Hallo,
ich versuche hier unsere Firewall wieder pptp beizubringen.
So siet meine Grundkonfiguration aus:
PPTP Dienst ist gestartet und hat die Konfiguration:
IP: 192.168.1.254
Pool: 1.10 - 1.40
Was sollte als Nameserver eingetragen werden? Die Firewall im VPN-PPTP Netz (192.168.1.0) oder im Lokalen Netz. Oder muss es ein anderer DNS Server im internen Netz sein oder doch besser ein Externer DNS?
Wenn ich alles richtig verstanden habe, muss der Portfilter natürlich noch den Zugriff auf den jeweiligen DNS erlauben.
In der Netzwerkkonfiguration:
eth0 hat die Zonen: external, firewall-external, vpn-ipsec und vpn-ppp
eth0 hat unsere externe IP eingetragen
Der angelegte Benutzer hat die Berechtigung sich per PPTP anzumelden.
Per Portfilter ist es erlaubt sich über die PPTP Ports von extern anzumelden.
Fazit: PPTP Anmeldung funktioniert!
Dann noch die Portfilter Konfiguration:
Ich habe folgende Objekte hinzugefügt
VPN Netz/Host: VPN-PPTP -> NETZ 192.168.1.0/24 mit Zone vpn-ppp
VPN Netz/Host: firewall-VPN-PPTP -> HOST 192.168.1.254 mit Zone vpn-ppp
Benutzer = VPN Benutzer in der vpn-ppp Zone (NAT-IP aus)
Im Bereich Hide-NAT vür die Zone vpn-ppp noch ein Include ins Interne Netz sowie nach Extern.
Wenn ich jetzt im Portfilter Rules anlege, dass z.B. der Benutzer auf das Interne Netz oder nach Extern zugreifen darf, scheint dies nicht zu funktionieren.
Ist mein PPTP Grundkonfigurationskonstrukt korrekt? Gibt es etwas zu optimieren. Sind die Hide-NAT regeln so korrekt?
Viele Grüße
Mathias
Verpfuschtes PPTP wieder reparieren
Moderator: Securepoint
"firewall-VPN-PPTP" ist überflüssig. An dessen Stelle verwenden Sie das Netzwerkobjekt "Internal Interface".
Das HideNAT Richtung internes Netz ist auch optional und wird nur bei Servern benötigt, die sich anders nicht zur Antwort überreden lassen.
Welche Adresse hat Ihr internes Netz? Ist das nicht 192.168.1.0/24, müssen Sie entweder jeglichen Traffic vom Client in den Tunnel routen lassen oder auf dem Client eine manuelle Route einfügen.
Das HideNAT Richtung internes Netz ist auch optional und wird nur bei Servern benötigt, die sich anders nicht zur Antwort überreden lassen.
Welche Adresse hat Ihr internes Netz? Ist das nicht 192.168.1.0/24, müssen Sie entweder jeglichen Traffic vom Client in den Tunnel routen lassen oder auf dem Client eine manuelle Route einfügen.
Hallo,
klappt nun viel besser
.
Das einzige was noch Probleme macht, ist die Möglichkeit Benutzer in den Rules zu berücksichtigen. Beispiel:
Benutzer MOELLER ist als Netzwerkobjekt als Benutzer in der Zone vpn-ppp angelegt. Die Rules die mit diesem Benutzer zusammenhängen scheinen nicht zu funktionieren. Gibt es hier noch einen Trick?
klappt nun viel besser
.Das einzige was noch Probleme macht, ist die Möglichkeit Benutzer in den Rules zu berücksichtigen. Beispiel:
Benutzer MOELLER ist als Netzwerkobjekt als Benutzer in der Zone vpn-ppp angelegt. Die Rules die mit diesem Benutzer zusammenhängen scheinen nicht zu funktionieren. Gibt es hier noch einen Trick?
Hallo,
das habe ich letztendlich befürchtet. Das ist eigentlich sehr schade! Der User hat sich ja gewissermaßen schon an der Firewall als genau dieser Benutzer authentifiziert. Wenn möglich, können Sie dies ja mal in die ToDo liste eintragen.
Ansonsten, nochmals vielen Dank für Ihre Unterstützung.
Viele Grüße
Mathias
das habe ich letztendlich befürchtet. Das ist eigentlich sehr schade! Der User hat sich ja gewissermaßen schon an der Firewall als genau dieser Benutzer authentifiziert. Wenn möglich, können Sie dies ja mal in die ToDo liste eintragen.
Ansonsten, nochmals vielen Dank für Ihre Unterstützung.
Viele Grüße
Mathias