Jump to content

Basisfirewall und GRE


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

habe eine Fragen zur Basisfirewall von W2k3 Server:

 

Internet ---- DSL-Router----W2k3

 

Eingehende VPN Verbindungen über PPTP funktionieren, der RAS-Server nimmt diese also an.

Wenn ich nun an der NIC im Server die Basisfirewall aktiviere werden VPN Verbindungen nicht mehr angenommen. So wie ich das verstehe muss ich dieser Firewall die Ports mitteilen für die VPN Einwahl.

 

Freigeschaltet habe ich für PPTP:

- TCP 113

- TCP 1723 (ist im Server schon vordefiniert)

 

Aber wie schalte ich jetzt noch GRE und ESP frei?

 

Ich kann zwar bei den Filtern das Protokoll 47 (GRE) freischalten, aber das wirkt sich auf den gesamten Verkehr aus. Wenn ich das richtig sehe müsste ich dieses Protokoll bei Dienste und Ports einstellen können damit es funktioniert.

 

 

mfg

 

Alex

Link zu diesem Kommentar
Hallo,

 

habe eine Fragen zur Basisfirewall von W2k3 Server:

 

Internet ---- DSL-Router----W2k3

 

Eingehende VPN Verbindungen über PPTP funktionieren, der RAS-Server nimmt diese also an.

Wenn ich nun an der NIC im Server die Basisfirewall aktiviere werden VPN Verbindungen nicht mehr angenommen. So wie ich das verstehe muss ich dieser Firewall die Ports mitteilen für die VPN Einwahl.

 

Freigeschaltet habe ich für PPTP:

- TCP 113

- TCP 1723 (ist im Server schon vordefiniert)

 

Aber wie schalte ich jetzt noch GRE und ESP frei?

 

Ich kann zwar bei den Filtern das Protokoll 47 (GRE) freischalten, aber das wirkt sich auf den gesamten Verkehr aus. Wenn ich das richtig sehe müsste ich dieses Protokoll bei Dienste und Ports einstellen können damit es funktioniert.

 

 

mfg

 

Alex

 

Hi Alex.

 

Für PPTP wird port 113 nicht benötigt.. wie auch ESP (PID 50) nicht. (ESP wird für L2TP benötigt)

 

TCP 1723 und eben GRE (PID 47) reicht.

 

Bei der Basisfirewall kann ich dir leider nicht weiterhelfen....

 

Grüsse

 

Darkmind

Link zu diesem Kommentar

Sind in dem Server zwei Karten oder nur eine ?

Als erstes aktivierst Du unter Dienste und Ports "VPN-Gateway (PPTP)" auf der 127.0.0.1, was alleine schon reichen würde, wenn keine Filter gesetzt sind. Wenn Du eingehende/ausgehende Filter setzen willst (was Du nicht musst), stellst Du die Filter auf eingehend so ein

Zielnetzwerk:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:Weitere (47)

Zielnetzwerk:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:TCP(eingerichtet) Quellport:1723 Zielport:0

Zieladresse:<IP des Servers> Zielmaske:255.255.255.255 Protokoll:TCP Quellport:0 Zielport:1723

und ausgehend

Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:Weitere (47)

Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:TCP Quellport:1723 Zielport:0

Quellnetzwerk:<IP des Servers> Quellmaske:255.255.255.255 Protokoll:TCP Quellport:0 Zielport:1723

Bei beiden wird "Alle Pakete verwerfen ausser den Paketen ..." konfiguriert

Link zu diesem Kommentar

Hallo,

 

danke für die Antworten.

 

Ich habe 2 NICs im Server. die Eine ist am DSL-Router und andere Geräte angeschlossen. Die 2. NIC ist fürs interne Netz.

 

ich habe jetzt nur den Port TCP 1723 an 127.0.0.1 gesetzt. Leider immer noch kein Erfolg. Filter kann ich leider nicht setzen, da dann der andere Netzverkehr (wie ausgehender VPN etc.) unterbrochen wird.

 

Siehe hierzu:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpndeplr.mspx#EHAA

 

da heißt es im Punkt "Multiple Internet Function VPN Server":

 

If NAT is needed on the VPN server computer, do not configure PPTP and L2TP packet filters or packet filters for other types of traffic. If you configure PPTP and L2TP packet filters on the Internet interface, NAT cannot function. Even though you do not configure any packet filters on the Internet interface of the VPN server computer, the function of the NAT discards any traffic from the Internet that does not correspond to traffic requested by intranet clients.

 

Also wie gesagt, wenn ich nur die Basisfirewall deaktiviere, funktionert die Einwahl wieder sofort.

