xDSL.at

[Simonsway]

Hallo

Ich habe eine kurze Frage, vielleicht kann mir jemand leicht helfen. Wir haben unsere Zywall lange nur in Verbindung mit VPN verwendet. Das hat auch alles im super funktioniert. Gestern habe ich erfolgreich eine Firewall Rule hinzugefügt, die uns uns ermöglicht auf einen Server im internen Netzwerk zu erreichen. Auf diesem Server lauft ein Web Service unter einem bestimmten Port. Das lustige ist jetzt, das ich den Web Service von außen super erreichen kann, leider das VPN aber nicht mehr.

Any idea?

Danke im Voraus

[Stefan Hedenig]

ist dieser bestimmte port vielleicht 1723 oder 500?

[ANOther]

wie versuchst du, den server zu erreichen?

mit www.meinwebserv.er?

[Simonsway]

Hey

Jo habe den Port 501 verwendet, kann doch nicht sein das ich genau den falschen verwendet habe?
Muss ich wohl gleich morgen in dem Fall probieren
Welchen Port müsste ich dann verwenden? Gibt es da freie Ports?

LG und danke für die schnell Rückmeldung.

[Stefan Hedenig]

Hi,

501 müsste an sich wurscht sein, aber:

500 _ UDP Internet Security Association and Key Management Protocol (ISAKMP)

500 wäre genau der Port der für die VPN Keyverhandlung (Phase 1) verwendet wird.
nimm sicherheitshalber einen Port über 1024 (1035 sollte safe sein).

Edith: Selbst die 500 wäre nur UDP und nicht TCP, aber der durchschnittliche Faulpelzinger (ich auch) forwardet mal gern beides wenn man nicht so recht nachdenken will *g*

[Viennaboy]

Was ist mit SSL VPN ?

[Simonsway]

Hey

Ich bin leider noch nicht dazu gekommen, würde als erstes mal den Port noch ändern.
Wenn das nicht klappt, dann mal SSL VPN, hab zwar davon noch nie was gehört.

LG

[Stefan Hedenig]

SSL VPN (wenns als TCP-basierter Dienst wie zb. SSTP implementiert ist) ist keine besonders coole idee, insbesondere wegen dem TCP Meltdown Problem. Ich denke wenn die Zywall sowas implementiert hat, dann auf TCP Port 443 (HTTPs) - ergo wär das eher... ungemütlich.

Das sollte man echt nur verwenden wenn _garnix_ anderes mehr fruchtet. Da würd ich vorher noch zu PPTP oder OpenVPN-UDP greifen.

[Simonsway]

Hey alle zusammen

Habe jetzt mal den Port geändert, das auch auf der Zywall umgestellt. Leider funkt das VPN nicht mehr.
Ich habe ja eigentlich nicht mehr gemacht als ein Portforwarding auf eine IP im internen Netzwerk.

Any idea? Warum das VPN nicht mehr geht?

[Simonsway]

Sorry, das bekomme ich als Problem, beim Rechner der sich verbinden will.

Nov 07, 17:26:40 Error IKE phase2 negotiation failed due to time up waiting for phase1.

[al]

Habe jetzt mal den Port geändert, das auch auf der Zywall umgestellt. Leider funkt das VPN nicht mehr.
Ich habe ja eigentlich nicht mehr gemacht als ein Portforwarding auf eine IP im internen Netzwerk.

Any idea? Warum das VPN nicht mehr geht?

Offenbar hast Du da irgendwas falsch gemacht. Ohne Zugriff auf die Kiste kann man da auch keine Ferndiagnose machen... Du musst alle Einstellungen Punkt für Punkt hinterfragen.

Für IPsec muss WAN to ZyWall IKE und BOOTP_CLIENT erlaubt sein.

Und fürs Port-Forwarding musst Du das Port-Forwarding an sich und die WAN to LAN Ausnahmeregel eingetragen haben.

/al

[Simonsway]

Hey

Habe jetzt alles nochmal probiert, komm nicht dahinter.

Ich habe ja nichts wirklich verändert.

VPN hat immer super funktioniert, bis zu tage als ich das Portforwarding und die Firewall Rule dazu geschalten habe.
Ab dem Zeitpunkt funktioert das Portforwarding aber VPN nicht mehr.

Portforwarding verwendet den por 501.

Vielleicht hat jemand ja schon mal die gleich Situation.

Ich habe damals das VPN genau nach dieser Anleitung eingerichtet.

http://www.lobotomo.com/products/IPSecu ... 0HOWTO.pdf

Dabei war die Zywall im Werkszustand, also keine Firewall Änderungen oder so.

LG

Und danke im Voraus