Zum Inhalt wechseln


Foto

Basisfirewall und GRE


  • Bitte melde dich an um zu Antworten
31 Antworten in diesem Thema

#1 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 16:58

Hallo,

habe eine Fragen zur Basisfirewall von W2k3 Server:

Internet ---- DSL-Router----W2k3

Eingehende VPN Verbindungen über PPTP funktionieren, der RAS-Server nimmt diese also an.
Wenn ich nun an der NIC im Server die Basisfirewall aktiviere werden VPN Verbindungen nicht mehr angenommen. So wie ich das verstehe muss ich dieser Firewall die Ports mitteilen für die VPN Einwahl.

Freigeschaltet habe ich für PPTP:
- TCP 113
- TCP 1723 (ist im Server schon vordefiniert)

Aber wie schalte ich jetzt noch GRE und ESP frei?

Ich kann zwar bei den Filtern das Protokoll 47 (GRE) freischalten, aber das wirkt sich auf den gesamten Verkehr aus. Wenn ich das richtig sehe müsste ich dieses Protokoll bei Dienste und Ports einstellen können damit es funktioniert.


mfg

Alex

#2 Darkmind

Darkmind

    Gast

  • 590 Beiträge

 

Geschrieben 15. März 2006 - 17:34

Hallo,

habe eine Fragen zur Basisfirewall von W2k3 Server:

Internet ---- DSL-Router----W2k3

Eingehende VPN Verbindungen über PPTP funktionieren, der RAS-Server nimmt diese also an.
Wenn ich nun an der NIC im Server die Basisfirewall aktiviere werden VPN Verbindungen nicht mehr angenommen. So wie ich das verstehe muss ich dieser Firewall die Ports mitteilen für die VPN Einwahl.

Freigeschaltet habe ich für PPTP:
- TCP 113
- TCP 1723 (ist im Server schon vordefiniert)

Aber wie schalte ich jetzt noch GRE und ESP frei?

Ich kann zwar bei den Filtern das Protokoll 47 (GRE) freischalten, aber das wirkt sich auf den gesamten Verkehr aus. Wenn ich das richtig sehe müsste ich dieses Protokoll bei Dienste und Ports einstellen können damit es funktioniert.


mfg

Alex


Hi Alex.

Für PPTP wird port 113 nicht benötigt.. wie auch ESP (PID 50) nicht. (ESP wird für L2TP benötigt)

TCP 1723 und eben GRE (PID 47) reicht.

Bei der Basisfirewall kann ich dir leider nicht weiterhelfen....

Grüsse

Darkmind
MCSA/MCSE 2003+M , MCTS W2K8, MCITP: Server Administrator W2K8, CCCT, CCNT

Passed: 70-282 / 70-291 / 70-290 / 70-270 / 70-284 / 70-285 / 70-297 / 70-294 / 70-293 / 220-301 / 220-302 / N10-003 / 70-649/71-646

#3 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 18:54

Sind in dem Server zwei Karten oder nur eine ?
Als erstes aktivierst Du unter Dienste und Ports "VPN-Gateway (PPTP)" auf der 127.0.0.1, was alleine schon reichen würde, wenn keine Filter gesetzt sind. Wenn Du eingehende/ausgehende Filter setzen willst (was Du nicht musst), stellst Du die Filter auf eingehend so ein
Zielnetzwerk:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:Weitere (47)
Zielnetzwerk:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:TCP(eingerichtet) Quellport:1723 Zielport:0
Zieladresse:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:TCP Quellport:0 Zielport:1723
und ausgehend
Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:Weitere (47)
Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:TCP Quellport:1723 Zielport:0
Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:TCP Quellport:0 Zielport:1723
Bei beiden wird "Alle Pakete verwerfen ausser den Paketen ..." konfiguriert
Ich bin S-1-5-XXX-500, ich darf das ...

#4 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 19:25

Hallo,

danke für die Antworten.

Ich habe 2 NICs im Server. die Eine ist am DSL-Router und andere Geräte angeschlossen. Die 2. NIC ist fürs interne Netz.

ich habe jetzt nur den Port TCP 1723 an 127.0.0.1 gesetzt. Leider immer noch kein Erfolg. Filter kann ich leider nicht setzen, da dann der andere Netzverkehr (wie ausgehender VPN etc.) unterbrochen wird.

