xDSL.at

[herrhund]

Hallo! Eine kurze Frage hätte ich noch weil der VPN Zugriff von außen nicht funktioniert:
Muss für jedes Portforwarding auch eine Firewall Regel erstellt werden oder nicht?

[wicked_one]

Hallo! Eine kurze Frage hätte ich noch weil der VPN Zugriff von außen nicht funktioniert:
Muss für jedes Portforwarding auch eine Firewall Regel erstellt werden oder nicht?

Je nach Appliance anders, aber pauschal würde ich mal behaupten, ja...

[herrhund]

Hm, dann wird es daran liegen... Es geht übrigens um ein Portforwarding vom Port 1723 auf einen PPTP Server. Bei allen vorherigen Modems hat das Forwarding nämlich genügt..

[wicked_one]

Nun, manche Geräte machen das automatisch mit, aber kommt immer drauf an ob man ein SOHO Gerät für Dummies oder einen richtigen Router hat

wobei PPTP das denkbar schlechteste Testsubjekt ist, da auch GRE involviert ist. Im zweifel mitzB Hyperterm den Port simulieren, um grundsätzlich den Status des Ports zu checken.

[zid]

hallo herrhund,

mit gre siehts beim 2812er ganz schlecht aus, denn:
1.
das ding hat kein gre-alg, hast du bereits bemerkt.
2.
man kann gre nicht weiterleiten, so etwas z.b. funkt nicht:
#iptables -t nat -I PREROUTING -p 47 -i pppoa1 -j DNAT --to-destination <ip.tar.get.host>
gre wird nicht mal dann weitergeleitet, wenn man den zielrechner als default server setzt.
3.
ich hab die jungs von zyxel gebeten, die weiterleitung als neues feature zu implementieren, weil ich diese weiterleitung fürs eoip brauche. nach einer längeren diskussion wurde mein ansuchen an die entwicklung weitergeleitet, ich bekam jedoch vor einiger zeit die folgende absage:

support zyxel.de schrieb:
Sehr geehrter Herr ...,

leider muss ich Ihnen mitteilen, dass wir keine neuen Feature Request für dieses Modell mehr aufnehmen können.

Ein GRE ALG kann nicht unterstützt werden, die DMZ leitet nur TCP und UDP weitern.

Vielen Dank für Ihr Verständnis.

Mit freundlichen Gruessen,
...

bedeutet für dich, daß du fürs vpn ipsec einsetzen mußt. dazu hätt ich dir btw. auch ganz unabhängig von der ganzen weiterleitungsproblematik geraten. ipsec ist einfach sicherer und heutzutage state of the art.
der zyx kann 4 ipsec tunnel terminieren. du brauchst dazu die 1.02(BLL.1)b1_pretest fw., mit der 1.02(BLL.0)C0 und 1.02(BLL.1)C0 funkt ipsec nicht sauber.

lg
zid

[herrhund]

Hallo!
Das Problem hat sich jetzt plötzlich erledigt, anscheinend hat sich das Modem zuhause aufgehängt und ich konnte deshalb nicht zugreifen! Nach einem Reboot funktioniert es jetzt. Den Grund des Neustarts muss ich noch herausfinden.
Aus diesem Grund frage ich micht jetzt, ob es die Funktion Respond on Ping (WAN) hier auch gibt? Dann würde ich nämlich sofort sehen, wie weit ich beim connecten komme.
Trotzdem würde ich gerne aufs IPSec VPN umsteigen, nur kenne ich mich da überhaupt nicht aus. Bei den Anleitungen finde ich nur Beispiele für die ZyWall , wo zwei Netzwerke miteinander verbunden werden. Ich durchblicke das ganze System leider nicht, was das Remote Subnet z.b ist? Kann ich auf mein Modem ausßerdem mit dem Windows7 Client Connecten, oder brauch ich da was eigenes?

[zid]

>"...Nach einem Reboot funktioniert es jetzt..."
hmmm?? na, das ist ja "lustig". welche fw. hast du drauf? die 1.02(BLL.0)C0? ich hab das gre zeugs mit der pretest getestet. hoffentlich haben die jungs von zyxel da nix verschlimmbessert haben, das wär ja der absolute hammer...

>"...Aus diesem Grund frage ich micht jetzt, ob es die Funktion Respond on Ping (WAN) hier auch gibt?..."
hab ich mir noch nie angeschaut, aber bei den incoming firewall rules gibts icmp als protokoll. frage ist, ob src-ip any und dest-ip any geht, du hast ja keine statische, öffentliche ip.

>"...was das Remote Subnet z.b ist?..."
das ist das lan hinter dem entfernten ipsec gate. ipsec ist nicht so auf die schnelle zu erklären. den abschnitt über ipsec im user guidedes 2812er hast du schon gelesen? wennst auf bücher stehst, dann ist das z.b. lesenswert:
http://www.amazon.de/Advanced-VPN-IPSec ... ref=sr_1_3
die konkreten beispiele werden zwar mit cisco geräten durchgezogen, ist aber wurscht, weils eh immer das gleiche ist. die syntax variiert halt von gerät zu gerät.

>"...Kann ich auf mein Modem ausßerdem mit dem Windows7 Client Connecten, oder brauch ich da was eigenes?..."
win hab ich noch nie verwendet. im laufe der zeit hab ich aber auf win folgende clients eingesetzt oder getestet:
- shrew, kostenlos, geht mit den meisten ipsec gates völlig problemlos, kein transport mode
- thegreenbow, auch unproblematisch, auf der hp von thegreenbow gibts konfigbeispiele für zahlreiche security gates.
- forticlient, etwas problematisch, weil einige attribute etwas anders benamt werden, was manche sec gates nicht mögen (sts z.b.).
-cisco vpn client, sollte nur mit ciscos verwendet, cisco selbst weist darauf hin, daß der client für sec gates von drittherstellern nicht geeignet ist. das problem bei diesem client ist die lange liste der proposals in phase 1, es werden fast alle möglichkeiten durchpermutiert, und so manches sec gate fällt ob dieses wustes gleich in ohnmacht...
wozu brauchst du das vpn überhaupt?

lg
zid

[herrhund]

Ja, genau diese Firmware hab ich, da funktioniert es problemlos! Trotzdem muss ich den Grund für den Häünger ausfindig machen.
Also das mit dem Ping lass ich dann mal lieber, bei ältern gGeräten war es ja eine ganz normale Drop-Down Einstellung im Webinterface.
hm... Ich hab schon gemerkt, dass IPsec ein komplexeres Thema ist, aber vor einiger Zeit hab ich es mit der FritzBox schon geschafft. Eigentlich will ich damit nur von meinem Handy/Netbook eine Verbindung ins HeimNetzwerk aufbauen, damit ich meine mails vom internen Server abrufen kann und auf einige Dateien zugreifen kann. Das sollte doch eigentlich machbar sein, oder? Wie gesagt, mit der FritzBox war ich schon so weit
lg

[herrhund]

Nur der Vollständigkeit halber:
Meine Firmware hat anscheinend doch mit GRE Probleme... Es ist nicht reproduzierbar, aber nach einer gewissen Zeit bricht die VPN Verbindung ab und ich kann mich nicht mehr verbinden (Fehler mit GRE), nach ein paar Minuten geht es aber meist wieder...

[zid]

du bist in vergessenheit geraten, sry...

hallo herrhund,

>"...Also das mit dem Ping lass ich dann mal lieber,..."
du mußt leider das setzen:

p2812hnu_ping_wan_accept.jpg (48.04 KiB) 21790-mal betrachtet

und danach sehen die firewall rules wie befürchtet grauslich aus:

Code: Alles auswählen

> iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 16029 packets, 2148K bytes)
num   pkts bytes target     prot opt in     out     source               destination
...
2        0     0 ACCEPT     icmp --  pppoa2 *       0.0.0.0/0            0.0.0.0/0
3      543  156K ACCEPT     all  --  pppoa2 *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
...
...
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
...
2        0     0 ACCEPT     icmp --  pppoa2 *       0.0.0.0/0            0.0.0.0/0
...
...
5        0     0 ACCEPT     all  --  pppoa2 *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
...

hoffentlich sieht das der stefan nicht, der kriegt einen herzinfarkt...

>"...Wie gesagt, mit der FritzBox war ich schon so weit..."
ja gut, dann hast du eh eine vorlage und müßtest die einstellungen nur auf den zyx übertragen. wennst dich dabei nicht auskennst, dann könntest mir ja screenshots, configs der fb... zukommen lassen, und wir schauen uns das zeugs gemeinsam an.

>"...Es ist nicht reproduzierbar, aber nach einer gewissen Zeit bricht die VPN Verbindung ab und ich kann mich nicht mehr verbinden (Fehler mit GRE), nach ein paar Minuten geht es aber meist wieder..."
bin noch nicht dazugekommen, mir das gre mit der 1.02(BLL.0)C0 anzuschauen. grundsätzlch müßte man das ganze mit dem wireshark durchgehen, um wenigstens das prob eingrenzen zu können. und das ist ziemlich aufwendig, wenn das prob nur sporadisch auftritt.

lg
zid

[herrhund]

Hallo!
Danke erstmal für deine Antwort, ich bin froh, dass mir hier jemand so kompetent zur Seite steht
Also das mit dem Ping werd ich bei Gelegenheit mal probieren, das ist im Moment nicht das wichtigste, danke erstmal
Zum Problem mit GRE kann ich nur sagen, dass ich in den letzten Tagen bei 24/7 Betrieb keine Fehler beim PPTP Tunnel hatte, ich werds mal weiter beobachten und loggen lassen. Es könnte evtl. auch mit der 8Std. Trennung zu tun haben oder auch ein Serverproblem sein, der startet in letzter Zeit auch öfters neu, deshalb muass ich erst mal abwarten, bevor ich definitiv dem Zyxel die Schuld gebe

Wichtiger wär mir im Moment mein IPSEC Problem, weil mein PPTP Server (XP) nur eine Verbindung handeln kann.
Grundsätzlich stehe ich vor dem Problem, dass es beim Zyxel anscheinend vorgesehen ist, einen Tunnel zwischen zwei Netzen aufzubauen, ich will aber nur eine Site-to-End Verbindung mit meinen mobilen Geräten.
Im Anhang hab ich mal das Config-File der Fritz Box, so ist auch der Client konfiguriert.
Das File ist eigentlich gut strukturiert und kommentiert aber falls du noch etwas zur Config wissen willst, einfach fragen, ein bisschen kenn ich mich mit IPSEC jetzt schon aus.
Danke schon mal für deine Hilfe!

Code: Alles auswählen

Config für den User

        policies {
                name = "meindyndnshost.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 10.10.0.50;
                remoteip = 0.0.0.0;
                remotehostname = "meindyndnshost.org";
                localid {
                        user_fqdn = "meinemailadresse";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "xxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 10.10.0.50;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.10.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.10.0.0 255.255.0.0";
                wakeupremote = no;
        }


Code: Alles auswählen

Serverconfig

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "meinemailadresse";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 10.10.0.50;
                remoteid {
                        user_fqdn = "meinemailadresse";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = xxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.10.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 10.10.0.50;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 10.10.0.0 255.255.0.0 10.10.0.50 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

lg

[zid]

hallo herrhund,

ich hab jetzt deine einstellungen, soweit wie möglich, buchstäblich übernommen:

p2812hnu_ipsec_setup.jpg (57.67 KiB) 21747-mal betrachtet

das zeugs wird zwar angenommen, ist aber nicht getestet.

p2812hnu_ipsec.jpg (33.01 KiB) 21747-mal betrachtet

folgende probs können auftreten:

- die remote ip des clients
da hab ich 0.0.0.0 gelassen. sollte das nicht funken, dann mußt du auf dyndns.org einen 2. host einrichten, am client ddns anwerfen und in dieses feld den hostname des clients eintragen.

- die beteiligten netze
da ist 10.10.0.0/16 <-> 10.10.0.50 gesetzt, ggf. an deine umgebung anpassen.
weiters ist zu beachten, daß am zyx kein mode config und keine xauth implementiert sind. d.h. es könnte zu addresskonflikten kommen, weil die virtuelle ip des clients im subnet des zyx liegt. sollte das passieren, dann am client eine virtuelle ip setzen, die nicht im subnet des zyx liegt.

