Fernem VPN-Netz den Zugriff verweigen

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon linuxpete » So 21.03.2004 - 10:35

Hallo Forumuser,
ich habe erfolgreich eine VPN-Verbindung zwischen einem Vigor 2500WE als Client (DynDNS) und einem IPCop-Server (feste IP) via IPSEC hergestellt (HOWTO wurde von mir erstellt und kann ggf. gepostet werden). Jetzt möchte ich, dass das entfernet Netz keinen Zugriff auf das "Vigornetz" hat. Leider ist mir das in den Firewallrules des Vigor noch nicht gelungen. Hat jemand einen Tip?
-- Peter --
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon cne51 » So 21.03.2004 - 11:19

Hi,

wofür baust Du ein VPN Netz auf, wenn keien Daten übertragen werden sollen?

Welche Option hast Du bei dem VPN Netz eingestellt?

Richtung In, Out, Both?
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Beitragvon linuxpete » So 21.03.2004 - 13:26

Hallo cne51,
vielleicht habe ich mich falsch ausgedrückt. Hier (semi)grafisch das Netz:
IPSEC
192.168.40.0/24---Vigor----------FreeSWAN----192.168.100.0/24

Von 192.168.40.0/24 soll alles nach 192.168.100.0/24 erlaubt sein, von 192.168.100.0/24 nach 192.168.40.0/24 soll nichts erlaubt sein. Ist das überhaupt mit dem Vigor möglich? Ich habe unter "> Spezielle Einstellungen > IP Filter und Firewall" die Regel Nr.2 "Default Data Filter" dahingehend geändert, dass ich bei "Verknüpfter Filtersatz den Filtersatz Nr.4 angegeben habe. Dann habe ich einen Filtersatz Nr.4 angelegt. Dort habe ich angegeben:
Filterregel aktiv: gesetzt
Durchlassen oder Blockieren: "Sofort Blockieren"
Weiterleiten an: "Keinen"
Richtung: "Rein"
Protokoll: "Jedes"
Quelle: 192.168.100.0 255.255.255.0/24
Ziel: 192.168.40.0 255.255.255.9/24
Fragmente: "Egal"

Aber Ping, SSH auf einen Server, eigentlich alles ist noch erlaubt.

Ach ja, die Verbindung wird vom Vigor zum FreeSWAN-Server aufgebaut, d.h. Richtung "Raus"

--Peter--
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon cne51 » So 21.03.2004 - 15:05

Hast Du bei der LAN-LAN Kopplung auch angegeben dass der Tunnel nur in eine Richtung genutzt werden soll?
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Beitragvon linuxpete » So 21.03.2004 - 19:30

Leider weiss ich nicht, wo genau ich angeben kann, dass der Kanal nur in eine Richtung genutzt werden soll. Meinst Du auf dem Vigor oder auf dem FreeSWAN?
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon cne51 » Mo 22.03.2004 - 08:01

Du baust vom Vigor eine VPN Verbindung zum entfernten Netz auf?

Das entfente Netz soll jedoch keinen Zugriff auf das lokale Netz haben?

Dann werden die EInstellungen im Vigor vorgenommen.

Im Webinterface => LAN-LAN Verbindung kannst Du bestimmen in welche Richtung die Datenübertragung zulässig ist.
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Beitragvon linuxpete » Mo 22.03.2004 - 09:26

Ja, ich braue eine VPN-Verbindung vom Vigor zu einem entfernten Netz auf. Ich habe unter "> Spezielle Einstellungen > VPN / LAN-LAN Verbindung" bei Verbindungsrichtung "Raus" angegeben. Somit müsste auch der Zugriff vom fernen Netz nicht möglich sein. Ist er aber.
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon ghofmann » Mo 22.03.2004 - 13:46

Soweit ich weiss, ist hier mit "raus" auch nicht die Verbindungsrichtung gemeint, sondern die Richtung des VerbindungsAUFBAUS. Sprich, dein Vigor baut immer den Tunnel zum IPCOP auf, nie umgekehrt. Was aber nix dran aendert, dass bei bereits aufgebautem Tunnel das IPCOP-Netz ins Vigor-Netz reingreifen kann.

Gruss
Gerhard
ghofmann
Ambitionierter User
 
Beiträge: 40
Registriert: Di 13.01.2004 - 16:18

Beitragvon Gargamel » Mo 22.03.2004 - 14:01

Aloha!

