Securepoint Support Forum

Hallo,

ich versuche hier unsere Firewall wieder pptp beizubringen.

So siet meine Grundkonfiguration aus:

PPTP Dienst ist gestartet und hat die Konfiguration:

IP: 192.168.1.254
Pool: 1.10 - 1.40

Was sollte als Nameserver eingetragen werden? Die Firewall im VPN-PPTP Netz (192.168.1.0) oder im Lokalen Netz. Oder muss es ein anderer DNS Server im internen Netz sein oder doch besser ein Externer DNS?
Wenn ich alles richtig verstanden habe, muss der Portfilter natürlich noch den Zugriff auf den jeweiligen DNS erlauben.

In der Netzwerkkonfiguration:

eth0 hat die Zonen: external, firewall-external, vpn-ipsec und vpn-ppp
eth0 hat unsere externe IP eingetragen

Der angelegte Benutzer hat die Berechtigung sich per PPTP anzumelden.
Per Portfilter ist es erlaubt sich über die PPTP Ports von extern anzumelden.

Fazit: PPTP Anmeldung funktioniert!

Dann noch die Portfilter Konfiguration:
Ich habe folgende Objekte hinzugefügt
VPN Netz/Host: VPN-PPTP -> NETZ 192.168.1.0/24 mit Zone vpn-ppp
VPN Netz/Host: firewall-VPN-PPTP -> HOST 192.168.1.254 mit Zone vpn-ppp
Benutzer = VPN Benutzer in der vpn-ppp Zone (NAT-IP aus)


Im Bereich Hide-NAT vür die Zone vpn-ppp noch ein Include ins Interne Netz sowie nach Extern.


Wenn ich jetzt im Portfilter Rules anlege, dass z.B. der Benutzer auf das Interne Netz oder nach Extern zugreifen darf, scheint dies nicht zu funktionieren.

Ist mein PPTP Grundkonfigurationskonstrukt korrekt? Gibt es etwas zu optimieren. Sind die Hide-NAT regeln so korrekt?

Viele Grüße
Mathias

"firewall-VPN-PPTP" ist überflüssig. An dessen Stelle verwenden Sie das Netzwerkobjekt "Internal Interface".
Das HideNAT Richtung internes Netz ist auch optional und wird nur bei Servern benötigt, die sich anders nicht zur Antwort überreden lassen.
Welche Adresse hat Ihr internes Netz? Ist das nicht 192.168.1.0/24, müssen Sie entweder jeglichen Traffic vom Client in den Tunnel routen lassen oder auf dem Client eine manuelle Route einfügen.

Ahso!
Ich ging davon aus, dass die VPN Clients in einem dedizierten Netz landen.

Unsere interne IP ist 192.168.99.1. Demnach wäre es sinnvoll, das VPN Netz in jenes zu integrieren.

Ich werde dies gleich einmal austesten. Danke!

Hallo,

klappt nun viel besser .

Das einzige was noch Probleme macht, ist die Möglichkeit Benutzer in den Rules zu berücksichtigen. Beispiel:

Benutzer MOELLER ist als Netzwerkobjekt als Benutzer in der Zone vpn-ppp angelegt. Die Rules die mit diesem Benutzer zusammenhängen scheinen nicht zu funktionieren. Gibt es hier noch einen Trick?

Die "User-Objekte" beziehen sich immer auf SPUVA-User. Es reicht also nicht, wenn sich der User mit seinem PPTP-Account verbindet, sondern er muss auch am SUPVA-Server angemeldet sein

Hallo,

das habe ich letztendlich befürchtet. Das ist eigentlich sehr schade! Der User hat sich ja gewissermaßen schon an der Firewall als genau dieser Benutzer authentifiziert. Wenn möglich, können Sie dies ja mal in die ToDo liste eintragen.

Ansonsten, nochmals vielen Dank für Ihre Unterstützung.
Viele Grüße
Mathias