- nat-t
ich habs deaktiviert, weil an beiden enden die öffentliche ip anliegt und kein nat im spiel ist. auch am client deaktivieren, trägt zur vereinfachung von phase1 bei.

- die leidige geschichte mit den id (types)
du hast am client den local id typ "ufqdn" mit id "meinemailadresse" gesetzt, was zur folge hat, daß man zyx die option "Enable Manual ID Type" aktivieren muß und damit voll in das problem mit der id des zyx rennt. der id typ "address" fällt bei dir flach, weil du eine dyn. ip hast, also id typ "fqdn" mit id "meindyndnshost.org". diese einstellung mußt du auch bei der remote id des clients vornehmen.

- proposals
du hast für phase 1 "all/all/all" und für phase2 "esp-all-all" gesetzt. das sind einstellungen, bei denen mir echt das gimpfte aufgeht. damit werden nämlich alle implementierten verschlüsselungs-, hash- und schlüsseltauschalgorithmen durchpermutiert (s. a. meine bemerkung zum cisco client), was zu einer sehr langen proposalliste führen kann. tja, und manche sec gates mögen das nicht...
bleib auf der sicheren seite- ein pot. prob weniger- und setze für phase1 und phase2 nur einen proposal:
encr: aes-256
hash: sha1
key exch.: dh2/modp 1024

lg
zid

[herrhund]

Hallo!
Danke erstmal für die ausführliche Antwort!
Wie du befürchtät hast, lässt er mich keine RemoteIP aus dem Lokalen Subnet eintragen, ich bin jetzt auf 192.168.1.x ausgewichen..
Die RemoteIP muss ich am Client als Lokale Adresse verwenden, ist das korrekt? Weiters hab ich im Client bei Remote 10.10.0.50 eingetragen, ist das auch korrekt, oder brauch ich hier eine andere aus dem selben Subnet?
Die restlichen Einstellungen hab ich nach deinen Vorschlägen angepasst, aber anscheinen komm ich nicht mal so weit, dass ich es testen kann, ich erhalte immer die Meldung "no response from VPN Server". Muss ich vielleicht in der Firewall auch eine Regel erstellen?
lg

[zid]

hallo herrhund,

>"...Wie du befürchtät hast, lässt er mich keine RemoteIP aus dem Lokalen Subnet eintragen,..."
meine befürchtung bezog sich nicht auf die konfig, sondern auf phase2. die konfig kann man mit einem dreckigen trick erzwingen, hab ich leider vergessen zu erwähnen, sry.

hab gestern mal die situation 10.0.1.139 <-> 10.0.1.0/24 mit einem st620 als client (das kann den mode config, sodaß es zumindest da mal keine probs mit den ips gibt) durchgespielt.
ergebnis: phase2 geht genau wie befürchtet schief. hier die debug logs am st:

Code: Alles auswählen

================================================
80.xx.xx.xx ->195.xx.xx.xx: [6/6] <- recv ID|AUTH, initiator, main mode
phase 1 SA established
-> initiator([email protected]), responder(wo.a.com)
-> src(80.xx.xx.xx) dst(195.xx.xx.xx)
80.xx.xx.xx ->195.xx.xx.xx: [1/3] -> sent HASH|SA|NONCE, initiator, quick mode
================================================
sent message id: 55 len: 156
ICOOKIE : 0x17C56A3AA5C0889A
RCOOKIE : 0x06BA75F4947C4313
NEXT PAYLOAD : HASH
VERSION MAJOR : 1
VERSION MINOR : 0
EXCHANGE TYPE : QUICK_MODE
FLAGS : [ ENC ]
MESSAGE ID : 0xCE569AA2
LENGTH : 156
------------------------------------------------
-> PAYLOAD HASH
-> NEXT PAYLOAD : SA
-> LENGTH : 24
-> HASH DATA
------------------------------------------------
-> PAYLOAD SA
-> NEXT PAYLOAD : NONCE
-> LENGTH : 56
-> DOI : IPSEC
-> SITUATION : 0x0001 [  SIT_IDENTITY_ONLY ]
---> PAYLOAD PROPOSAL
---> NEXT PAYLOAD : NONE
---> LENGTH : 44
---> PROPOSAL NUMBER : 1
---> PROTOCOL : IPSEC_ESP
---> SPI SIZE  : 4
---> #TRANSFORMS : 1
-----> PAYLOAD TRANSFORM
-----> NEXT PAYLOAD : NONE
-----> LENGTH : 32
-----> TRANSFORM NUMBER : 1
-----> TRANSFORM ID: AES (12)
--------> SA_LIFE_TYPE (1) : SECONDS (1)
--------> SA_LIFE_DURATION (2) : 86400 seconds
--------> ENCAPSULATION_MODE (4) : TUNNEL (1)
--------> AUTHENTICATION_ALGORITHM (5) : HMAC-SHA1 (2)
--------> KEY_LENGTH (6) : 128 bits
------------------------------------------------
-> PAYLOAD NONCE
-> NEXT PAYLOAD : ID
-> LENGTH : 20
-> NONCE DATA
------------------------------------------------
-> PAYLOAD ID
-> NEXT PAYLOAD : ID
-> LENGTH : 12
-> ID TYPE : IPV4_ADDR
-> PROTOCOL ID : 0
-> PORT : 0
-> ADDRESS : 10.0.1.139
------------------------------------------------
-> PAYLOAD ID
-> NEXT PAYLOAD : NONE
-> LENGTH : 16
-> ID TYPE : IPV4_ADDR_SUBNET
-> PROTOCOL ID : 0
-> PORT : 0
-> ADDRESS : 10.0.1.0/24
================================================
================================================
Last message (id 55) retransmitted
================================================
================================================
Last message (id 55) retransmitted
================================================
================================================
Last message (id 55) retransmitted
================================================
giving up on sending message 55

und am zyx kriegst diese idyllischen logs:

Code: Alles auswählen

> syslog dump
==== Dump of Syslog ====
...
...
Oct 15 10:43:42 | daemon.info racoon: INFO: ISAKMP-SA established 195.xx.xx.xx[500]-80.xx.xx.xx[500] spi:17c56a3aa5c0889a:06ba75f4947c4313
Oct 15 10:43:42 | daemon.info racoon: INFO: respond new phase 2 negotiation: 195.xx.xx.xx[500]<=>80.xx.xx.xx[500]
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to get sainfo.
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to get sainfo.
Oct 15 10:43:42 | daemon.info racoon: ERROR: failed to pre-process packet.

heißt auf gut deutsch, daß das zyx nicht mehr weiß, wo vorn und hinten ist. somit können wir das vergessen, du *mußt* am client eine virtuelle ip aus einem andren netz nehmen. ist aber nicht so dramatisch, weil diese virtuelle ip sowieso nur ein vehikel ist, um den tunnel mode aufziehen zu können.
aja, und noch was: ich hab dir früher geschrieben, daß man im feld "Remote IPSec Gateway Address (IP or Domain Name)" 0.0.0.0 versuchen soll, im glauben, daß 0.0.0.0 für "any" steht. spielts aber nicht, das erste ike paket des clients wird vom zyx nicht beantwortet. und wenn man dieses feld überhaupt leer läßt, dann steigt der unterhaltungswert stark an. nach einigen reboots hat sich bei mir das zyx voll aufgehängt, und ich mußte resetten.
bedeutet für dich, daß du am client ddns anwerfen und in dem feld von oben den ddns name des clients eintragen mußt.

>"...ich erhalte immer die Meldung "no response from VPN Server"..."
hast du im feld "Remote IPSec Gateway..." die 0.0.0.0 stehen? -> s.o.

grundsätzlich funkt dieser zusammengeflickte roadwarrior ansatz, getestet mit st620 und shrew.

lg
zid

[herrhund]

Hallo!
Sorry, dass ich mich erst jetzt melde, aber ich hatte in den letzten Wochen viel zu tun und bin nicht dazu gekommen, es zu testen.... Also mit meinem Nokia Handy hab ich es nicht geschafft, liegt aber wahrscheinlich auch daran, dass ich die VPN Config über ein Tool am PC erstellen muss und nicht direkt testen kann. In den nächsten Tagen bekomm ich ein neues Android Handy, damit werd ich es dann versuchen. Melde mich dann sobald es was neues gibt!!