Routingproblem DMZ-LAN-VPN-LAN

[MaRoediger]

Hallo Experten,

bei folgendem Routingproblem stehe ich auf dem Schlauch und würde Eure Hilfe benötigen:

Standort 1:
Lancom1 mit DMZ und LAN

Standort 2:
Lancom2 mit DMZ und LAN

Beide Standorte sind per VPN verbunden. Die LANs können wechselseitig problemlos kommunizieren.
Ich möchte nun von einem Server (MDM-Gatewy) mit öffentlicher IP in der DMZ am Standort 1 einen Server im LAN von Standort 2 kontaktieren.
Irgendwie bekomme ich das nicht hin.
Kann mich da irgendwer erleuchten?

Vielen Dank im Voraus!

Mario

[backslash]

Hi MaRoediger

Ich möchte nun von einem Server (MDM-Gatewy) mit öffentlicher IP in der DMZ am Standort 1 einen Server im LAN von Standort 2 kontaktieren.
Irgendwie bekomme ich das nicht hin.
Kann mich da irgendwer erleuchten?

als erstes brauchst du dazu im LANCOM am Standort 2 eine Route zur DMZ des Standort 1, die über den VPN-Tunnel läuft.

Und dann brauchst du im Standort 1 noch eine VPN-Regel, die Traffic von der DMZ zum LAN des Standort 2 zuläßt, denn bei der automatischen Regelerzeugung werden Netze vom Typ DMZ nicht berücksichtigt:

Code: Alles auswählen

Name:    ALLOW_DMZ_VPN
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen
[x] diese Regel ist für die Firewall aktiv

Quelle:  Alle Stationen im lokalen Netz DMZ
Ziel:    Gegenstelle VPN
Dienste: alle Dienste

Auf Standort 2 hingegen ist keine weitere Regel nötig - da ist alles mit der Route erledigt.


Dennoch solltest du dir das ganz genau überlegen, denn das birgt ein Sicherheitsrisiko, da die DMZ "frei" im Internet zugänglich ist. Wenn ein Angreifer es schafft, einen Server in der DMZ zu kapern, hat er sofort freien Zugang in dein Netz...

Gruß
Backslash

[MaRoediger]

Hallo Backslash,
vielen Dank für Deine schnelle Antwort.
Ich habe wieder keine Benachrichtigung über eine eingegangene Antwort bekommen, obwohl ich das aktiviert habe. Das ist auch früher schon passiert. Sonst hätte ich schon eher geantwortet.

Hier noch zwei Fragen:

als erstes brauchst du dazu im LANCOM am Standort 2 eine Route zur DMZ des Standort 1, die über den VPN-Tunnel läuft.

IP des Servers in der DMZ in Standort 1 - Subnetmask .... - Router im Standort 1 - Maskierung: aus.
Ist das so richtig?

Vielen Dank auch für Deinen Sicherheitshinweis.
Mir gefällt das auch nicht aber die momentane Konstruktion ist noch schlimmer.
Um konkret zu sein:
Es geht um die Einrichtung eines MDM mit einem Gateway/Proxy in der DMZ. Ziel ist ein im Lan am 2. Standort befindlicher Exchange-Server und es geht auch nur um den Port 443. Mit dem vorgeschalteten Gateway soll am Ende ereicht werden, daß einerseits nur Mobilgeräte auf den Exchange zugreifen können, die dort registriert sind und andererseits der Exchange nur über das Gateway angesprochen werden kann und nicht direkt (OWA).

Also müßte die Firewall-Regel an Standort 1 so aussehen:

Code: Alles auswählen

Name:    ALLOW_DMZ_VPN
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen
[x] diese Regel ist für die Firewall aktiv

Quelle:  Public IP des Gateways in der DMZ
Ziel:    lokale IP des Exchange-Servers am Standort 2 (oder was ist mit "Gegenstelle VPN" gemeint?)
Dienste: TCP 443

Stimmt das so?

Beste Grüße
Mario

[backslash]

Hi MaRoediger,

IP des Servers in der DMZ in Standort 1 - Subnetmask .... - Router im Standort 1 - Maskierung: aus.

Wenn nur der Server (das ist dann wohl das MDM-Gateway) erreicht werden soll, dann ja... IP des Gateways, als Netzmaske die 255.255.255.255 und als Ziel aber den Namen der VPN-Verbindung, *NICHT* die IP des Routers im Standort 1

Also müßte die Firewall-Regel an Standort 1 so aussehen:

Code: Alles auswählen

Name:    ALLOW_DMZ_VPN
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen
[x] diese Regel ist für die Firewall aktiv

Quelle:  Public IP des Gateways in der DMZ
Ziel:    lokale IP des Exchange-Servers am Standort 2 (oder was ist mit "Gegenstelle VPN" gemeint?)
Dienste: TCP 443

Stimmt das so?

jain... als Ziel meine ich wirklich die VPN-Gegenstelle, also in dem Dialog für die Ziel-Stationen

Code: Alles auswählen

(*) Eine bestimmte Gegestelle: <Name der VPN-Verbindung>

Es geht darum, mit der Regel die benötigte SA zu definieren. Wenn du da nur eine IP als Ziel einträgst, dann passen die Netzwerk-Definitionen der beiden Seiten nicht zusammen (die andere Seite meldet ihr ganzes LAN) und die SA wird nicht aufgebaut.

Gruß
Backslash

[MaRoediger]

Vielen Dank für Deine Bemühungen, Backslash.
Ich werde das Ganze so schnell wie möglich ausprobieren und dann berichten, ob ich klargekommen bin.
Im Moment habe ich noch ein dringenderes Problem, aber dazu mache ich besser ein nues Thema auf.
Beste Grüße
Mario

[MaRoediger]

Hallo Backslash,

leider habe ich das Ganze bisher nicht hinbekommen. Vermutlich mache ich doch etwas falsch.
Ich habe jetzt testweise mal einen anderen Server in der DMZ genommen, weil ich von dort aus einfacher testen kann als vom Gateway.

Wenn ich es richtig verstanden habe, muß ich nur zwei Enträge vornehmen:
1. im Lancom2 (da, wo der Exchange-Server im LAN steht) habe ich einen Routing-Eintrag vorgenommen:
Public IP des Servers in der DMZ des Standortes 1 | 255.255.255.255 | 0 | An, sticky für RIP | <Name der Verbindung zum Lancom1> | 0 | Aus

2. Im Lancom1 (da, wo der DMZ-Server steht) habe ich eine Firewall-Regel erstellt:

Code: Alles auswählen

Name:    ALLOW_DMZ_VPN
[x] Diese Regel ist für die Firewall aktiv.
[x] Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen.
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] Diese Regel hält die Verbindungszustände nach (empfohlen).

Aktion:  Übertragen
Quelle:  Public IP des Servers in der DMZ des Standortes 1
Ziel:    Eine bestimmte Gegestelle: <Name der VPN-Verbindung zum Lancom2>
Dienste: alle (Nur zum Test!)

Wenn ich das so mache, bricht der Tunnel sofort zusammen, wobei die Firewall-Regel der Grund dafür ist und nicht der Routingeintrag.
Was mache ich falsch?

Beste Grüße

Mario

[backslash]

Hi MaRoediger,

Wenn ich es richtig verstanden habe, muß ich nur zwei Enträge vornehmen:
1. im Lancom2 (da, wo der Exchange-Server im LAN steht) habe ich einen Routing-Eintrag vorgenommen:
Public IP des Servers in der DMZ des Standortes 1 | 255.255.255.255 | 0 | An, sticky für RIP | <Name der Verbindung zum Lancom1> | 0 | Aus

2. Im Lancom1 (da, wo der DMZ-Server steht) habe ich eine Firewall-Regel erstellt:

Code: Alles auswählen

Name:    ALLOW_DMZ_VPN
[x] Diese Regel ist für die Firewall aktiv.
[x] Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen.
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] Diese Regel hält die Verbindungszustände nach (empfohlen).

Aktion:  Übertragen
Quelle:  Public IP des Servers in der DMZ des Standortes 1
Ziel:    Eine bestimmte Gegestelle: <Name der VPN-Verbindung zum Lancom2>
Dienste: alle (Nur zum Test!)

korrekt, wobei du auch das Häkchen bei "Diese Regel hält die Verbindungszustände nach" setzen solltest (das hat aber keinen Einfluß auf das eigenliche Problem)

Wenn ich das so mache, bricht der Tunnel sofort zusammen, wobei die Firewall-Regel der Grund dafür ist und nicht der Routingeintrag.
Was mache ich falsch?

Die VPN-Firewall-Regel in Lancom1 ist dazu da, die für die Kommunikation mit dem Server in der DMZ nötige SA zu etablieren, da für ARF-Nezte vom Typ "DMZ" keine bei automatischer Regelerzeugung keine SA-Regeln erstellt werden.
In Lancom2 wird die SA-Regel aufgrund der Route erstellt, da der Server ja in einem ARF-Netz vom Typ "Intranet" steht was von der automaistchen Regelerzeugung erfaßt wird.

Sobald du die Regel und Route aktivierst, sollte einfach nur die nötiuge SA ausgehandelt werden. Der Tunnel sollte nicht abbrechen. Da mußt du wohlö in die Tiefe gehen und auf beiden Seiten im CLI mittels "show vpn" die VPN-Regeln anzeigen lassen. Die müssen auf beiden Seiten spiegelbildlich gleich sein. Wie hast du eigentlich den Schalter für die Regelerzeugung an der VPN-Verbindung stehen? Der sollte auf "automatisch" stehen.

Wenn der Tunnel hingegen einfach abbricht und nicht mehr aufgebaut wird, dann kann auch ein Blick ein einen VPN-Status-Trace (auf beiden Seiten) Aufschluß geben, was das eine oder andere LANCOM nicht mag.

Gruß
Backslash