 

mfg

Alex

Link zu diesem Kommentar

Das hier steht im Ereignisprotokoll vom VPN Server:

 

Es wurde eine Verbindung zwischen dem VPN-Server und dem VPN-Client 84.151.13.218 initiiert, aber die VPN-Verbindung konnte nicht hergestellt werden. Der wahrscheinlichste Ursache dafür ist, dass der Firewall bzw. der Router zwischen dem VPN-Server und dem VPN-Client nicht so konfiguriert ist, dass GRE-Pakete (Generic Routing Encapsulation) zugelassen sind (Protokoll 47). Stellen Sie sicher, dass die Firewalls bzw. Router zwischen dem VPN-Server und dem Internet GRE-Pakete zulassen. Stellen Sie ebenfalls sicher, dass die Firewalls bzw. Router im Netzwerk des Benutzers auch so konfiguriert sind, dass GRE-Pakete zugelassen sind. Wenn das Problem weiterhin besteht, sollte der Benutzer sich an den Internetdienstanbieter wenden, um zu ermitteln, ob der Internetdienstanbieter eventuell GRE-Pakete blockt.

Link zu diesem Kommentar

Du hast also auf jeder Seite einen DSL-Router und einen Server. Der Server in der Hauptstelle hat 2 Netzwerkkarten, der Server in der Zweigstelle hat eine Netzwerkkarte. Auf den DSL-Routern ist ein Portforwarding TCP 1723 auf die äusseren Serverschnittstellen konfiguriert (bei dem Server mit einer Karte auf diese Karte). Laut Beschreibung ist der Server mit den 2 Karten falsch konfiguriert. Nur die Karte, die zum Router zeigt, bekommt ein Gateway, die andere nicht. Weiterhin sollten beide Karten als bevorzugten DNS-Server die interne Schnittstelle und als sekundären DNS eventuell noch den entfernten DNS-Server haben. Warum ist eine statische Route definiert worden ? Wenn Du via RRAS eine LAN-LAN Verbindung via VPN konfigurierst, wird eine Route erstellt, die über eine "Wählen bei Bedarf" Verbindung aufgebaut wird. Was soll die statische Route an Server 2 ? Und wer ist die 192.168.1.1 ? Konfiguriere die Umleitung so, dass er auf die interne Schnittstelle zeigt, also auf die 192.168.1.101 . Wahrscheinlich wäre das alles viel einfacher, wenn der Server in Standort 2 3 Netzwerkkarten hätte, eine externe und 2 interne ...

Irgendwie entfernt sich das alles jetzt meilenweit von der ursprünglichen Frage ...

edit: ich schaue mir die Topologie seit einer halben Stunde an und habe immer noch nicht verstanden, was das soll :confused:

Link zu diesem Kommentar

Hallo,

 

ja ich dachte ursprünglich nicht das es so kompliziert ist die Ports für VPN in der Windows Firewall freizugeben. Die restliche Konfiguration wie im Link gepostet funktioniert einwandfrei - nur wollte ich jetzt eben die Firewall zusätzlich aktivieren und dann funktioniert die Einwahl an Standort 2 nicht mehr.

 

Du hast also auf jeder Seite einen DSL-Router und einen Server.

Genau

 

Der Server in der Hauptstelle hat 2 Netzwerkkarten, der Server in der Zweigstelle hat eine Netzwerkkarte.

Es ist eigentlich umgekehrt: Standort 1 ist die Hauptstelle. Diese hat nur eine NIC. Allerdings geht es in diesem Post erst mal nur um Standort 2.

 

 

Auf den DSL-Routern ist ein Portforwarding TCP 1723 auf die äusseren Serverschnittstellen konfiguriert (bei dem Server mit einer Karte auf diese Karte). Laut Beschreibung ist der Server mit den 2 Karten falsch konfiguriert.

Nur die Karte, die zum Router zeigt, bekommt ein Gateway, die andere nicht. Weiterhin sollten beide Karten als bevorzugten DNS-Server die interne Schnittstelle und als sekundären DNS eventuell noch den entfernten DNS-Server haben.

Ok, das habe ich schon geändert:

- Nur die externe Karte hat einen Gateway (den DSL-Router)

- Welchen DNS (für intern) nehme ich als Adresse? einfach die jweilige Adresse der jeweiligen Karte? Also z.B.:

NIC1:

IP: 192.168.0.101

DNS: 192.168.0.101

NIC2:

IP: 192.168.1.101

DNS: 192.168..1.101

 

Bei beiden den Sekundären DNS: auf 192.168.123.100

 

Warum ist eine statische Route definiert worden ? Wenn Du via RRAS eine LAN-LAN Verbindung via VPN konfigurierst, wird eine Route erstellt, die über eine "Wählen bei Bedarf" Verbindung aufgebaut wird.

Genau das ist die statische Route die vom Assi generiert worden ist. An jedem Standort existiert eine statische Route zum entferten Netz.

 

Was soll die statische Route an Server 2 ? Und wer ist die 192.168.1.1 ?