@Gerhard: Full ACK, so ist es - ich zitiere mal aus dem Handbuch zum Vigor2600 (der Sachverhalt dürfte jedoch beim 2500er derselbe sein):

Verbindungsrichtung:
Über diese Option können Sie einstellen, in welche Richtung diese VPN-Verbindung aufgebaut werden kann. Ist "Raus" aktiviert, so kann dieser Router nur eine Verbindung zu einem anderen Router aufbauen, er selber kann nicht angewählt werden. Wählt man die Option "Rein" nimmt der Router zwar eine Verbindung an, baut aber selber keine auf. In diesem Zusammenhang erklärt sich "Beides" eigentlich von selbst.
Ist eine Verbindung einmal aufgebaut, können unter Umständen die Netzwerke beider Router aufeinander zugreifen! Diese Einstellung gilt also wirklich nur für den Aufbau der Verbindung.


Das hilft also nicht, der richtige Ansatz ist aber die Firewall - und die von Peter angegeben FW-Regel ist auch vollkommen in Ordnung (wobei vermutlich die Zielsubnetzmaske eine "255.255.255.0/24" ist. :)
Diese Regel sollte in der Tat alles in das Vigor-Netz blocken, tut dies aber angeblich nicht. Mögliche Fehlerquellen sind hier:
- Das Durcheinanderschmeissen von Filtersätzen und Filterregeln: warum machst du das so kompliziert? Verknüpfte Filtersätze sind hier doch gar nicht notwendig! Setze die besagte Regel doch einfach als Regel Nr. 2 in den Default-Data-Filter-Satz 2, ohne irgendwelche Verknüpfungen zu definieren.
- Einige frühere Firmwares zickten bei der Protokollangabe "jedes" ein wenig herum - alternativ empfiehlt sich "TCP/UDP".

Was loggt denn der Vigor im Firewall-Log (Häkchen im Feld "Log" setzen! ), wenn Du vom entfernten Netz zugreifen willst?

Ich bin überzeugt, dass eine korrekte FW-Konfiguration den gewünschten Erfolg bringt - evtl. schiesst sie aber auch über das Ziel hinaus und verhindert einen erfolgreichen IPSEC-Tunnel-Aufbau, das werden wir ja noch sehen...

Viel Erfolg,
habt Spass,
Garga
Benutzeravatar
Gargamel
Power-User
 
Beiträge: 112
Registriert: So 29.04.2001 - 23:59

Beitragvon defence » Mo 22.03.2004 - 18:49

Hallo,

ich glaube, dass die FW-Regel, die linuxexperte am 21.03.04 übermittelt hat, nicht funktioniert. Ich muss vorausschicken, dass ich meinen Router mit dem englischen Web-Interface betreibe und nicht genau weiß, was mit "Verknüpfter Filtersatz" gemeint ist. Ich vermute aber, dass diese Option im englischen Interface "Branch to other Filter Set" heißt (Es ist die Option direkt unter "Check to enable the Filter Rule").

Falls meine Vermutung falsch ist, braucht Ihr nicht weiterzulesen.

Sollte meine Vermutung richtig sein, bringt der Eintrag von linuxexperte im Feld "Verknüpfter Filtersatz/Branch to other Filter Set" nichts, überhaupt nichts.

Damit wird nämlich nicht etwa ein Sprung in ein anderes Filter-Set eingeleitet, sondern eine Gruppierung versucht, die der Vigor nicht beherrscht. Im Endergebnis arbeitet der Router mit der nächsten Regel und nicht mit dem Set weiter, welches unter "Verknüpfter Filtersatz/Branch to other Filter Set" eingetragen wurde.

Wen die Einzelheiten interessieren, kann diese auf Seiten 46 f. der Firewall-Anleitung nachlesen, die man bei www.vigor-users.de herunterladen kann.

Grüsse
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15

Beitragvon linuxpete » Di 23.03.2004 - 09:05

Also, fasse ich nochmals zusammen:
Keinen neuen Filterset erstellen, sondern innerhalb des Filtersets eine neue Filterregel (hab ich auch schon gemacht, bringt nichts). log -f zeigt GAR NICHTS an. :(
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon defence » Di 23.03.2004 - 20:28

Hallo,

ich bin kein VPN-Spezialist und würde mich am liebsten aus dieser Diskussion ausklinken, will das aber nicht ohne einen letzten Kommentar tun: Ich habe Zweifel, ob der in dieser Diskussion vorgestellte Lösungsansatz richtig sein kann: Wenn ich ein VPN aufbaue, dann hole ich mir die externen Rechner in mein Netz genau so, als seien es interne Rechner. Habe ich aber erst einmal die externen Rechner auf diese Weise ausgezeichnet, dann greift die Firewall genausowenig, wie bei allen anderen Rechnern im LAN.

