Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4033 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN ohne Netzwerkzugriff - Clients nur untereinander

Torsten Z.
Hallo zusammen,

mein Name ist Torsten und ich bin neu im Forum. Ich habe mir heute einen kleinen Rechner hingestellt und eine Home-Lizenz installiert. Ich habe ein bisschen an Vorerfahrung aber an Folgendem scheitere ich gerade:

Zu Testzwecken möchte ich ein SSL-VPN aufbauen, in dem man Zocken, Chatten (wie im LAN) kann, ohne auf mein tatsächliches Netz zugreifen zu können (ähnlich Hamachi). Die Clients (bei mir) im 10.10.10.0/24 Netz sollen sich nur im 10.10.10.0/24 er Netz bewegen und finden können.

Ich habe aber keine Idee mehr, wie das gehen kann. Anfangs dachte ich, es reicht ein SSL-VPN zu erstellen, und die Benutzer hinzuzufügen. Allerdings hab ich beim Testen festgestellt, dass die Benutzer untereinander nicht kommunizieren können, da die Clients die Subnetzmaske 255.255.255.252 haben. Diese Subnetzmaske kann ich scheinbar auch nirgends konfigurieren, auch nicht beim DHCP, wo ich es eigentlich erwartet hätte.

Mal schnell die Konfiguration zusammengefasst:
- Remote Access -> SSL -> Meine Benutzer sind hinzugefügt und als Local network VPN Pool (SSL)
- Network Protection -> Firewall -> Regel mit "VPN-Pool -> ANY -> VPN Pool (Allowed)"
-Am Router sind alle Ports auf die UTM umgeleitet. Ich nutze Dyndns.
 
Eine Verbindung in mein Netzwerk bekomme ich problemlos hin, will ich aber nicht :-P

Hat jemand eine Idee?

Vielen Dank im Voraus. Und entschuldigt, wenn ich schlecht erklärt habe, ich bin ein bisschen gestresst :-P

LG
Torsten


This thread was automatically locked due to age.
  • 0
    Wie sehen denn deine anderen Firewall rules aus?
    Ist der VPN Pool (SSL) standard oder "modifiziert"?
    Hast du noch andere VPNs eingerichtet und dort eventuell Automatic Firewall rules aktiviert?

    Dadurch wird nämlich eine "VPN Users -> Any -> Network" Regel erzeugt.
    Du könntest auch mal eine Drop-Rule nach ganz oben setzen. Automatic Firewall rules stehen aber immer "ausgeblendet" ganz oben. Diese kannst du dir übers Dropdown anzeigen lassen.

    Ansonsten poste mal Screenshots oder Logs.

    Gruß
  • 0
    Hi.

    Danke für die Antwort. Allerdings weiß ich nicht, wie ernst ich diese nehmen darf. Ist meine Frage sehr dumm oder nervig gewesen (weil es um nichts wichtiges geht)? Ich mache das ganze Interesse halber, in der Firma kann ich die Kiste nicht so zum Testen missbrauchen... :-P Denn wenn ich die Drop-Rule nach oben schiebe, sperre ich mich komplett aus oder nicht?

    Der VPN-Pool ist modifiziert. Ich hab das Netz 10.10.10.0/24 gewählt, weil es einfach zu merken ist. Eine Netzmaske kann ich aber nicht vorgeben... .

    Andere VPNs sind nicht eingerichtet und ich habe automatic Firewall-Rules aktiviert und deaktiviert mit dem gleichen Ergebnis.

    Auf der Firewall habe ich drei Regeln:
    1. VPN Pool (SSL) - ANY - VPN POOL(SSL)  (Allow)
    Wie gesagt habe ich die Regel auch mal automatisch erzeugen lassen.
    2. ANY - HTTP, HTTPS, WebAdmin - Internal(Address) (Allow)
    3. Any - Any - Any (Geblockt)

    Im Log sehe ich aber keine Pakete die hängen bleiben. Daher bin ich davon ausgegangen, dass es an der eingestellten Subnetzmaske, oder einer fehlenden Einstellung im NAT liegt.

    Nochmals vielen Dank und Gruß,
    Torsten
  • 0
    Hm, meine Antwort war schon ernst gemeint :-).
    Allerdings wird zumindest mir nicht ganz klar wie es bei dir in der UTM ausschaut. Den anderen anscheinend auch nicht so ganz, sonst hätten bestimmt noch andere User geantwortet.

    Dein erster Post hat sich für mich so gelesen, dass du ein VPN "SSL" hast und sich deine lokalen Clients im 10er Netz bewegen. 
    VPN "SSL" darf auf "10er Netz" nicht zugreifen.
    Wenn du nun eine "SSL" -> "Any" -> "10er Netz" Droprule rein machst würdest du dich nicht aussperren, sofern du dich im lokalen Netz befindest oder drüber z.B. noch einmal eine Regel hast wie "admin (User Network)" -> "Any" -> "***" und natürlich noch "admin (User Network)" in den WebAdmin Settings.

