mit Vpn das Programm installiere muss ich auch bei den Regeln was ändern/Hinzufügen?

Mfg

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

wenn Sie schon eine Portfilterregel haben, die den Zugriff in das Netz, in dem sich der Win 10 PC befindet, zulässt, bzw. den Port zulässt, müssen Sie nichts ändern.

Beste Grüße

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo,

Hmmm das wäre jetzt gut zu wissen ob das so ist.... kann ich ehrlich gesagt nicht beantworten. Ich müsste die Ip&port von dem Pc in sie Regel eintragen und weiterleiten auf Vpn oder ?

Mfg Bernd

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

ich weiß leider nicht genau was Sie meinen, aber wenn Sie als SSL VPN Client auf einen internen Rechner, bspw. auf das Warenwirtschaftssystem, zugreifen möchten reicht die Portfilterregel:

SSL-Netz -> internal-network -> der gewünschte Dienst/Port
HideNAT: internal-interface

Eine Weiterleitung auf VPN ist nicht erforderlich.

Beste Grüße

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Guten Morgen,

Sie haben mich aber verstanden :-) danke für die Auskunft. Werde es morgen in ruhe mal testen.

Mfg Bernd

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo

So hatte doch heute schon Zeit :-) Um auf nummer sicher zu gehen hab ich ein Paar screens gemacht.

Hier mal die Ping sache

https://picload.org/view/dligiapi/20180 ... 0.jpg.html

Ping funktioniert. Ist das so Korrekt?

Und hier die screens für die Port sache.

https://picload.org/view/dligiapw/20180 ... 2.jpg.html

https://picload.org/view/dligiawr/20180 ... 9.jpg.html

Dienst ist Büro+

https://picload.org/view/dligiawa/scree ... a.jpg.html

Ist das so Korrekt?

Mfg Bernd

pascal

Beitrag von pascal »

Moin,
 
mit Regel 57 erlaubst du den Zugriff aus dem SSL-VPN Netz auf das gesamte Interne Netz und mit Regel 58 erlaubst du alles auf das internal-interface.
Kann man so machen, ist nur halt sehr unsicher. Ich empfehle dir, nicht alles freizugeben. Nur das was benötigt wird, auf die Server auf die zugegriffen werden darf.

LG
Pascal

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo Pascal

Hmm hab die Regel 58 deaktiviert. Regel 57 läuft normal weiter also mit Dienst "any". Bin ich richtig mit der Meinung das bei der Regel 57 der Dienst "any" mit unsicher gemeint ist ? Mit "any" kann ich das gesamten Netzwerke durchleuchten oder ? Ich müsste das "any" durch "Büro+" ersetzen das nur dieser Port freigegen ist ?
Ich glaube ich brauche einen Crash kurs mit dem Teil :-)

Mfg Bernd

pascal

Beitrag von pascal »

Moin Bernd,

richtig. Any ist halt Alles, alle Protokolle und alle Ports.

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Moin Pascal,

Gibt es überhaupt eine sichere möglichkeit eine Fernwartung zu betreiben ?

Mfg Bernd

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Snues,

Fernwartung mit VPN und nur den benötigten Ports ist durchaus OK ;-)
Wenn man jegliches Risiko ausschließen möchte, dann muss man seinen Internetzugang abschalten; wobei selbst dann ein Restrisiko bleibt (USB-Stick etc.).

Grüße
Svenja

Snues
Beiträge: 27
Registriert: Do 01.06.2017, 13:41

Beitrag von Snues »

Hallo die Runde.

So endlich ist es geschafft :-) Vpn läuft Warenwirtschafts Programm läuft auch und nur 1 Port offen :-D.

Ich bin noch beim überlegen für mich einen Clientless Verbindung anzulegen. Aber ich vermute mal das dieser zugang auch risiken mit sich bringt oder ?

Mfg Bernd

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Wenn Sie die Wahl zwischen OpenVPN und Clientless haben sollten Sie sich immer für die native VPN-Umsetzung entscheiden.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Antworten