Mit anderen Worten: Die Lösung des angesprochenen Problems muss in der VPN-Konfiguration und nicht bei den Einstellungen der Firewall gesucht werden.

Einen ersten Überblick über die Probleme eines VPN iVm einer Firewall liefert dieser Artikel:

http://www.de.tomshardware.com/network/20030726/index.html

Grüsse
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15

Beitragvon linuxpete » Mi 24.03.2004 - 07:59

@defence:
Eine VPN-Verbindung bedeutet nicht unbedingt, dass beide Netze in beide Richtungen uneingeschränkten Zugriff haben müssen. Ich gebe zu, dass es weinig Sinn macht beide Richtungen komplett zu blockieren (dann habe ich eine VPN-Verbindung, über die aber keine Daten gehen - doll). Ich will aber lediglich, dass der Datenverkehr, der vom Nicht-Vigor-Netz initiert wird gefiltert wird. Das Netz hinter dem Vigor soll ja uneingeschränkten Zugriff haben. Um dies zu realisieren müssen Firewallrules erstellt werden. Ich kann das auch auf dem FreeSWAN-Server, der als Gegenstelle dient, mit IPTables machen, ich dachte nur, dass der Vigor eine schöne graphische Oberfläche hat und ich es damit realisieren kann.

--- Peter ---
linuxpete
User
 
Beiträge: 15
Registriert: Fr 19.03.2004 - 12:48

Beitragvon defence » Mi 24.03.2004 - 17:48

Hallo linuxpete,

obwohl ich eigentlich nicht der richtige Ansprechpartner bin, hat mich die Sache jetzt doch interessiert und ich habe noch einmal weitergesucht und eine eigentlich ganz brauchbare Beschreibung des BSI für den Aufbau eines VPN unter Linux gefunden:
http://www.bsi.bund.de/gshb/deutsch/m/m05083.html

Wie man sieht, kann man unter Linux alle möglichen Parameter gezielt einstellen, und da liegt nach meiner Auffassung eben auch der Haken der "schönen graphischen Oberfläche" des Vigor. Ich weiß ja nicht, wie der router die Eingaben auf dieser Oberfläche in den Befehlssatz umsetzt: Welche Ports benutzt er für den Tunnel ? Gibt er diese ports automatisch frei mit der Folge, dass die FW-Regeln durch die VPN-Einrichtung "übersteuert" werden ? usw. usw. Für die letzte Vermutung spricht der Hinweis im Web-Interface des Routers, wo die VPN-Verbindungsprotokolle aktiviert werden: An dieser Stelle weist Draytek darauf hin, dass man die Protokolle deaktivieren und (!) die erforderlichen Ports in der Firewall freischalten muss, wenn man hinter dem Router einen VPN-Server betreiben will. Daraus muss man eigentlich umgekehrt schließen, dass ich an der Firewall nichts freischalten muss, wenn ich keinen VPN-Server betreibe; sprich: Die Ports sind frei (oder umgekehrt: ich kann sie nicht sperren).

Die gleichen Erfahrungen habe ich ja auch mit dem Web-Interface für die Firewall-Regeln gemacht. Die übersetzt der Router in den ipf-Regelsatz und das eben auf teilweise sehr eigenwillige Weise (Branch to other filter Set ist nur ein Beispiel, Keep State war ein anderes). Erst unlängst habe ich durch eine Diskussion hier im Forum herausgefunden, dass der vigor die ftp-Datenkanäle automatisch freischaltet, wenn man den Kommando-Kanal freigibt. Meine anderen Firewalls tun das nicht. Abstellen kann man das Verhalten des Vigor auch nicht. Das alles ist eben eine Folge der "schönen graphischen Oberfläche", die der vigor braucht, damit man ihn verkaufen kann. Ich möchte die Testergebnisse nicht sehen, wenn der vigor komplett über Telnet programmiert werden müsste (von "nur für Profis..." bis "völlig unbrauchbar ..."). Umgekehrt könnte man den vigor wahrscheinlich wesentlich flexibler einstellen, wären alle Optionen über Telnet zugänglich.

Mir ist aber inzwischen eingefallen, dass man Dein Problem zu einem (wenn auch vielleicht unbefriedigenden) Ende bringen kann: Gebe doch einfach in den vigor als erste Data-Regel eine Block-Regel für alle eingehenden Pakete ein. Kommt der FreeSWAN-Server dann immer noch rein, kann man Dein Problem nicht mit der FW des Vigor lösen. Kommt er nicht rein, könnte man es ja z.B. einmal mit Block-Regeln für eingehende Pakete über die Ports 50, 51 und 500 probieren.