Am zweiten Standort war im DSL-Router noch eine statische Router aktiviert, diese ist mittlerweile gelöscht.

die 192.168.1.1 ist ein Schreibfehler. Das müsste eigentlich 192.168.0.1

Irgendwie entfernt sich das alles jetzt meilenweit von der ursprünglichen Frage ...

 

 

Am Standort 2 (mit den zwei NICs) ist einmal NAT für die Internet-NIC aktiviert (0.0) und NAT für das entfernet VPN Netz (123.0). Ohne diese beiden Einstellungen würde ich a) nicht ins Internet kommen und b) nicht in das entfernte VPN Netz.

 

Alex

 

edit:

Aber es geht eigentlich nur darum wie ich die Basisfirewall konfiguriere (Port 1723 ist freigeschaltet) in einem Win 2003 Server mit 2 Netzwerkkarten und eine davon hängt am DSL-Router dran. An dieser ist auch die Firewall mit NAT im RAS Menü eingestellt. Der Router lässt alles wichtige durch, da mit deaktivierter Firewall eine eingehende VPN Verbindunge eines SBS2003 funktioniert.

Link zu diesem Kommentar

Aha, so langsam kommt Licht in die Sache :) , ich schau mir das noch mal in Ruhe an, mit den neuen Infos ... Wenn die Basisfirewall auf dem Server an ist, der nur eine Karte hat, sollten normale Verbindungen von den Client in seinem Netz zu ihm auch nicht mehr funktionieren, sofern keine oder nur die VPN-Filter gesetzt sind, korrekt ? Daher denke ich, dass das nichts wird mit der Basisfirewall, wenn Du nur eine Schnittstelle hast ...

Link zu diesem Kommentar

Hallo,

 

leider haben wir uns immer noch nicht ganz verstanden. Der Server mit dem Problem hat 2 Netzwerkkarten:

 

Internet <=> DSL Router <= Subnetz 192.168.0.0 => NIC1 = W2k3 = NIC2 => Intranet LAN

 

DSL Router: 192.168.0.1

NIC1: 192.168.0.101

NIC2: 192.168.1.101

 

Wenn ich jetzt die Basisfirewall aktiviere, dann funktioniert zwar alles, aber die Einwahl eines VPN Clients von außen geht nicht mehr. Weil ich meiner Meinung nach 1723 TCP und GRE freischalten müsste.

 

Alex

 

edit:

ich habe jetzt nochmals die Filter so gesetzt wie du das oben vorgeschlagen hast. Der erste Effekt ist, das dass Internet nicht mehr funktioniert (eigentlich klar weil ja alle außer den Paketen im Filter verworfen werden). Leider funktioniert auch die VPN Einwahl nicht.

 

Würde die VPN Einwahl mit Filtern funktionieren, dann könnte man evtl. noch eine dritte Netzwerkkarte einbauen.

1x für das interne LAN

1x für die DMZ 192.168.0.0 (NAT und Basisfirewall)

1x für die VPN Ein- und Ausgehenden Verbindungen (NAT und Basisfirewall mit Filtern)

 

nochmals edit:

könnte es sein, dass ich die RAS Konfiguration nochmals neu über den Assi konfigurieren sollte. Weil bei der ersten Konfig war die interne Karte noch nicht mit dem LAN verbunden. Obwohl ich mir das nicht vorstellen kann, das es Einstellungen gibt welcher der Assi machen kann und man später nicht mehr ändern könnte. Ich probiere das jetzt mal - vielleicht schlägt mir der Assi dann die korrekten Einstellungen vor.

Link zu diesem Kommentar
Wenn ich jetzt die Basisfirewall aktiviere, dann funktioniert zwar alles, aber die Einwahl eines VPN Clients von außen geht nicht mehr. Weil ich meiner Meinung nach 1723 TCP und GRE freischalten müsste.

Das ist schon durch die Umleitung in Dienste und Ports geschehen , da muss man nicht mehr machen. Wenn der Basisfirewall läuft, lässt er standardmässig keine von aussen initierten Verbindungen zu, ausser denen, die in der Umleitung definiert wurden ...

Starte den RRAS-Dienst mal neu, wirkzt manchmal Wunder ...

Link zu diesem Kommentar

Hallo,

 

die Fehlermeldung auf dem Client (SBS 2003) lautet:

Grund für nicht erreichbarkeit im RAS.

Der letzte Verbindungsversuch ist aus folgendem Grund fehlgeschlagen:

Die Verbindung wurde von dem Remotecomputer getrennt, bevor sie hergestelt werden konnte.

Im Errorlog habe ich noch nichts diesbezüglich gefunden.

 

Mit Umleitung meint ihr die Portfreigaben unter "Dienste und Ports". Da habe ich 1723 und 1701 (falls doch was per L2TP ankommt) freigeschaltet.

 

Jetzt habe ich mal beide Ports nicht auf die externe NIC sonder auf die interne NIC umgeschaltet 192.168.1.101

 

Alex

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...