Bintec RS123 - VPN für einzelne Nutzer

Dieses Thema im Forum "Bintec" wurde erstellt von ntq, 27. November 2019.

  1. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Hallo,
    ich habe letzte Woche den Bintec RS123 (V.10.2.6.102 IPv6) als Hauptrouter in unser kleines Firmennetzwerk eingebaut.
    Jetzt möchte ich einzelnen externen Mitarbeitern über VPN Zugriff gewähren. Da bin ich jetzt aber überfordert, denn ich habe nur Anleitungen gefunden um ganze Firmennetzwerke zu verbinden, aber keine Anleitung für einen einzelnen Nutzer, der irgendwo in einem Café sitzt und bei uns ins Netz möchte.
    Soweit ich das verstanden habe, muss ich L2TP über IPSec nutzen. Aber die Zusammenhänge verstehe ich nicht. In einem L2TP-Tunnelprofil muss ich lokale und entferne Hostnamen angeben, aber es gibt ja gar keinen entfernen Host, nur einen Client. Und auch die entfernte IP-Adresse kann ich nicht voraussehen. Was hat es überhaupt mit dem Passwort auf sich?
    Wenn ich einen Benutzer anlege, dann nehme ich an, dass ich als Verbindungstyp LAC und das soeben erstellte Tunnelprofil auswählen muss, da dieser externe Mitarbeiter natürlich ein Client ist und eine IP-Adresse aus dem lokalen Adresspool kriegen soll.

    Ich habe bisher nur Erfahrung mit der Konfiguration eines OpenVPN-Servers auf einer Ubuntu-Maschine. Das kam mir wesentlich übersichtlicher und besser dokumentiert vor. Deswegen tappe ich gerade etwas im Dunkeln bei dem Bintec. Ich hoffe ihr könnt mich erleuchten und mich in die richtige Richtung lenken.

    Am Ende sollten sich Mitarbeiter mit Windows 10, OSX und am besten noch Android über VPN mit dem Bintec verbinden und auf die Rechner im lokalen Netz zugreifen können. In meinem Android-Gerät kann ich z.B. zwischen PPTP, L2TP/IPSec PSK, L2TP/IPSec RSA, IPSec Xauth PSK, IPSec Xauth RSA und IPSec Hybrid RSA wählen. Wobe iich gelesen habe, dass man PPTP vermeiden sollte.

    Vielen Dank schon mal und entschuldigt den Roman.
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    vergiss mal l2tp (over IPSec): Das kann der bintec gar nicht :).

    Für alle von dir genannten Plattformen gibt es Tutorials, How-Tos in Text- und / oder Videoform:

    Beispielhaft:

    - Android - und -Windows 10 -.

    Falls du es mit diesen Anleitungen nicht zum Laufen bekommst, kannst du dich gerne wieder hier im Forum melden.

    VG
     
  3. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Danke!

    Die Anleitung für Windows 10 hat mir überhaupt nicht geholfen, weil man da keine einzelne Nutzer erstellen kann. Aber die für Android hat mich in die richtige Richtung gebracht. Allerdings wurde nicht erwähnt, dass man noch eine Firewall- und eine DNAT-Regel erstellen muss, damit man überhaupt nach außen offene Ports hat. Vorher hat mir nmap keinen einzigen offenen Port gezeigt, weder bei UDP, noch bei TCP.

    Jetzt kann ich mich über Android verbinden und bekomme eine IP aus dem richtigen Pool, allerdings kann ich auf niemanden im Intranet zugreifen. Ich dachte ich kann jetzt fröhlich auf irgendwelche Intranetserver verbinden, aber leider fehlt noch irgendwas. Nicht mal der DNS-Service des Gateways selbst funktioniert. Mein internes Netz ist 10.100.3.0/24, ich habe auch in den VPN-Einstellungen von Android als DNS-Server 10.100.3.1 und Weiterleitungsrouten 10.100.3.0/24 eingestellt. Trotzdem passiert nichts. Muss ich noch irgendwelche Löcher in irgendeine Firewall bohren oder NAT-Regeln vergeben? Momentan ist mein NAT nur für die öffentliche IP aktiv.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    selbstverständlich kann man das: Für jeden Benutzer gibt es ein eigenes IPSec-Peer, das sich mindestens in der Peer-ID von den anderen Peers unterscheiden muss. Um nicht so viele Peers erzeugen zu müssen, gibt es auch eine - Multi-User - Peer-Konfiguration. Die Clients müssen aber auch in diesem Fall auf unterschiedliche Peer-IDs konfiguriert werden. Bevor du wieder rum murrst: Ja, das muss sein.
    Dann solltest du die Konfiguration der Firewall und die NAT-Einstellungen deines Routers hier posten. Der rs123 ist der Default-Gateway in deinem Netzwerk?