    Zudem hast du in den Definitionen die einzelnen VPN-User und könntest die Regeln auch User-spezifisch erstellen. Die Regeln werden ja von oben nach unten abgearbeitet - sobald eine Regel zutrifft wird keine andere mehr angewandt!


    Der VPN-Pool ist modifiziert. Ich hab das Netz 10.10.10.0/24 gewählt, weil es einfach zu merken ist. Eine Netzmaske kann ich aber nicht vorgeben...


    /24 ist doch die Netzmaske?? (Hab dir ein Screenshot angehängt).


    3. Any - Any - Any (Geblockt)


    Diese Regel steht bereits unsichtbar ganz unten und wird automatisch angewandt, wenn keine der oberen Regeln zutrifft.
    PS. unter "ANY" als Service, verbirgt sich meines Wissens NUR TCP/UDP

    Im Log sehe ich aber keine Pakete die hängen bleiben. Daher bin ich davon ausgegangen, dass es an der eingestellten Subnetzmaske, oder einer fehlenden Einstellung im NAT liegt.


    NAT brauchst du eigentlich nicht. Masquerading nur, wenn das VPN z.B. ins Internet soll.

    -------------

    Abschließend muss ich nun doch noch einmal fragen

    Möchtest du nun deine VPN Clients nicht ins lokale Netz lassen? (wie lautet das lokale Netz?)

    Oder möchtest du deine VPN Clients untereinander nicht im VPN Netz kommunizieren lassen? (dagegen spricht die Überschrift)

    Zudem solltest du darüber nachdenken dir eine Testumgebung aufzubauen, wenn die UTM in der Firma (Liveumgebung) genutzt wird. Mit der kostenlosen Homelizenz hast du alle wichtigen Funktionen und 50 IPs freigeschalten.

    Gruß
  • 0 in reply to wiLLow
    Ok danke danke. [:)]

    Ich drücke mich offenbar schlecht aus. Ich versuchs nochmal :-).

    Ich habe eine Astaro in der Firma. An dieser Teste ich nichts.

    Dann habe ich mir Vorgestern eine kleine Box zuhause hingestellt, hinter meine FritzBox gehangen, die im 192.168.1.0/24er Netz agiert, Port Forwarding und DynDNS eingerichtet.

    Alle VPN-User sollen jetzt in ein Netz 10.10.10.0/24 kommen, ohne auf mein 192.168.1.0/24er Netz zugreifen zu können. Alle PCs im VPN sollen aber untereinander verbunden sein. Wenn ich also z.B. einen Teamspeak-Server auf dem Rechner mit der zugewiesenen IP 10.10.10.10 aufmache, möchte ich, dass sich der PC (auch VPN) mit 10.10.10.100 verbinden kann.

    /24 ist doch die Netzmaske?? (Hab dir ein Screenshot angehängt).


    Da wird nur der Bereich der Adressen angegeben, die an die Clients vergeben wird. (In meinem Fall von 10.10.10.0 - 10.10.10.254). Die Netzmaske, die die Clients zugewiesen bekommen ist aber leider 255.255.255.252 anstatt 255.255.255.0.

    Wenn ich von einem Client (10.10.10.10) aus die IP 10.10.10.1 (die Astaro) anpinge bekomme ich sofort eine Antwort. Versuche ich aber einen anderen Rechner (z.B. 10.10.10.100) anzupingen, klappt das nicht.

    Hoffe das war jetzt verständlich :-) Sonst formuliere ich das nochmal anders.

    Danke und Grüße,
    Torsten
  • 0 in reply to Torsten Z.
    Ok danke danke. [:)]

    Ich drücke mich offenbar schlecht aus. Ich versuchs nochmal :-).

    Ich habe eine Astaro in der Firma. An dieser Teste ich nichts.

    Dann habe ich mir Vorgestern eine kleine Box zuhause hingestellt, hinter meine FritzBox gehangen, die im 192.168.1.0/24er Netz agiert, Port Forwarding und DynDNS eingerichtet.

    Alle VPN-User sollen jetzt in ein Netz 10.10.10.0/24 kommen, ohne auf mein 192.168.1.0/24er Netz zugreifen zu können. Alle PCs im VPN sollen aber untereinander verbunden sein. Wenn ich also z.B. einen Teamspeak-Server auf dem Rechner mit der zugewiesenen IP 10.10.10.10 aufmache, möchte ich, dass sich der PC (auch VPN) mit 10.10.10.100 verbinden kann.



    Da wird nur der Bereich der Adressen angegeben, die an die Clients vergeben wird. (In meinem Fall von 10.10.10.0 - 10.10.10.254). Die Netzmaske, die die Clients zugewiesen bekommen ist aber leider 255.255.255.252 anstatt 255.255.255.0.

    Wenn ich von einem Client (10.10.10.10) aus die IP 10.10.10.1 (die Astaro) anpinge bekomme ich sofort eine Antwort. Versuche ich aber einen anderen Rechner (z.B. 10.10.10.100) anzupingen, klappt das nicht.