Siehe hierzu:
http://www.microsoft...deplr.mspx#EHAA

da heißt es im Punkt "Multiple Internet Function VPN Server":

If NAT is needed on the VPN server computer, do not configure PPTP and L2TP packet filters or packet filters for other types of traffic. If you configure PPTP and L2TP packet filters on the Internet interface, NAT cannot function. Even though you do not configure any packet filters on the Internet interface of the VPN server computer, the function of the NAT discards any traffic from the Internet that does not correspond to traffic requested by intranet clients.

Also wie gesagt, wenn ich nur die Basisfirewall deaktiviere, funktionert die Einwahl wieder sofort.

mfg
Alex

#5 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 19:28

Das hier steht im Ereignisprotokoll vom VPN Server:

Es wurde eine Verbindung zwischen dem VPN-Server und dem VPN-Client 84.151.13.218 initiiert, aber die VPN-Verbindung konnte nicht hergestellt werden. Der wahrscheinlichste Ursache dafür ist, dass der Firewall bzw. der Router zwischen dem VPN-Server und dem VPN-Client nicht so konfiguriert ist, dass GRE-Pakete (Generic Routing Encapsulation) zugelassen sind (Protokoll 47). Stellen Sie sicher, dass die Firewalls bzw. Router zwischen dem VPN-Server und dem Internet GRE-Pakete zulassen. Stellen Sie ebenfalls sicher, dass die Firewalls bzw. Router im Netzwerk des Benutzers auch so konfiguriert sind, dass GRE-Pakete zugelassen sind. Wenn das Problem weiterhin besteht, sollte der Benutzer sich an den Internetdienstanbieter wenden, um zu ermitteln, ob der Internetdienstanbieter eventuell GRE-Pakete blockt.

#6 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 19:37

Hier ist eine genaue Aufstellung meiner Topologie.
http://www.mcseboard...ead.php?t=85103

#7 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 19:55

Du hast also auf jeder Seite einen DSL-Router und einen Server. Der Server in der Hauptstelle hat 2 Netzwerkkarten, der Server in der Zweigstelle hat eine Netzwerkkarte. Auf den DSL-Routern ist ein Portforwarding TCP 1723 auf die äusseren Serverschnittstellen konfiguriert (bei dem Server mit einer Karte auf diese Karte). Laut Beschreibung ist der Server mit den 2 Karten falsch konfiguriert. Nur die Karte, die zum Router zeigt, bekommt ein Gateway, die andere nicht. Weiterhin sollten beide Karten als bevorzugten DNS-Server die interne Schnittstelle und als sekundären DNS eventuell noch den entfernten DNS-Server haben. Warum ist eine statische Route definiert worden ? Wenn Du via RRAS eine LAN-LAN Verbindung via VPN konfigurierst, wird eine Route erstellt, die über eine "Wählen bei Bedarf" Verbindung aufgebaut wird. Was soll die statische Route an Server 2 ? Und wer ist die 192.168.1.1 ? Konfiguriere die Umleitung so, dass er auf die interne Schnittstelle zeigt, also auf die 192.168.1.101 . Wahrscheinlich wäre das alles viel einfacher, wenn der Server in Standort 2 3 Netzwerkkarten hätte, eine externe und 2 interne ...
Irgendwie entfernt sich das alles jetzt meilenweit von der ursprünglichen Frage ...
edit: ich schaue mir die Topologie seit einer halben Stunde an und habe immer noch nicht verstanden, was das soll :confused:
Ich bin S-1-5-XXX-500, ich darf das ...

#8 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 21:09

Hallo,

ja ich dachte ursprünglich nicht das es so kompliziert ist die Ports für VPN in der Windows Firewall freizugeben. Die restliche Konfiguration wie im Link gepostet funktioniert einwandfrei - nur wollte ich jetzt eben die Firewall zusätzlich aktivieren und dann funktioniert die Einwahl an Standort 2 nicht mehr.

Du hast also auf jeder Seite einen DSL-Router und einen Server.