    VG
     
  5. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Naja, mit der Multi-User-Konfiguration hat aber laut der Anleitung jeder Client das selbe Passwort bzw. den selben PSK. Ich brauche aber einzelne Nutzerkennungen und Passwörter, da ich später auch wieder Nutzer entfernen können muss, ohne dass danach alle anderen den PSK ändern müssen.

    Ach und wegen des Murrens: Ich wollte nicht murren, ärgere mich nur ein bisschen, dass ich das nicht alleine schaffe über die GUI, die meiner Meinung nach etwas unübersichtlich ist. Ich bin eher so der Linux Terminal Poweruser, der gerne man pages liest. :-D
    Diese Daten kann ich morgen hier posten, wenn ich wieder vor Ort bin.
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    Jaja, natürlich geht das: In den erweiterten Einstellungen das Xauth-Profil für die zugelassenen Benutzer wählen.

    VG
     
  7. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    So, endlich hab ich wieder Zeit dafür. Hier hoffentlich alle notwendigen Informationen:

    Ja, der RS123 ist der Default-Gateway im Netzwerk. Er ist der einzige Router im Haus. An en1-0 hängt ein Switch und daran alle Rechner im Haus. An en1-3 hängt eine Fritzbox, die nach außen eine wechselnde IP-Adresse hat, aber auch nur zu Backupzwecken dient, falls wider Erwarten en1-2 mal ausfallen soll. An en1-2 hängt ein Cisco-Router vom Provider und davor ein Glasfaser-Modem. Darüber haben wir eine feste IP und es gibt keinerlei vorgeschaltete Firewalls. Die an en1-2 konfigurierte IP-Adresse ist also die, die wir auch nach außen haben. Über diese soll das VPN laufen.
    upload_2019-12-9_12-1-27.png

    Der IPSec-Peer. Ich bin gerade mit einem Android-Gerät verbunden.
    upload_2019-12-9_11-41-16.png

    Hier die Konfiguration des Peers. Der IPv4-Zuordnungs-Pool ist der selbe, den auch DHCP im Intranet nutzt. Das heißt alle VPN-Clienten sollen auch eine IP-Adresse aus dem selben Bereich kriegen wie die Rechner im Haus.
    upload_2019-12-9_11-43-56.png
    upload_2019-12-9_11-44-35.png

    Die Firewall ist unberührt:
    upload_2019-12-9_11-45-18.png

    Die NAT-Schnittstellen sehen so aus:
    upload_2019-12-9_11-46-25.png

    Und hier die NAT-Konfiguration:
    upload_2019-12-9_11-54-40.png

    Das komische ist, dass der "Glasfaser-Ping" schon mal funktioniert hat und jetzt wieder nicht. Irgendwas mache ich da wohl komplett falsch. Ich hatte damit erreicht, dass ich den Router von außen anpingen kann. Das war eher so zu Debug-Zwecken. Mir ist einfach nicht klar welche Regel hier zuerst wo anspricht und auf welche Ports nun welcher Dienst gebunden ist. Ich hatte damals mit Stronswan auf einer Linux-Maschine keine solchen Probleme. Und mit dem VPN meiner privaten Fritzbox zu Hause auch nicht. Bitte erleuchte mich. :(
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    #8 CapFloor, 9. Dezember 2019
    Zuletzt bearbeitet: 9. Dezember 2019
    Hi,

    proxy-arp ist an en1-0 auch aktiv? Die Standard-Route über die FB hat eine höhere Metrik als über das Glasfaser-Modem?

    Ach so: Wie dir vielleicht schon aufgefallen ist, ändern sich beim "Multi-User" VPN-Peer bei jeder Einwahl die Interface-Namen, da die Peers immer neu generiert werden. Deshalb wirst du darauf niemals eine feste NAT-Regel konfigurieren können. Genauso wie man auf diesen Interfaces den administrativen Zugang nicht konfigurieren kann...

