Routingproblem DMZ-LAN-VPN-LAN
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 66
- Registriert: 23 Jun 2018, 18:37
Routingproblem DMZ-LAN-VPN-LAN
Hallo Experten,
bei folgendem Routingproblem stehe ich auf dem Schlauch und würde Eure Hilfe benötigen:
Standort 1:
Lancom1 mit DMZ und LAN
Standort 2:
Lancom2 mit DMZ und LAN
Beide Standorte sind per VPN verbunden. Die LANs können wechselseitig problemlos kommunizieren.
Ich möchte nun von einem Server (MDM-Gatewy) mit öffentlicher IP in der DMZ am Standort 1 einen Server im LAN von Standort 2 kontaktieren.
Irgendwie bekomme ich das nicht hin.
Kann mich da irgendwer erleuchten?
Vielen Dank im Voraus!
Mario
bei folgendem Routingproblem stehe ich auf dem Schlauch und würde Eure Hilfe benötigen:
Standort 1:
Lancom1 mit DMZ und LAN
Standort 2:
Lancom2 mit DMZ und LAN
Beide Standorte sind per VPN verbunden. Die LANs können wechselseitig problemlos kommunizieren.
Ich möchte nun von einem Server (MDM-Gatewy) mit öffentlicher IP in der DMZ am Standort 1 einen Server im LAN von Standort 2 kontaktieren.
Irgendwie bekomme ich das nicht hin.
Kann mich da irgendwer erleuchten?
Vielen Dank im Voraus!
Mario
Re: Routingproblem DMZ-LAN-VPN-LAN
Hi MaRoediger
Und dann brauchst du im Standort 1 noch eine VPN-Regel, die Traffic von der DMZ zum LAN des Standort 2 zuläßt, denn bei der automatischen Regelerzeugung werden Netze vom Typ DMZ nicht berücksichtigt:
Auf Standort 2 hingegen ist keine weitere Regel nötig - da ist alles mit der Route erledigt.
Dennoch solltest du dir das ganz genau überlegen, denn das birgt ein Sicherheitsrisiko, da die DMZ "frei" im Internet zugänglich ist. Wenn ein Angreifer es schafft, einen Server in der DMZ zu kapern, hat er sofort freien Zugang in dein Netz...
Gruß
Backslash
als erstes brauchst du dazu im LANCOM am Standort 2 eine Route zur DMZ des Standort 1, die über den VPN-Tunnel läuft.Ich möchte nun von einem Server (MDM-Gatewy) mit öffentlicher IP in der DMZ am Standort 1 einen Server im LAN von Standort 2 kontaktieren.
Irgendwie bekomme ich das nicht hin.
Kann mich da irgendwer erleuchten?
Und dann brauchst du im Standort 1 noch eine VPN-Regel, die Traffic von der DMZ zum LAN des Standort 2 zuläßt, denn bei der automatischen Regelerzeugung werden Netze vom Typ DMZ nicht berücksichtigt:
Code: Alles auswählen
Name: ALLOW_DMZ_VPN
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen
[x] diese Regel ist für die Firewall aktiv
Quelle: Alle Stationen im lokalen Netz DMZ
Ziel: Gegenstelle VPN
Dienste: alle Dienste
Dennoch solltest du dir das ganz genau überlegen, denn das birgt ein Sicherheitsrisiko, da die DMZ "frei" im Internet zugänglich ist. Wenn ein Angreifer es schafft, einen Server in der DMZ zu kapern, hat er sofort freien Zugang in dein Netz...
Gruß
Backslash
-
- Beiträge: 66
- Registriert: 23 Jun 2018, 18:37
Re: Routingproblem DMZ-LAN-VPN-LAN
Hallo Backslash,
vielen Dank für Deine schnelle Antwort.
Ich habe wieder keine Benachrichtigung über eine eingegangene Antwort bekommen, obwohl ich das aktiviert habe. Das ist auch früher schon passiert. Sonst hätte ich schon eher geantwortet.
Hier noch zwei Fragen:
Ist das so richtig?
Vielen Dank auch für Deinen Sicherheitshinweis.
Mir gefällt das auch nicht aber die momentane Konstruktion ist noch schlimmer.
Um konkret zu sein:
Es geht um die Einrichtung eines MDM mit einem Gateway/Proxy in der DMZ. Ziel ist ein im Lan am 2. Standort befindlicher Exchange-Server und es geht auch nur um den Port 443. Mit dem vorgeschalteten Gateway soll am Ende ereicht werden, daß einerseits nur Mobilgeräte auf den Exchange zugreifen können, die dort registriert sind und andererseits der Exchange nur über das Gateway angesprochen werden kann und nicht direkt (OWA).
Also müßte die Firewall-Regel an Standort 1 so aussehen:
Stimmt das so?
Beste Grüße
Mario
vielen Dank für Deine schnelle Antwort.
Ich habe wieder keine Benachrichtigung über eine eingegangene Antwort bekommen, obwohl ich das aktiviert habe. Das ist auch früher schon passiert. Sonst hätte ich schon eher geantwortet.
Hier noch zwei Fragen:
IP des Servers in der DMZ in Standort 1 - Subnetmask .... - Router im Standort 1 - Maskierung: aus.als erstes brauchst du dazu im LANCOM am Standort 2 eine Route zur DMZ des Standort 1, die über den VPN-Tunnel läuft.
Ist das so richtig?
Vielen Dank auch für Deinen Sicherheitshinweis.
Mir gefällt das auch nicht aber die momentane Konstruktion ist noch schlimmer.
Um konkret zu sein:
Es geht um die Einrichtung eines MDM mit einem Gateway/Proxy in der DMZ. Ziel ist ein im Lan am 2. Standort befindlicher Exchange-Server und es geht auch nur um den Port 443. Mit dem vorgeschalteten Gateway soll am Ende ereicht werden, daß einerseits nur Mobilgeräte auf den Exchange zugreifen können, die dort registriert sind und andererseits der Exchange nur über das Gateway angesprochen werden kann und nicht direkt (OWA).
Also müßte die Firewall-Regel an Standort 1 so aussehen:
Code: Alles auswählen
Name: ALLOW_DMZ_VPN
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen
[x] diese Regel ist für die Firewall aktiv
Quelle: Public IP des Gateways in der DMZ
Ziel: lokale IP des Exchange-Servers am Standort 2 (oder was ist mit "Gegenstelle VPN" gemeint?)
Dienste: TCP 443
Beste Grüße
Mario
Re: Routingproblem DMZ-LAN-VPN-LAN
Hi MaRoediger,
Es geht darum, mit der Regel die benötigte SA zu definieren. Wenn du da nur eine IP als Ziel einträgst, dann passen die Netzwerk-Definitionen der beiden Seiten nicht zusammen (die andere Seite meldet ihr ganzes LAN) und die SA wird nicht aufgebaut.
Gruß
Backslash
Wenn nur der Server (das ist dann wohl das MDM-Gateway) erreicht werden soll, dann ja... IP des Gateways, als Netzmaske die 255.255.255.255 und als Ziel aber den Namen der VPN-Verbindung, *NICHT* die IP des Routers im Standort 1IP des Servers in der DMZ in Standort 1 - Subnetmask .... - Router im Standort 1 - Maskierung: aus.
jain... als Ziel meine ich wirklich die VPN-Gegenstelle, also in dem Dialog für die Ziel-StationenAlso müßte die Firewall-Regel an Standort 1 so aussehen:Stimmt das so?Code: Alles auswählen
Name: ALLOW_DMZ_VPN [x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen [x] diese Regel ist für die Firewall aktiv Quelle: Public IP des Gateways in der DMZ Ziel: lokale IP des Exchange-Servers am Standort 2 (oder was ist mit "Gegenstelle VPN" gemeint?) Dienste: TCP 443
Code: Alles auswählen
(*) Eine bestimmte Gegestelle: <Name der VPN-Verbindung>
Gruß
Backslash
-
- Beiträge: 66
- Registriert: 23 Jun 2018, 18:37
Re: Routingproblem DMZ-LAN-VPN-LAN
Vielen Dank für Deine Bemühungen, Backslash.
Ich werde das Ganze so schnell wie möglich ausprobieren und dann berichten, ob ich klargekommen bin.
Im Moment habe ich noch ein dringenderes Problem, aber dazu mache ich besser ein nues Thema auf.
Beste Grüße
Mario
Ich werde das Ganze so schnell wie möglich ausprobieren und dann berichten, ob ich klargekommen bin.
Im Moment habe ich noch ein dringenderes Problem, aber dazu mache ich besser ein nues Thema auf.
Beste Grüße
Mario
-
- Beiträge: 66
- Registriert: 23 Jun 2018, 18:37
Re: Routingproblem DMZ-LAN-VPN-LAN
Hallo Backslash,
leider habe ich das Ganze bisher nicht hinbekommen. Vermutlich mache ich doch etwas falsch.
Ich habe jetzt testweise mal einen anderen Server in der DMZ genommen, weil ich von dort aus einfacher testen kann als vom Gateway.
Wenn ich es richtig verstanden habe, muß ich nur zwei Enträge vornehmen:
1. im Lancom2 (da, wo der Exchange-Server im LAN steht) habe ich einen Routing-Eintrag vorgenommen:
Public IP des Servers in der DMZ des Standortes 1 | 255.255.255.255 | 0 | An, sticky für RIP | <Name der Verbindung zum Lancom1> | 0 | Aus
2. Im Lancom1 (da, wo der DMZ-Server steht) habe ich eine Firewall-Regel erstellt:
Wenn ich das so mache, bricht der Tunnel sofort zusammen, wobei die Firewall-Regel der Grund dafür ist und nicht der Routingeintrag.
Was mache ich falsch?
Beste Grüße
Mario
leider habe ich das Ganze bisher nicht hinbekommen. Vermutlich mache ich doch etwas falsch.
Ich habe jetzt testweise mal einen anderen Server in der DMZ genommen, weil ich von dort aus einfacher testen kann als vom Gateway.
Wenn ich es richtig verstanden habe, muß ich nur zwei Enträge vornehmen:
1. im Lancom2 (da, wo der Exchange-Server im LAN steht) habe ich einen Routing-Eintrag vorgenommen:
Public IP des Servers in der DMZ des Standortes 1 | 255.255.255.255 | 0 | An, sticky für RIP | <Name der Verbindung zum Lancom1> | 0 | Aus
2. Im Lancom1 (da, wo der DMZ-Server steht) habe ich eine Firewall-Regel erstellt:
Code: Alles auswählen
Name: ALLOW_DMZ_VPN
[x] Diese Regel ist für die Firewall aktiv.
[x] Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen.
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] Diese Regel hält die Verbindungszustände nach (empfohlen).
Aktion: Übertragen
Quelle: Public IP des Servers in der DMZ des Standortes 1
Ziel: Eine bestimmte Gegestelle: <Name der VPN-Verbindung zum Lancom2>
Dienste: alle (Nur zum Test!)
Was mache ich falsch?
Beste Grüße
Mario
Re: Routingproblem DMZ-LAN-VPN-LAN
Hi MaRoediger,
In Lancom2 wird die SA-Regel aufgrund der Route erstellt, da der Server ja in einem ARF-Netz vom Typ "Intranet" steht was von der automaistchen Regelerzeugung erfaßt wird.
Sobald du die Regel und Route aktivierst, sollte einfach nur die nötiuge SA ausgehandelt werden. Der Tunnel sollte nicht abbrechen. Da mußt du wohlö in die Tiefe gehen und auf beiden Seiten im CLI mittels "show vpn" die VPN-Regeln anzeigen lassen. Die müssen auf beiden Seiten spiegelbildlich gleich sein. Wie hast du eigentlich den Schalter für die Regelerzeugung an der VPN-Verbindung stehen? Der sollte auf "automatisch" stehen.
Wenn der Tunnel hingegen einfach abbricht und nicht mehr aufgebaut wird, dann kann auch ein Blick ein einen VPN-Status-Trace (auf beiden Seiten) Aufschluß geben, was das eine oder andere LANCOM nicht mag.
Gruß
Backslash
korrekt, wobei du auch das Häkchen bei "Diese Regel hält die Verbindungszustände nach" setzen solltest (das hat aber keinen Einfluß auf das eigenliche Problem)Wenn ich es richtig verstanden habe, muß ich nur zwei Enträge vornehmen:
1. im Lancom2 (da, wo der Exchange-Server im LAN steht) habe ich einen Routing-Eintrag vorgenommen:
Public IP des Servers in der DMZ des Standortes 1 | 255.255.255.255 | 0 | An, sticky für RIP | <Name der Verbindung zum Lancom1> | 0 | Aus
2. Im Lancom1 (da, wo der DMZ-Server steht) habe ich eine Firewall-Regel erstellt:
Code: Alles auswählen
Name: ALLOW_DMZ_VPN [x] Diese Regel ist für die Firewall aktiv. [x] Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) herangezogen. [ ] Weitere Regeln beachten, nachdem diese Regel zutrifft [ ] Diese Regel hält die Verbindungszustände nach (empfohlen). Aktion: Übertragen Quelle: Public IP des Servers in der DMZ des Standortes 1 Ziel: Eine bestimmte Gegestelle: <Name der VPN-Verbindung zum Lancom2> Dienste: alle (Nur zum Test!)
Die VPN-Firewall-Regel in Lancom1 ist dazu da, die für die Kommunikation mit dem Server in der DMZ nötige SA zu etablieren, da für ARF-Nezte vom Typ "DMZ" keine bei automatischer Regelerzeugung keine SA-Regeln erstellt werden.Wenn ich das so mache, bricht der Tunnel sofort zusammen, wobei die Firewall-Regel der Grund dafür ist und nicht der Routingeintrag.
Was mache ich falsch?
In Lancom2 wird die SA-Regel aufgrund der Route erstellt, da der Server ja in einem ARF-Netz vom Typ "Intranet" steht was von der automaistchen Regelerzeugung erfaßt wird.
Sobald du die Regel und Route aktivierst, sollte einfach nur die nötiuge SA ausgehandelt werden. Der Tunnel sollte nicht abbrechen. Da mußt du wohlö in die Tiefe gehen und auf beiden Seiten im CLI mittels "show vpn" die VPN-Regeln anzeigen lassen. Die müssen auf beiden Seiten spiegelbildlich gleich sein. Wie hast du eigentlich den Schalter für die Regelerzeugung an der VPN-Verbindung stehen? Der sollte auf "automatisch" stehen.
Wenn der Tunnel hingegen einfach abbricht und nicht mehr aufgebaut wird, dann kann auch ein Blick ein einen VPN-Status-Trace (auf beiden Seiten) Aufschluß geben, was das eine oder andere LANCOM nicht mag.
Gruß
Backslash