VPN Pass-Through ins Firmennetz (Heimarbeitsplatz)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

VPN Pass-Through ins Firmennetz (Heimarbeitsplatz)

Beitrag von froeschi62 »

Hallo,

ich versuche mit meinem LC 1821 über das Internet einen VPN-Tunnel/Pass-Through zum Firmennetz aufzubauen. Es klappt nicht. Zum Einsatz kommt der Secure Remote VPN-1 Client von Checkpoint.. Wer hat Erfahrung damit und kann mir helfen? Laut Handbuch brauche ich für Pass-Through nichts am LC 1821 einzustellen.

Gruß
Dietmar
Michael008
Beiträge: 325
Registriert: 14 Jan 2005, 18:45
Wohnort: Stuttgart

Beitrag von Michael008 »

Hallo froeschi62,
Experte bin ich nicht, nach meinem Verständnis funktionniert ein NAT (was standardmäßig an ist) grundsätzlich nur mit von innen ausgelösten Verbindungen.
Sonst weiß der Router nicht wohin er die zurück/ankommenden Pakete senden soll.
Folglich musst du im Router einstellen an welchen Rechner er die Pakete,die auf Port 1723 PPTP (bitte für Checkpoint überprüfen) ankommen weiterleiten soll.
Das kannst du im Lanconfig einstellen:
IP-Router (Wahlfeld)- Maskierung (Reiter)- Service-Tabelle (Knopf)
Probiers mal und sag bescheid ob es hilft.
Gruß
Michael
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Hallo Michael,

laut http://www2.lancom.de/kb.nsf/a5ddf48173 ... vpn,German
muß ich am Router nichts einstellen, nur wenn im lokalen Netz ein VPN Server existiert. Dies ist ja nicht der Fall. Nichtsdestotrotz habe ich die im Dokument beschriebenen Einstellungen probiert, die auch deinen Empfehlungen entsprechen. Es funktioniert nicht. Die Firewall am Notebook habe ich vorsichtshalber deaktiviert.

Gruß
Dietmar
Michael008
Beiträge: 325
Registriert: 14 Jan 2005, 18:45
Wohnort: Stuttgart

Beitrag von Michael008 »

Hi froeschi62,
also dann schreibe bitte nochmal genau zwischen welchen Geräten du einen Tunnel aufbauen möchtest (incl. Richtung?).
Wichtig ist hierbei wo steht der VPN Server und welche Geräte(meist Router) befinden sich dazwischen auf dem Weg zum Client, der wie ich gelesen habe auf deinem Laptop läuft.
Ist der im 1821 vorhandene VPN Server deaktiviert?
Gruß
Michael
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Hallo Michael,

ich sagte ja, Pass -Through! Notebook mit Checkpoint VPN-Client über IRouter/Internet VPN-Tunnel auf unsere FW in der Firma. Router/Notebook sind im lokalen privaten Netz.

Gruß
Dietmar
Lancom 1823 VOIP
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Problem immer noch nicht gelöst. Wer kann helfen? Ich bin sicherlich nicht der Einzige, der VPN Pass-Through über einen Lancom Router durchführt.
Das Kuriose, sporadisch geht es, meistens aber nicht..

Gruß
Dietmar
backslash
Moderator
Moderator
Beiträge: 7152
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi froeschi62
Problem immer noch nicht gelöst. Wer kann helfen? Ich bin sicherlich nicht der Einzige, der VPN Pass-Through über einen Lancom Router durchführt.
Das Kuriose, sporadisch geht es, meistens aber nicht..
Normalerweise ist das überhaupt kein Problem - du brauchst nichts besonderes einzustellen, außer du hast in der Firewall eine Deny-All Regel. In diesem Fall mußt du in der Firewall natürlich UDP Port 500 und ESP (IP-Protokoll 50) erlauben.

Es gibt nur eine Sache zu beachten: Wenn der VPN-Server DPD (Dead Peer Detection) macht, dann mußt Du spätestens 10 Sekunden nach dem Aufbau des Tunnels Daten senden, da das LANCOM sonst den Eintrag mit den Cookies aus der IPSec-Maskierungstabelle entfernt und somit das DPD scheitert, mit der Folge, daß der Tunnel vom Server aus wieder abgebaut wird. Das Problem wird mit der nächsten Firmware behoben sein.

Wenn der Server DPD macht hast du momentan zwei Möglichkeiten:

- innerhalb von 10 Sekunden nach dem Aufbau des Tunnels Daten senden oder
- DPD auf dem Server deaktivieren

Gruß
Backslash
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Hallo Backslash,

erst einmal Danke für deine Hilfe. Ja, ich habe inzwischen die Firewall über die Deny-All Regel konfiguriert. Soweit funktioniert alles bis auf VPN Passthrough.
Ich habe nach deinen Empfehlungen folgende Regeln veruscht:
Port 500 UDP
Allow_UDP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: UDP Quellport 500
Allow_ESP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: TCP Quellport 50
Es funktioniert nicht, auch wenn ich bei Zielstationen "alle" angebe und bei den Protokolldiensten zusätzlich Zielport 500 bzw. 50 angebe.
Wie sieht es mit ICMP aus, das benötigt der Checkpoint VPN Client auch noch? Dann muß noch der Port 2746 (UDP oder TCP?) freigeschaltet werden.
Gruß
Dietmar
Ps: bei den herkömlichen Regeln habe ich vorsichtshalber "virtuelles privates Netzwerk VPN/IPSEC" freigeschaltet.
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo Backslash,
DPD (Dead Peer Detection)
Was besagt eigentlich der Wert 0 in der VPN-Konfiguration? Ausgeschaltet oder irgendein Standardwert?

Und ist die DPD nur wirksam, wenn sie auf beiden Seiten aktiviert ist?

Gruß

Mario
backslash
Moderator
Moderator
Beiträge: 7152
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi froeschi62,
Allow_UDP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: UDP Quellport 500
fast.
Es muß Zielport 500 heißen

Allow_ESP
Aktion: sofort übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: 213.xxx.xxx.xxx (die FW, die bei uns in der Firma steht)
Dienst: TCP Quellport 50
auch das Ist Falsch. Der Dienst muß PROTOKOLL 50 sein (siehe Bild im Attachment)
Wie sieht es mit ICMP aus, das benötigt der Checkpoint VPN Client auch noch? Dann muß noch der Port 2746 (UDP oder TCP?) freigeschaltet werden.
äh, wie??? - ich denke der macht IPSec und nichts proprietäres. Ggf. solltest Du mal im Handbuch des Checkpoint Clients nachlesen was der so braucht...

Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von backslash am 27 Feb 2005, 21:45, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7152
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

hi eddia
Was besagt eigentlich der Wert 0 in der VPN-Konfiguration? Ausgeschaltet oder irgendein Standardwert?
der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt. Auf DPD-Requests der Gegenstelle reagiert es natürlich trotzdem
Und ist die DPD nur wirksam, wenn sie auf beiden Seiten aktiviert ist?
beide Seiten müssen DPD unterstützen. Das wird aber während der IKE-Verhandlung ausgehandelt. Das LANCOM bietet immer DPD an auch wenn der DPD-Timeout auf 0 gestellt ist. Dieser Wert bedeutet wie bereits gesagt, daß das LANCOM, wenn DPD verhandelt wurde, selbst keine DPD-Requests versendet, was hilfreich ist, wenn der Client hinter einem NAT steht (siehe mein vorletztes posting). Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriert

Gruß
Backslash
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Hallo Backslash,
du bist einfach klasse und Gold wert! Meine Freude ist groß! Es funktioniert! Ich mußte noch TCP/UDP Port 88 und AH (TCP Protokoll 51) freischalten.

Vielen, vielen Dank!

Gruß
Dietmar
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo Backslash,
der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt.
und was bedeuten von 0 abweichende Werte?
Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriert
Was wäre denn sinnvoller? DPD oder ICMP-Polling? Und was wäre bei einer normalen LAN-LAN Kopplung ein sinnvoller Wert für die DPD?

Gruß

Mario
froeschi62
Beiträge: 985
Registriert: 13 Dez 2004, 10:44

Beitrag von froeschi62 »

Hallo Backslash,
ich habe mich leider zu früh gefreut. Bin immer noch am kämpfen. Sporadisch funktioniert es, meistens aber nicht. An der Firewall kann ich mich noch authentifizieren, bekomme aber anschließend kein Policyupdate vom Policyserver. Das Zünglein an der Wage scheint der UDP Port 2746 zu sein, den Checkpoint benötigt. Trage ich den als UDP Zielport ein, scheint der Lancom den gar nicht frei zu geben. Mit dem netstat Befehl kann ich sehen welche Ports bei der Verbindung geöffnet werden. Hänge ich ein reines DSL Modem an den Notebook, dann klappt es mit Checkpoint und ich sehe den genutzten Port 2746. Bei Checkpoint wird dieser Port als IKE encapsulated bezeichnet oder so ähnlich.
Gruß
Dietmar
Lancom 1823 VOIP
backslash
Moderator
Moderator
Beiträge: 7152
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

hi eddia
Hallo Backslash,

Zitat:
der Wert 0 bedeutet, daß das LANCOM selbst nicht pollt.


und was bedeuten von 0 abweichende Werte?
nun ja, das gibt das Poll-Intervall an, wobei das Mindestintervall 30 Sekunden beträgt. Wenn innerhalöb des Intervalls keine Antwort kam, dann wird noch ein paar mal im Sekundentakt wiederholt und letztendlich die Verbindung abgebaut...
Zitat:
Ein Abschalten des aktiven Pollings hat aber den Nachteil, daß ein Verbindungsabbruch nicht mehr erkannt werden kann - außer du hat ein ICMP-Polling konfiguriert


Was wäre denn sinnvoller? DPD oder ICMP-Polling?
ICMP-Polling ist sinnvoller, da dies das Vorhandensein der Phase-2 SAs prüft und nicht nur die Pahse-1 SA, wie das DPD. Wenn Du allerdings hochgradig paranoid bist, und pings in der Firewall blockst, hast Du vom ICMP-Polling gar nichts und mußt mit DPD vorlieb nehmen
Und was wäre bei einer normalen LAN-LAN Kopplung ein sinnvoller Wert für die DPD?
Wir verwenden bei uns 60 Sekunden bei Client-Einwahlen.

Bei LAN-LAN-Kopplungen kommt es darauf an, wie schnell der Zusammenbruch bemerkt werden soll. Da der Default für das ICMP-Polling 20 Sekunden und 5 Wiederholungen ist, würde ich beim DPD hier auch das Minimum, d.h. 30 Sekunden, verwenden.

Gruß
Backslash
Antworten