    Du hast ein Quell-NAT auf dem IPSec-Peer konfiguriert, d.h. eingehende Paket werden an einer solchen Schnittstelle nicht durchgelassen, wenn sie nicht "Ziel-geNATted" werden (das macht der bintec leider so). Mit deiner (Quell-geNATteten) Konfiguration kann es keinen eingehenden Netzwerk-Verkehr auf dem VPN-Interface geben. Um eingehenden Verkehr zuzulassen, kannst du entweder das Quell-NAT weglassen oder unter "NAT-Konfiguration" alle Port durchlassen:

    NAT eingehend offen.JPG

    VG
     
  9. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    proxy-arp ist an en1-0 aktiv. Die Standardroute über die Fritzbox hatte tatsächlich keine höhere Metrik, sondern die gleiche. Ich war mir sicher die komplette Standardroute zur Fritzbox gelöscht zu haben. Irgendwie ist sie wohl doch wieder reingerutscht. Die Metrik ist jetzt auf 2 und die des Glasfasermodems auf 1. http://ifconfig.me bestätigt das. Am liebsten wäre mir eigentlich ein richtiges Failover einrichten zu können, aber da hab ich noch nicht genauer nach geschaut. Notfalls eröffne ich bei Problemen einen neuen Thread. Die Fritzbox soll nur anspringen, wenn über Glasfaser nichts mehr rausgeht.

    Ich habe die beiden Quell-NATs nicht manuell angelegt. Du meinst doch die für ESP und AH, richtig? Die kamen automatisch mit dem Erstellen des IPSec-Peers, wenn ich mich richtig erinnere. Du meinst die kann ich einfach löschen?
    Ich habe versucht ein Quell-NAT nach deinem Screenshot zu erstellen. Dabei habe ich versucht als Interface den dynamischen Peer "VPN-9" zu nutzen und auch den originalen VPN-Peer "IPSEC_xxxx_VPN". Das ging leider beides nicht. Ich konnte kein Gerät hier im Netz anpingen.

    Vielleicht kurz zu meiner Testumgebung:
    Ich habe hier ein Android-Phone, ein Oneplus 5, verbinde mich über das mobile Netz (Vodafone) mit VPN und nutze die App "Ping & Net" um einen Linuxserver im Firmennetz über seine lokale IP anzupingen. Das funktioniert wunderbar, wenn ich mit dem Handy einfach im Firmen-WLAN (WLAN-Bridge zum Bintec an en1-0) bin, und über VPN nicht. Nur, damit du weißt, dass es nicht an etwas anderem liegen kann.

    Noch eine Frage:
    Momentan hab ich beim Ipsec-Peer als öffentliche Schnittstelle "Vom Routing ausgewählt" ausgewählt. Kann es helfen, wenn ich da explizit en1-2 auswähle und das erzwinge? Oder soll ich das lieber in Ruhe lassen?
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,
    ich meine in deinem "NAT-Schnittstellen" Bild das angeschaltete NAT bei "IPSec-xxxx" ("NAT aktiv" Schalter).
    Das ist ein "Ziel-NAT". Besser als ein Ziel-NAT einzurichten ist, das Quell-NAT abzuschalten.
    Das würde nur bei initial ausgehenden VPN-Verbindungen helfen. Tut hier also nichts zur Sache.

    Schalte erstmal das aktive NAT auf den IPSec-Peer ab (unter NAT-Schnittstellen).

    VG
     
  11. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Ohja. Ich hab auch ein "Ziel-NAT" gemacht, aber es hier falsch geschrieben. Mittlerweile habe ich das auch wieder gelöscht wie du ja empfohlen hast, siehe unten.

    Ich habe NAT für "IPSec-xxxx" abgeschaltet und auch nochmal den dynamisch erzeugten IPSec-Peer "VPN-9" gelöscht. Nach einer Neuverbindung vom Smartphone aus, gibt es jetzt den neuen IPSec-Peer "VPN-10". NAT ist für das entsprechende Interface auch wie erwartet deaktiviert. So sieht's jetzt aus:
    upload_2019-12-9_14-4-14.png

    Leider mag es immer noch nicht. Welche Informationen kann ich dir noch geben? Das interne Protokoll beim Monitoring hilft mir irgendwie auch nicht weiter.
     
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    das ist doch ein Firewall Problem, denke ich. Die dynamisch erstellten VPN-Peers können ja nicht als vertrauenswürdige Interfaces definiert werden. Deshalb muss es eine Firewall-Regel geben, die das Subnetz der VPN-Clients in der Firewall für (alle) Dienste freischaltet.

