OpenVPN von ROT geht, von BLAU nicht?

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • OpenVPN von ROT geht, von BLAU nicht?

      Hallo,

      ich habe hier eine EFW 2.5.1 Community für den Echteinsatz in der Firma geplant und stosse auf ein Problem.

      Es gibt ein

      Grünes 192.168.81.x
      Blaues 192.168.82.x

      Netz. Im blauen Netz befinden sich PCs, welche bei uns im Gebäude öffentlich zugänglich sind. Da diese blauen PCs unter
      bestimmten Bedingungen Kontakt nach Grün benötigen, sollte dieser mittels OpenVPN hergestellt werden.

      OpenVPN ist eingerichtet und funktioniert auch, wenn der Client über Rot kommt. Kommt der gleiche PC über Blau, natürlich dann mit blauer IP, bleibt OpenVPN mit tls-Error hängen. Was eigentlich auf ein Konfigurationsproblem im Netzwerk bzw. der Firewall zusammenhängt.

      Ich habe jetzt schon alles probiert, den InterZone-Traffic zwischen Grün und Blau in beide Richtungen komplett geöffnet.
      In den ausgehenden Regeln Blau nach Rot offen gelegt. Es ändert sich nichts. Die Firewall gibt auch keinen Block oder Drop aus,
      woran man sich hätte orientieren können. Die Verbindung zum OpenVPN-Port ist auf "ACCEPT", es bleibt aber beim TLS handshake failed".

      Ich stehe vor einem Rätsel und benötige eine helfende Idee.

      Oder geht OpenVPN von Blau auf die EFW garnicht?

      Vielen Dank schon einmal im Voraus.

      Grüße
      Karsten
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      "Karsten" schrieb:

      [...]
      Im blauen Netz befinden sich PCs, welche bei uns im Gebäude öffentlich zugänglich sind. Da diese blauen PCs unter
      bestimmten Bedingungen Kontakt nach Grün benötigen, sollte dieser mittels OpenVPN hergestellt werden.


      Wieso willst Du hier eine (zusätzliche) VPN-Verbindung herstellen? Die PCs befinden sich ja bereits im blauen Netz und somit auf der EFW. Was evtl. noch fehlt sind Regeln von Blau nach Grün.

      Mit OpenVPN stellst Du einen Zugang von AUSSEN, sprich über's Internet her. Und das ist i.d.R. die rote Schnittstelle. Dass diese Variante funktioniert hast Du ja bereits erfolgreich getestet.


      Gruß
      Meisen
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      "Meisen" schrieb:

      Wieso willst Du hier eine (zusätzliche) VPN-Verbindung herstellen? Die PCs befinden sich ja bereits im blauen Netz und somit auf der EFW. Was evtl. noch fehlt sind Regeln von Blau nach Grün.


      Hallo, Meisen,

      ich versuche noch mal meine Gedanken zu formulieren.

      Im grünen Netz sind alle internen Server und PCs (Büros, Serverraum etc.) zu finden auf denen von außen niemand Zugriff haben soll. Im blauen Netz sollen alle PCs sein, welche sich räumlich gesehen außerhalb, im öffentlichen Bereich, und damit außerhalb meiner Kontrolle befinden. Ich will vermeiden, dass wenn sich jemand einer Netzwerkdose fremd bedient, wegen offener Ports, den direkten Durchgang nach Grün hat. Daher mein Gedanke mit OpenVPN von Blau aus die Verbindung nach Grün aufzubauen.

      Ich versuche also mit Hilfe des blauen Netzes zwei voneinander getrennte Netzwerke zu betreiben.

      Oder bin ich hier völlig auf dem Holzweg?

      Gruß
      Karsten
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      "Karsten" schrieb:

      Ich versuche also mit Hilfe des blauen Netzes zwei voneinander getrennte Netzwerke zu betreiben.


      Ok, das mit den 2 unabhängigen Netzwerken habe ich verstanden. Warum nimmst Du nicht das orangene Netzwerk? Ist zwar als DMZ gedacht, entspricht aber im Ansatz Deinen Anforderungen.


      Gruß
      Meisen
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      Das habe ich auch gerade versucht. Das Ergebnis ist leider das selbe. Die Verbindung auf dem OpenVPN-Port ist laut Protokoll auf ACCEPT, aber das TLS handshaking klappt nicht.

      Was mich stört. Ich habe die Inter-Zone Firewall und die ausgehende Firewall testweise deaktiviert. Das Firewall-Protokoll zeigt aber nach wie vor jede Menge gedropter Pakete an (ich meine jetzt nicht von Rot nach Grün, das erwarte ich, aber von Grün nach Grün und zwischen den anderen Zonen). Es ist nicht mal ein Ping von Orange nach Grün möglich (von Grün nach Orange geht es). Was schaltet man denn dort ab?

      Ich vermute die EFW hat intern jede Menge Voreinstellungen, die nach oben nicht sichtbar werden und einem das Leben schwer machen.
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      Kurze Rückmeldung zum Stand der Dinge.

      Ich habe mich jetzt mal mit der Firewall IPFire beschäftigt. Hier funktioniert mein Szenario.
      Der OpenVPN-Server lässt sich hier auch auf Blau und Orange aktivieren. Der Zugang erfolgt dann nicht über die IP von Rot, sondern von Blau.
      Ich denke mal, dass die EFW es nicht vorsieht aus den anderen Zonen heraus den OpenVPN-Server zu kontakten, zumindestens nicht über die Oberfläche. Schade.
    • Re: OpenVPN von ROT geht, von BLAU nicht?

      Über einen Umweg über die IPfire, pfSense, IPCop bin ich wieder bei der Endian angekommen.

      Bei den oben genannten Firewalls kann man den OpenVPN-Server explizit für die blaue Zone aktivieren. Dieser wird dann über die blaue IP x.x.x.1 angesprochen. Ich habe jetzt einfach mal bei der Endian probiert, den OpenVPN-Server über die blaue IP anstelle der Roten anzusprechen und siehe da, es wird geantwortet und ein Tunnel gebaut :D

      Komisch das dies nirgendwo dokumentiert ist.