Verbindung OK - Kein Ping -> Firewall Einstellungen für VPN?

[GeeEmm]

Hallo zusammen,

ich sitze schon seit Tagen an einem Problem und weiß nicht mehr weiter ...

gewünschte Konfiguration:
Login per VPN Client vom Mac ins Netzwerk eines Lancom 1823VoIP hinter einer Fritzbox
Mac ------> Fritzbox -> Lancom1823 VPN -> Zugriff auf andere Computer

Nun habe ich bereits erfolgreich eine VPN Verbindung mit Hilfe des Konfigurationsassistenten einrichten können und mich auch ERFOLGREICH mit einem iPhone und Mac einloggen können (exakt wie hier beschrieben: https://www2.lancom.de/kb.nsf/1275/0D28 ... enDocument).
Das Problem ist nur, dass, obwohl der VPN Client eine IP Adresse aus dem Heimnetz des Lancoms erhält, weder ein Gerät von außen angepingt, noch ein Gerät aus dem Heimnetz die IP des über VPN verbundenen Gerätes anpingen kann. Der externe Client scheint also komplett isoliert zu sein. Aus diesem Grund kann ich auch auf keine Geräte aus dem Heimnetz von Außen zugreifen. Die Firewall der Fritzbox lässt wie vom Lancom benötigt ESP, UDP 500, UDP 4500 & UDP 87 durch. Als ich kurzzeitig die Lancom Firewall ausgeschaltet habe hat alles funktioniert.

Frage: Was muss ich bzgl. der Firewalleinstellungen noch zusätzlich beachten? Der Assistent hat eine VPN Regel automatisiert erstellt. Ich habe bereits auch versucht, die IP des mit dem VPN Client verbundenen Systems in das Netzwerk zu lassen, jedoch ohne Erfolg. Wie ermögliche ich nun sicheren Zugriff über VPN in mein Netz ?

Vielen Dank!
Michael

[Jirka]

Hallo Michael,

hast Du denn eine Deny-All-Regel?
Dann musst Du den VPN-Client auch entsprechend erlauben, d. h. z. B. als Quelle in einer Regel angeben, die den Zugriff aufs Intranet erlaubt. (Hinzufügen -> ... -> eine bestimmte Gegenstelle -> Gegenstellen-Name: die VPN-Client-Verbindung).

Viele Grüße,
Jirka

[GeeEmm]

Hallo Jirka,

vielen Dank für deine Antwort. Ja, ich habe eine Deny-All Regel. Ich habe es bereits mit mehreren verschiedenen Firewallregeln versucht, jedoch ohne Erfolg. Ich habe nun folgende Firewallregel aktiv:

Allow VPN
Quelle: Gegenstelle: VPN
Ziel: LocalNet
Quelldienste: Alle
Zieldienste: Alle

Die Firewall zeigt mir im Log jedoch dennoch folgendes an:
DoS Protection traf zu: Die IP des VPN Clients mit Port 137 wurde gesperrt. Die oben definierte Firewallregel müsste aber doch die IP des VPN Clients durchlassen, oder?

Src: 192.168.0.111:137 {vpn} Dst: 192.168.0.111:137 {vpn} (UDP)
matched this filter rule: DoS protection
filter info: packet with same source and destination address received from interface LANCOM

Viele Grüße & Danke!
Michael

[GeeEmm]

Langsam bin ich wirklich am verzweifeln ...

Derzeitiger Stand wie bereits beschrieben:
- VPN Verbindung kann vom Mac & iPhone aufgebaut werden (Client erhält IP 192.168.0.111, Netzwerk hat 192.168.0.1 – 192.168.0.200)
- Lancom-Router zeigt Dos Attacke nach Verbindungsaufbau an:
Src: 192.168.0.111:137 {vpn}  Dst: 192.168.0.111:137 {vpn} (UDP)
- Client kann weder erfolgreich angepingt werden noch erfolgreich Teilnehmer des Netzes anpingen und ist somit komplett isoliert.