    Hoffe das war jetzt verständlich :-) Sonst formuliere ich das nochmal anders.

    Danke und Grüße,
    Torsten


    Welchen Typ VPN nutzt du?
    Hast du Regeln gesetzt?
    Hast du an den Definitionen was geändert. Hier steht per Default 255.255.255.0 drin.

    Gruss
  • 0 in reply to rprengel
    Welchen Typ VPN nutzt du?

    SSL-VPN 

    Hast du Regeln gesetzt?

    Firewall-Regeln gibt es jetzt nichts mehr, ich habe die Automatischen Firewall regeln aktiviert.

    Hast du an den Definitionen was geändert. Hier steht per Default 255.255.255.0 drin.

    Nein. Es steht immernoch 255.255.255.0 (/24) drin.

    Die Clients bekommen aber blöderweise 255.255.255.252 zugewiesen...

    Ich habe jetzt mal alles mit Screenshots dokumentiert.

    Ich nehme an, dass mein Problem behoben ist, wenn die Clients anstatt einer /30er Maske eine /24er Maske zugewiesen bekämen. Aber ich weiß nicht, wie man das einstellt.
  • 0
    Hallo Torsten,

    OKAY, nun hab ichs verstanden! :-)

    Wenn du dich bei der VPN nur auf SSL (statt z.B. IPsec) beschränken kannst, dann kommst du um ein Full-Nat nicht drumrum. Für PPTP, L2TP, und IPsec kann mann statische IPs in den User-Einstellungen vergeben. Mit SSL VPN funktioniert das leider nicht.

    Du brauchst also ein FullNAT z.B:

    NAT mode [Rule Type:]: Full NAT

    Traffic Source [For traffic from]: Any
    Traffic Service [Using service:]: Any
    Traffic Destination [Going to:]: BenutzerXY-statisch [DNS-Host mit statischer IP, z.B. 10.10.10.5]

    Destination [Change the destination to:]: BenutzerXY (User Network) [wird automatisch erstellt, wenn du den User angelegt hast]
    Destination Service [And the service to:]: leer lassen [da sich nichts ändert]

    Source [Change the source to:]: Internal (Address) [Interne LAN Adresse der UTM]
    Source Service [And the service to:]: leer lassen [da sich nichts ändert]


    Unter "Local Networks" in den SSL-Einstellungen, muss dann natürlich das Netz welches du für die User als statische IP nutzt (z.B. 10.10.10.0/24). Das VPN-Pool Network (z.B. 10.242.2.0/24) könnte auf standard bleiben und muss ein anderes als das Benutzer-Netz sein.

    Grüße


    PS. die Regeln in der Firewall müsen über den Schieberegler noch eingeschaltet werden, dass sie funktionieren *duck* [:D]
  • 0 in reply to wiLLow
    Oha! Dankschön, das werde ich direkt testen.... [[[:)]]][[[:)]]][[[:)]]] 

    PS. die Regeln in der Firewall müsen über den Schieberegler noch eingeschaltet werden, dass sie funktionieren *duck*


    Firewall-Regeln gibt es jetzt nichts mehr, ich habe die Automatischen Firewall regeln aktiviert.
     [:P] Ich wollte die anderen nicht löschen, also hab ich die "nur" deaktiviert...
  • 0 in reply to Torsten Z.
    [:S]

    Ich finde den Ansatz schon sehr genial. Bin ich nicht drauf gekommen. Leider funktioniert es nicht. Ich kann weder Pingen, noch eine TCP-Verbindung aufbauen. Vielleicht hab ich was vergessen?! Im Full-Nat versteh ich aber nicht, wofür man da die interne Adresse braucht.

    Ich hab wieder Screenshots angehangen [:)]

    Im Nat habe ich alle Benutzer alle so wie im Screenshot angelegt. Alle zusammen in einer Gruppe geht nicht richtig?
  • 0
    Hi,
    ich kann es momentan leider nicht nachbauen und testen, darum müsstest du selbst etwas fummeln.

    Unter "Local Networks" in den SSL-Einstellungen, muss dann natürlich das Netz welches du für die User als statische IP nutzt (z.B. 10.10.10.0/24). Das VPN-Pool Network (z.B. 10.242.2.0/24) könnte auf standard bleiben und muss ein anderes als das Benutzer-Netz sein.


    Hattest du das auch angepasst?

    Die interne Adresse brauchst du meiner Meinung nach, weil du ja eine "Adresse" brauchst, welche mit dem eigentlichen VPN-User kommunizieren kann. An der Stelle bin ich mir nicht ganz sicher, aber das mit dem FullNat sollte aufjedenfall funktionieren, habe ich selbst mal gebraucht und zum selben Thema aus dem Forum (finde es aber gerade nicht). Das Thema hieß irgendwas mit "Client zu Client VPN".

    Die Benutzer-Netzwerke kannst du normalerweise in den "Network definitions" in einer "Network group" zusammenfassen.

    Grüße


    EDIT: Habs gefunden KLICK (Seite 2)
Cookie Information Banner