Grüsse
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15

Beitragvon cne51 » Do 25.03.2004 - 12:25

Ich habe noch mal die Anleitung des Routers studiert. :)

Dabei folgendes gefunden:
Beispielkonfiguration für ein unidirektionales Virtual Private Network (VPN)
VPN ermöglicht es, über das Internet zwei Netzwerke quasi direkt zu verbinden, d.h. Geräte des einen Netzes können über die IP-Adresse eines Gerätes im anderen Netz unmittelbar Kontakt zu dem dazugehörigen Gerät herstellen. Ausserdem kann die Verbindung verschlüsselt und anhand eines Schlüsselwortes gesichert werden.

Sie benötigen dafür zwei Router, die über bekannte IP-Adressen mit dem Internet verbunden sind.

Eine unidirektionale Konfiguration empfiehlt sich, wenn man eine einseitige Verbindung aufbauen möchte. Daten werden nur von dem Anrufer aus angefordert. Rechner im externen Netz können nicht auf Rechner im eigenen (lokalen) Netz zugreifen.

Sinnvoll ist diese Art des Verbindungsaufbaus, wenn man z.B. vom Heimbüro auf zentrale Daten und Datenbanken in der Firma zugreifen will oder wenn man via Timbuktu, PC-Anywhere oder Mac OS Server Admin eine Fernwartung durchführen möchte.

Die Verbindung wird automatisch aufgebaut, wenn man die entsprechende IP-Adresse anwählt.

Der Einfachheit halber wird in diesem Beispiel der Aufbau einer PPTP-Verbindung erklärt.

Achtung!!
Rechner mit sicherheitsrelevanten Daten oder Daten, die auf keinen Fall in fremde Hände kommen dürfen, sollten nie über das Internet verbunden werden. Auch die Verwendung von IPSec ist kein vollkommener Schutz!


Sie müssen in jedem der beiden Router Einstellungen für das VPN Netzwerk vornehmen.

In unserem Beispiel soll der Router in der Zentrale auf das Netzwerk in der Aussenstelle zugreifen können, aber nicht umgekehrt.

I. Router in der Zentrale

Konfigurieren Sie zunächst den Router in der Zentrale:

Wählen Sie im Hauptmenü unter "Spezielle Einstellungen" das Menü "VPN und externe Einwahl".

VPN / LAN-LAN-Verbindung

Öffnen Sie den Punkt "VPN / LAN-LAN-Verbindung" und klicken Sie auf ein freies VPN / LAN-LAN Profil für Ihre VPN-Verbindung.

1. Grundeinstellung

Schalten Sie das Profil auf "aktiv" und geben Sie dem Profil einen Namen, z.B. "Zentrale".

Der Aufbau des VPN-Netzes soll nur von diesem Router aus möglich sein, klicken Sie deshalb bei "Verbindungsrichtung" auf "Raus".

2. Verbindungsaufbau zu externem LAN

Wir wählen als Protokoll für die Einwahl bei dem anderen Router PPTP.

Tippen Sie als Benutzernamen "Zentrale" ein und vergeben Sie ein Passwort , z.B. "Zentrale". Achten Sie auf Gross- und Kleinschreibung!

Bei "IP-Adresse oder Domain-Name des Servers:" geben Sie bitte die Internet-IP-Adresse des Routers der Aussenstelle an. Im Beispiel ist dies 213.7.106.15.



3. Einwahl von externem LAN

Da die Verbindung nur in eine Richtung erfolgen soll, muss hier nichts eingetragen werden.

4. TCP/IP-Einstellungen

Diese beiden Einträge legen fest, welche IP-Adressen in dem entfernten Netz liegen. Wird so eine IP-Adresse über den Vigor 2500 angefragt, wählt er automatisch das andere Netz an.


Beispiel:

Entfernte Netzwerk IP: 192.168.0.0
Entfernte Teilnetzmaske: 255.255.255.0

Werden Adressen zwischen 192.168.0.1 und 192.168.0.255 angefragt, wird eine Verbindung zum entfernten Netzwerk aufgebaut.


Wählen Sie bei "RIP Pakete tauschen" den Eintrag "Beide Richtungen" und bei RIP Version "Ver.2".

Wichtig! Bei der NAT Einstellung muss für die Zentrale "NAT ein" gewählt sein. Ansonsten können Rechner im Netzwerk der Aussenstelle während der VPN-Verbindung auf Rechner im Netzwerk der Zentrale zugreifen.

Bestätigen Sie Ihre Änderungen in diesem Menü mit "OK".
Benutzeravatar
cne51
Hardcore-Poster
 
Beiträge: 1904
Registriert: Fr 12.09.2003 - 16:37
Wohnort: MS / OS

Nächste

Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron