Zaraduum 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Wir nutzen für unsere Mitarbeiter einen VPN-Client von Sonicwall für den Zugriff aufs Firmennetz von zu Hause oder unterwegs. Bei "normalen" Internetanschlüssen, egal ob ISDN oder DSL, klappt die Sache ja auch ganz gut. Aber sobald jemand über einen Router ins Internet geht, lässt sich der Tunnel nicht etablieren. Ich komme dann zwar bis zur Anmeldung an der Sonicwall, aber dann kommt die Standardfehlermeldung, dass der Server angeblich nicht online oder zu beschäftigt ist. Die Verbindung wird nicht hergestellt. Ist da jemand mit know how ?? Zitieren Link zu diesem Kommentar
Thomas Säuberli 11 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Hallo VPN-Verbindungen via IPSec lassen nur Punkt zu Punkt Verbindungen zu. Also von Firewall (mit öffentlicher Adresse) zu Clientsoftware (Auch mit öffentlicher Adresse!!). Da der Router ein NAT macht, also die öffentlichen Adressen auf einen internen Bereich umleitet ist es eben keine Punkt zu Punkt Verbindung mehr! Es gibt jedoch Router neueren Datums welche eine VPN-PassThru (oder ähnlich) Funktion haben. Damit klappt es (meistens!). Es gibt nun verschiedene Möglichkeiten. 1. Dem Mitarbeiter eine kleine SonicWall installieren welche die IPSec-Verbindung herstellt. 2. Nachschauen ob es für den bestehenden Router ein Firmware-Update gibt welche IPSec durch's NAT lässt. 3. Einen neuen Router anschaffen welcher IPSec durchlässt. 4. VPN via PPTP einrichten. Funktioniert immer ***ensicher. Ja, ich höre schon das Aufschreien der IT-Profis! PPTP, unsicher, knackbar, usw.... Trotzdem muss ich sagen, wenn man keine Bank ist, die Backupbänder sowieso neben dem Server liegen, der Server nicht in einem abgeschlossenen Raum ist, usw. Kurz gesagt, wenn es so ist wie bei den meisten Betrieben. Dann reicht auch PPTP! Es wäre einfacher an Daten zu kommen als aufwändig PPTP zu knacken. Ich verwende immer einen eigenen "VPN-User" mit einem komplexen, 16zeichigen Passwort um die Verbindung herzustellen. Das reicht für den normalen User absolut. Wer wiederlegt meine PPTP-Thesen für einen normalen Klein- und Mittelbetrieb? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 Hi Also mit Erlaubnis ergänze ich die Aussage noch ein wenig von Thomas Säuberli :) Es gibt zwei Kernprobleme: Nehmen wir an, der Router von dem wir sprechen ist auch ein NAT device, dann kommt der Rechner aus einem in RFC 1918 beschriebenen Addres Bereich höchstwahrscheinlich (z.B.: 10.X.X.X und 192.168.X.X) Wenn nun dein Firmennetz auch einen dieser Bereiche, oder sogar alle verwendet, dann kommt es spätestens im Firmennetz zu einem Routing Problem, da dein VPN Server nicht weiss, ob es jetzt ein lokales Netz oder ein remote Netz ist. Klar, denn sein interner Bereich ist der selbe wie der des Clients. Der zweite und wohl treffendere Grund ist wie schon erwähnt das Problem mit AH (Authentication Header) und ESP (Encapsulating Security Payload) in Verbindung mit NAT.AH lässt es schon gar nicht zu, dass der IP-HEader verändert wird, und bei ESP kann es Probleme mit der Quersumme des TCP Päckchen geben. Ausserdem kann das NAT device, wenn es im Hide-NAT modus arbeitet keine Tabelle erstellen, da ESP auf Protokoll Nummern zurückgreifft, so wie ICMP. NAT arbeitet aber mit einer Quelle-Port zu Ziel-Port Tabelle, und leider ist das mit blos einer IP und einer Protokoll Nummer nicht machbar. Nun, wie du das umgehen kannst? Gute Frage! Beim ersten Punkt eigentlich nur indem du die eine Range benutzt wird, wo die Clients nicht herkommen können. Oder man verwendet vitruelle IP Bereiche oder DHCP Relays für Clients, aber Details dazu würden jetzt den Rahmen sprengen..... Beim zweiten Punkt müsste die Sonicwall eine Funktion wie NAT-T oder UDP-encapsulation anbieten. Dabei werden die IPsec Pakete zusätzlich noch in UDP eingekapselt, welches die obigen Probleme beseitigt. Du müsstest in der Anleitung der Sonicwall nachschauen ob deine FW das unterstützt. Oder natürlich PPTP verwenden...... (braucht aber stisches-NAT soweit ich weiss) Zitieren Link zu diesem Kommentar
Zaraduum 10 Geschrieben 10. März 2005 Autor Melden Teilen Geschrieben 10. März 2005 Ja genau...ihr habt es auf den Punkt gebracht. Der Client-Router ist ebenfalls ein NAT-Device und dadurch entstehen zwei private IP-Adressbereiche. Es sind aber Unterschiedliche (10er Bereich hier und 192.168.er Bereich dort). Da unsrere FW ja schon leicht betagt ist, es keine Firmware-Updates mehr verträgt weil das BIOS zu klein ist und es keine UDP-encapsulation anbietet, bleibt nur die Hoffnung, dass ich entweder eine neue FW bekomme oder die Client-Router IPSec durchlassen. Die Variante mit der Range wäre allerdings auch eine Lösung, nur wo fange ich da an? Es muss ja nur ein Terminalserver erreichbar sein der im LAN steht. Fragen über Fragen...ich fühl mich langsam wie ein DAU Vielleicht habt ihr ja noch nen Vorschlag, Danke im Voraus, P.S. wen juckt die EU in 1000 Jahren noch?? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 Wenn das Teil so alt ist, und deswegen sehr wahrscheinlich keine UDP-encapsulation oder NAT-T unterstützt, dann kommst du mit IPsec am Router/NAT nicht vorbei. Sorry.... :o :( Zitieren Link zu diesem Kommentar
Thomas Säuberli 11 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 Hallo Du musst die Firmware auf dem Cleint Router aktualisieren! Wobei ich oft schon Probleme mit IPSec und verschiedenen Produkten bzw. Firmwaren hatte... Wenn es sicherheitstechnisch kein Problem ist, stelle den Terminalserver doch direkt ins Netz :-) Wichtig ist dabei den Terminalserver sehr gut "abzudichten" -> schaue unter http://www.gruppenrichtlinien.de nach und verbiete das mappen von lokalen Laufwerken und die Benutzung der Zwischenablage. Damit fliessen nur noch Bildänderungen und keine Daten mehr zwischen Client und Terminalserver. Wichtig sind auch komplexe Passwörter und vielleicht auch den Administrator umbenennen (oder gar keine Rechte auf RDP geben) Was juckt wen schon in 1000 Jahren :-) Zitieren Link zu diesem Kommentar
Zaraduum 10 Geschrieben 23. März 2005 Autor Melden Teilen Geschrieben 23. März 2005 Es ist schon zum Lachen! Auf einem Router, der bezüglich VPN-Passthrough oder Port-Weiterleitung keinerlei Einstellungsmöglichkeiten besitzt und diese Eigenschaften in der Produktbeschreibung auch nicht zu finden sind, funktioniert mein Client ohne murren oder zusätzlichem Konfigurationsaufwand. Auf einem anderen Router, der diese Eigenschaften besitzt, läuft erstmal gar nix. Erst nach einem Firmwareupdate und trixen funktionierts auch da. Ts ts ts...so kann´s einem gehen. Danke nochmal. Zitieren Link zu diesem Kommentar
Thomas Säuberli 11 Geschrieben 23. März 2005 Melden Teilen Geschrieben 23. März 2005 immer dran denken: Computer (und Router) sind auch nur Menschen! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.