Ergebnis:
- Es liegt an der Lancom Firewall, da bei deaktivierter Firewall alles einwandfrei funktioniert

Des Weiteren habe ich herausgefunden, dass die Dos Attacke verhindert werden kann, wenn in der Routingtabelle der Subnetz Eintrag der VPN Client IP geändert wird. Hier wurde automatisiert 192.168.0.111 mit 255.255.255.255 eingetragen. Mein Netzwerk liegt aber im Bereich 192.168.0.0 mit Subetz 255.255.255.0. Wird hier der Eintrag ebenfalls auf 255.255.255.0 geändert, so bleibt die Dos Attacke aus. War der automatisierte Eintrag somit falsch?

Zur Firewall:
Ich verwende eine Deny-All Regel wie hier beschrieben (https://www2.lancom.de/kb.nsf/1275/BB6F ... enDocument). Was mir jedoch aufgefallen ist: Bei mir ist der Haken bei „für Default-Route (z.B. Internet)“ nicht angeklickt. Bedeutet das, dass nicht nur der Internetverkehr, sondern auch der lokale Netzwerkverkehr damit geregelt wird?

Nachdem der VPN Client sich erfolgreich mit dem Lancom Router verbunden hat und die IP Adresse 192.168.0.111 erhalten hat, wird dieser dann auch bei den Firewall Regeln, in denen „alle Stationen im lokalen Netz“ als Verbindungs-Quelle bzw. Verbindungs-Ziel verwendet werden, miteinbezogen oder muss die Gegenstelle der VPN Verbindung bei allen Regeln als Quelle bzw. Ziel zusätzlich zu den lokalen Usern hinzugefügt werden?

Was muss ich grundsätzlich beachten, damit alle Verbindungen über die VPN Verbindung erfolgreich durch die Firewall kommen? Meine aktivierte Regel „Allow_VPN“, in der die Quelle „Gegenstelle VPN“ und das Ziel „alle Stationen im lokalen Netz“ für alle Dienste aktiviert ist, ändert leider nichts an der Tatsache, dass der VPN User isoliert vom Netzwerk ist....

Vielen Dank für eure Hilfe!
Michael

[GeeEmm]

Nun funktioniert die VPN Verbindung endlich ! Es lag lediglich an der DoS Protection, welche Quell- und Absenderadresse für 24h blockiert hat. Dennoch hätte ich hierzu ein paar Fragen:

1. Wird die DoS Protection durch die Deaktivierung der Funktionen "Quell- und Zieladresse blockieren" unsicherer?

2. Kann man mit Hilfe einer Firewallregel nicht eine Ausnahme der DoS Protection für die IP des VPN Clients erstellen? Falls ja, wie (Firewallregel mit Quelle "IP VPN Client" und Ziel "IP VPN Client" bzw. Gegenstelle "VPN" als Quelle und Ziel hat nicht funktioniert)

3. Auf welche Einstellungen sollte man neben dem hier beschriebenen Vorgehen (https://www2.lancom.de/kb.nsf/1275/0D28 ... enDocument) noch achten, um die VPN Verbindung möglichst sicher herzustellen?

4. Für den verbunden VPN Client selbst benötigt man keine weiteren Firewalleinstellungen als die bereits bestehende "Deny-All" Regel und die jeweiligen Ausnahmen, die bereits für das interne Netz gesetzt sind. Sehe ich das richtig, dass der VPN Client also ein Teil von "LOCALNET" für die Firewall ist?

5. Wenn ich speziell für den VPN Client Restriktionen erstellen will, welche für die lokalen Teilnehmer nicht gelten sollen, reicht dann die Aktivierung der Funktion "nur für VPN Route" aus?

Danke & viele Grüße
Michael

[backslash]

Hi GeeEmm,

Nun funktioniert die VPN Verbindung endlich ! Es lag lediglich an der DoS Protection, welche Quell- und Absenderadresse für 24h blockiert hat.

Und schon wieder einer der auf die selbsternannten Experten von Computer-B... & Co reingefallen ist und eine Quelladress-Sperre für ach so toll gahalten hat, bis die gut gemeinte DoS-Protection tatsächlich zu einem erfolgreichen DoS geführt hat. gut gemeint ist halt das Gegenteli von gut gemacht...

Dennoch hätte ich hierzu ein paar Fragen:
1. Wird die DoS Protection durch die Deaktivierung der Funktionen "Quell- und Zieladresse blockieren" unsicherer?

nein, denn DoS Protection blockiert den Angriff solange er andauert - sobald er beendet ist, gibt es auch keinen Grund irgendwelche Adressen zu sperren.
Genaugenommen führt eine Aktivierung der Adreßsperre oftmals erst zu einem erfolgreichen DoS-Angriff - stell dir dazu einfach vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deine Providers...

2. Kann man mit Hilfe einer Firewallregel nicht eine Ausnahme der DoS Protection für die IP des VPN Clients erstellen? Falls ja, wie (Firewallregel mit Quelle "IP VPN Client" und Ziel "IP VPN Client" bzw. Gegenstelle "VPN" als Quelle und Ziel hat nicht funktioniert)

Du kannst eine Regel erstellen, bei der die Zustandsprüfung abgeschaltet ist - nur ist das nicht zu empfehlen - es sei denn, du weisst genau, was du machst...

3. Auf welche Einstellungen sollte man neben dem hier beschriebenen Vorgehen (https://www2.lancom.de/kb.nsf/1275/0D28 ... enDocument) noch achten, um die VPN Verbindung möglichst sicher herzustellen?

Sicherheit ist immer eine Frage der eigenen Paranoia... Am sichersten fährt man mit einer Deny-All-Regel und expliziten Allow-Regeln.

4. Für den verbunden VPN Client selbst benötigt man keine weiteren Firewalleinstellungen als die bereits bestehende "Deny-All" Regel und die jeweiligen Ausnahmen, die bereits für das interne Netz gesetzt sind. Sehe ich das richtig, dass der VPN Client also ein Teil von "LOCALNET" für die Firewall ist?

nein, ein VPN-Client (jede VPN-Verbindung) ist für die Firewall immer im WAN, also explizit *kein* Teil von "LOCALNET". In Regeln für den VPN-Client, kannst du den Client als benamte Gegenstelle adressieren.

5. Wenn ich speziell für den VPN Client Restriktionen erstellen will, welche für die lokalen Teilnehmer nicht gelten sollen, reicht dann die Aktivierung der Funktion "nur für VPN Route" aus?

ja... Sinnvoller aber ist es, explizite Regeln für den VPN-Client zu erstellen, den ein implizites "nur über VPN" kommt leicht unter die Räder...

Gruß
Backslash

[GeeEmm]

Hallo Backslash,

vielen Dank für deine Antworten! Du hast mir sehr geholfen !

Was mir jedoch noch aufgefallen ist:

4. Für den verbunden VPN Client selbst benötigt man keine weiteren Firewalleinstellungen als die bereits bestehende "Deny-All" Regel und die jeweiligen Ausnahmen, die bereits für das interne Netz gesetzt sind. Sehe ich das richtig, dass der VPN Client also ein Teil von "LOCALNET" für die Firewall ist?

nein, ein VPN-Client (jede VPN-Verbindung) ist für die Firewall immer im WAN, also explizit *kein* Teil von "LOCALNET". In Regeln für den VPN-Client, kannst du den Client als benamte Gegenstelle adressieren.

Meine "Allow-Internet" Regel, welche mit Quelle "Localnet" und Zielport 80 konfiguriert ist, erlaubt auch dem VPN Client die Nutzung des Internets (wie es bei mir auch sein soll). Es scheint also hier so, als ob "Localnet" doch die lokale IP des VPN Clients in diese Gruppe zählt.

Vielen Dank nochmals & Gruß
Michael

[Jirka]

Hallo Michael,

das glaube ich nicht. Entweder da greift noch irgendeine andere Regel, oder der VPN-Client geht gar nicht über die VPN-Verbindung ins Internet.
Einfach mal ein Firewall-Trace machen, dann solltest Du sehen, was Sache ist.

Viele Grüße,
Jirka

[GeeEmm]

Hallo Jirka,

ich habe bei der "Allow-Internet" die SNMP Funktion aktiviert. Daher konnte ich es im LAN-Monitor verflogen. Die "Allow-Internet" Regel ist ganz klassisch mit "Localnet" als Quelle konfiguriert, dennoch greift sie laut Firewall Log auch für die IP des VPN Clients und gewährt diesem auf dem Port 80 Zugriff zum Internet. Muss ich mir jetzt Gedanken machen, da dieses Verhalten scheinbar nicht von der Firewall gewünscht sein sollte ?

Viele Grüße
Michael