Genau

Der Server in der Hauptstelle hat 2 Netzwerkkarten, der Server in der Zweigstelle hat eine Netzwerkkarte.

Es ist eigentlich umgekehrt: Standort 1 ist die Hauptstelle. Diese hat nur eine NIC. Allerdings geht es in diesem Post erst mal nur um Standort 2.


Auf den DSL-Routern ist ein Portforwarding TCP 1723 auf die äusseren Serverschnittstellen konfiguriert (bei dem Server mit einer Karte auf diese Karte). Laut Beschreibung ist der Server mit den 2 Karten falsch konfiguriert.
Nur die Karte, die zum Router zeigt, bekommt ein Gateway, die andere nicht. Weiterhin sollten beide Karten als bevorzugten DNS-Server die interne Schnittstelle und als sekundären DNS eventuell noch den entfernten DNS-Server haben.


Ok, das habe ich schon geändert:
- Nur die externe Karte hat einen Gateway (den DSL-Router)
- Welchen DNS (für intern) nehme ich als Adresse? einfach die jweilige Adresse der jeweiligen Karte? Also z.B.:
NIC1:
IP: 192.168.0.101
DNS: 192.168.0.101
NIC2:
IP: 192.168.1.101
DNS: 192.168..1.101

Bei beiden den Sekundären DNS: auf 192.168.123.100

Warum ist eine statische Route definiert worden ? Wenn Du via RRAS eine LAN-LAN Verbindung via VPN konfigurierst, wird eine Route erstellt, die über eine "Wählen bei Bedarf" Verbindung aufgebaut wird.


Genau das ist die statische Route die vom Assi generiert worden ist. An jedem Standort existiert eine statische Route zum entferten Netz.

Was soll die statische Route an Server 2 ? Und wer ist die 192.168.1.1 ?


Am zweiten Standort war im DSL-Router noch eine statische Router aktiviert, diese ist mittlerweile gelöscht.
die 192.168.1.1 ist ein Schreibfehler. Das müsste eigentlich 192.168.0.1

Irgendwie entfernt sich das alles jetzt meilenweit von der ursprünglichen Frage ...



Am Standort 2 (mit den zwei NICs) ist einmal NAT für die Internet-NIC aktiviert (0.0) und NAT für das entfernet VPN Netz (123.0). Ohne diese beiden Einstellungen würde ich a) nicht ins Internet kommen und B) nicht in das entfernte VPN Netz.

Alex

edit:
Aber es geht eigentlich nur darum wie ich die Basisfirewall konfiguriere (Port 1723 ist freigeschaltet) in einem Win 2003 Server mit 2 Netzwerkkarten und eine davon hängt am DSL-Router dran. An dieser ist auch die Firewall mit NAT im RAS Menü eingestellt. Der Router lässt alles wichtige durch, da mit deaktivierter Firewall eine eingehende VPN Verbindunge eines SBS2003 funktioniert.

#9 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 21:43

Aha, so langsam kommt Licht in die Sache :) , ich schau mir das noch mal in Ruhe an, mit den neuen Infos ... Wenn die Basisfirewall auf dem Server an ist, der nur eine Karte hat, sollten normale Verbindungen von den Client in seinem Netz zu ihm auch nicht mehr funktionieren, sofern keine oder nur die VPN-Filter gesetzt sind, korrekt ? Daher denke ich, dass das nichts wird mit der Basisfirewall, wenn Du nur eine Schnittstelle hast ...
Ich bin S-1-5-XXX-500, ich darf das ...

#10 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 22:09

Hallo,

leider haben wir uns immer noch nicht ganz verstanden. Der Server mit dem Problem hat 2 Netzwerkkarten:

Internet <=> DSL Router <= Subnetz 192.168.0.0 => NIC1 = W2k3 = NIC2 => Intranet LAN

DSL Router: 192.168.0.1
NIC1: 192.168.0.101
NIC2: 192.168.1.101

Wenn ich jetzt die Basisfirewall aktiviere, dann funktioniert zwar alles, aber die Einwahl eines VPN Clients von außen geht nicht mehr. Weil ich meiner Meinung nach 1723 TCP und GRE freischalten müsste.

Alex

edit:
ich habe jetzt nochmals die Filter so gesetzt wie du das oben vorgeschlagen hast. Der erste Effekt ist, das dass Internet nicht mehr funktioniert (eigentlich klar weil ja alle außer den Paketen im Filter verworfen werden). Leider funktioniert auch die VPN Einwahl nicht.

Würde die VPN Einwahl mit Filtern funktionieren, dann könnte man evtl. noch eine dritte Netzwerkkarte einbauen.
1x für das interne LAN
1x für die DMZ 192.168.0.0 (NAT und Basisfirewall)
1x für die VPN Ein- und Ausgehenden Verbindungen (NAT und Basisfirewall mit Filtern)

nochmals edit:
könnte es sein, dass ich die RAS Konfiguration nochmals neu über den Assi konfigurieren sollte. Weil bei der ersten Konfig war die interne Karte noch nicht mit dem LAN verbunden. Obwohl ich mir das nicht vorstellen kann, das es Einstellungen gibt welcher der Assi machen kann und man später nicht mehr ändern könnte. Ich probiere das jetzt mal - vielleicht schlägt mir der Assi dann die korrekten Einstellungen vor.

#11 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 22:25

Hm, nein, das sollte eigentlich funktionieren, wenn Du die Umleitung auf die 192.168.1.101 definierst (VPN-Server(PPTP)) . Habe das gerade mal probiert, RRAS, 2 Netzwerkkarten, NAT/Basisfirewall, keine Filter auf der externen Schnittstelle. Die Umleitung schaltet die benötigten Ports durch ...
Ich bin S-1-5-XXX-500, ich darf das ...

#12 Darkmind

Darkmind

    Gast

  • 590 Beiträge

 

Geschrieben 15. März 2006 - 22:27

Hi xelafield

mische mich wieder mal ein :eek: *duck*

Darf ich schnell fragen was du für eine Fehlermeldung bzw. fehlernummer beim Client bekommst ?

Grüsse

Darkmind
MCSA/MCSE 2003+M , MCTS W2K8, MCITP: Server Administrator W2K8, CCCT, CCNT

Passed: 70-282 / 70-291 / 70-290 / 70-270 / 70-284 / 70-285 / 70-297 / 70-294 / 70-293 / 220-301 / 220-302 / N10-003 / 70-649/71-646

#13 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 22:30

Wenn ich jetzt die Basisfirewall aktiviere, dann funktioniert zwar alles, aber die Einwahl eines VPN Clients von außen geht nicht mehr. Weil ich meiner Meinung nach 1723 TCP und GRE freischalten müsste.

Das ist schon durch die Umleitung in Dienste und Ports geschehen , da muss man nicht mehr machen. Wenn der Basisfirewall läuft, lässt er standardmässig keine von aussen initierten Verbindungen zu, ausser denen, die in der Umleitung definiert wurden ...
Starte den RRAS-Dienst mal neu, wirkzt manchmal Wunder ...
Ich bin S-1-5-XXX-500, ich darf das ...

#14 xelafield

xelafield

    Registered User

  • 61 Beiträge

 

Geschrieben 15. März 2006 - 22:47

Hallo,

die Fehlermeldung auf dem Client (SBS 2003) lautet:
Grund für nicht erreichbarkeit im RAS.
Der letzte Verbindungsversuch ist aus folgendem Grund fehlgeschlagen:
Die Verbindung wurde von dem Remotecomputer getrennt, bevor sie hergestelt werden konnte.

Im Errorlog habe ich noch nichts diesbezüglich gefunden.

Mit Umleitung meint ihr die Portfreigaben unter "Dienste und Ports". Da habe ich 1723 und 1701 (falls doch was per L2TP ankommt) freigeschaltet.

Jetzt habe ich mal beide Ports nicht auf die externe NIC sonder auf die interne NIC umgeschaltet 192.168.1.101

Alex

#15 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 15. März 2006 - 22:50

Ja genau, so soll es auch sein, auf die interne, nicht auf die externe ...
Ich bin S-1-5-XXX-500, ich darf das ...