    Dazu musst du unter "Firewall->Adressen" für das VPN-Subnetz, also z.B. für 192.168.251.0/24, einen Eintrag, z.B. VPN-rw, anlegen. Unter "Firewall->Richtlinien" dann nur noch eine Regel anlegen, die für dieses Subnetz als Quelle, alles andere auf "any", den Zugriff erlaubt.

    VG
     
  13. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Also für's VPN habe ich kein extra Subnetz. Könnte das Probleme machen? Ich nutze da das gleiche Subnetz wie für den DHCP-Server, in dem Fall 10.100.3.0/24.
    Hier zunächst die neue Adressliste:
    upload_2019-12-9_17-46-47.png
    Dann die neue Richtlinie:
    upload_2019-12-9_17-47-15.png
    Im Detail:
    upload_2019-12-9_17-47-36.png
    Dabei habe ich festgestellt, dass die Firewall in den Optionen gar nicht aktiv war. Das habe ich jetzt nachgeholt und dann konnte ich mich gar nicht mehr mit dem VPN verbinden bis ich eine weitere Richtlinie hinzugefügt habe:
    upload_2019-12-9_17-52-17.png
    upload_2019-12-9_17-51-58.png
    Jetzt kann ich mich zwar wieder von Android aus mit dem VPN verbinden, aber anpingen kann ich immer noch nichts. Aber wenn vorher die Firewall sowieso komplett aus war, dann hätte das ja auch schon vorher funktionieren müssen, wenn es daran gelegen hätte, richtig?

    Grüße,
    Nicolas
     
  14. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Hier noch meine Firewall-Optionen:
    upload_2019-12-9_18-1-5.png
     
  15. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    du musst die Firewall-Regeln für den IPSec-Zugang um den Dienst ipsec-natt und das Protokoll ESP erweitern oder kannst die aktuelle ipsec Regel löschen und dafür die Schnittstelle zum Modem auf "vertrauensvoll" setzen. Der Zugang aus dem Internet ist weiterhin über NAT "geschützt"...

    Hast du bei der Client-Konfiguration irgendwas bei DNS Server oder Routen-Weiterleitung eingetragen?
    Hast du ein anderes Android-Gerät zum Testen zur Verfügung, vielleicht was vom Samsung?

    VG
     
  16. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Daran habe ich auch schon gedacht, aber mich noch nicht getraut. Das mache ich mal zuerst.

    Beim Clienten habe ich zunächst ohne besondere Einstellungen probiert und dann auch mit einer clientseitigen Route 10.100.3.0/24 probiert und mit 10.100.3.1 als DNS-Server. Aber jetzt probiere ich erst mal Punkt 1.
    Von Samsung? Da müsste ich wohl suchen. Ich glaube da hat hier kaum jemand sowas, eher Huawei, Xiaomi oder ähnliches. Aber das wäre auch schlecht, wenn das ein Problem darstellen würde.
     
  17. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Okay, ich Schlaumeier hatte alle Schnittstellen unter LAN -> IP-Konfiguration auf "Nicht vertrauenswürdig" stehen, sogar das interne Netz 10.100.3.0/24 an en1-0. Ich habe jetzt en1-0 und en1-2 (Glasfaser) auf vertrauenswürdig gestellt und in der Firewall die angelegten Richtlinien nochmal deaktiviert.

    Aber nunja, es geht leider immer noch nicht. Ich kann mich verbinden, aber Pings gehen nicht durch.
     
  18. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.380
    Punkte für Erfolge:
    160
    Hi,

    schalte mal das Interface zur FB vollständig ab. Und boote zwischendurch den Router auch mal (vorher das Speichern der Konfiguration nicht vergessen).

    VG
     
  19. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Naja, den Router mal eben neu booten kann ich erst machen, wenn hier keiner mehr arbeitet, sonst werde ich geköpft.

    Das mit dem Abschalten der FB versuche ich nach dem Essen mal.

    Danke nochmal für all die Hilfe und die Ideen!
     
  20. ntq

    ntq Gelegenheits-User

    Registriert seit:
    30. August 2016
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Ich glaub's nicht. Ich habe die Fritzbox-Anbindung gelöscht und Zack, alles geht. Shit. Jetzt heißt es wohl langsam rückwärts an die Sachen rangehen, damit die Fritzbox irgendwie noch dran hängen kann, aber tatsächlich nur im Notfall etwas über sie läuft.