L2TP over IPSEC VPN von DMZ nach LAN1

flyingandy
flyingandy Posts: 5
First Comment
edited April 2021 in Security

was brauche ich für eine Firewall-Regel um eine L2TP-over_IPsec VPN-Verbindung zwischen der DMZ und LAN1 herzustellen?


USG 210

All Replies

  • s_k
    s_k Posts: 10  Freshman Member
    First Anniversary First Answer First Comment
    edited February 2020

    Hallo,

    das VPN terminiert nicht an der USG selbst, sondern die Endpunkte der VPN-Verbindung liegen in DMZ und im LAN1?

    Dann sieht Deine Firewall lediglich IPSec und muss folgendes durchlassen: ESP (Protokoll 50), AH (Protokoll 51) und IKE (UDP/500). NATT (UDP/4500) dürfte mangels NAT nicht erforderlich sein. Ebensowenig L2TP (TCP/1701) weil das ja in IPSec gekapselt und nur an den VPN-Endpunkten zu sehen ist.

    Gruß

    sk

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment

    Hallo @flyingandy und willkommen im Forum!

    Genau, es wäre interessant zu wissen, ob sich dein L2TP Client auf einen VPN-Server in der LAN1-Zone verbindet, oder den VPN-Server der USG nutzen soll.

    Per Default ist für die LAN- und DMZ-Zone ausgehend ins WAN alles erlaubt.

    Du kannst ja mal Log Alert auf die entsprechenden Firewall Regel setzen und in den Logs verfolgen, ob etwas bestimmtes geblockt wird. Das kannst du dann in der Firewall erlauben.

    Aber lass uns gerne mehr Infos wissen, dann können wir bestimmt auch näheres sagen.

    Beste Grüße

    Lukas

  • DMZ = 192.168.3.xxx

    LAN1 = 192.168.161.xxx

    WAN = 178.174.xxx.162

    Gateway = 192.168.161.254

    Ich will von einem PC in der DMZ eine VPN-Verbindung ins LAN1 machen, damit die Drucker im LAN1 erreicht werden können.

  • s_k
    s_k Posts: 10  Freshman Member
    First Anniversary First Answer First Comment

    und warum soll das über eine VPN-Verbindung abgesichert werden?

  • Es ginge auch ohne VPN

    welche Ports müssen geöffnet werden, damit aus der DMZ im LAN1 gedruckt werden kann?

  • Ich möchte die DMZ nicht durch irgendwelche Portfreigaben aushebeln.

    Eine DMZ ist eine DMZ

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment

    Hallo @flyingandy,

    wenn man von Default Firewall-Regeln ausgeht, fällt mir spontan folgendes ein.

    Du kannst eine weitere Firewall-Regel erstellen, die eine bestimmte Source IP in der DMZ zu einer bestimmen Destination IP (Netzwerkdrucker) im LAN erlaubt:

    Um das noch strikter zu machen, kannst du mal prüfen, welche Dienste für den Druck genutzt werden und in der Regel eintragen (ggf. Packet Capture oder Recherche).

    LAN-zu-Any ist per Default erlaubt.

    Per Default ist für die DMZ nur Richtung WAN alles erlaubt.

    Daher müsstest du mit der oben beschriebenen DMZ-zu-LAN Regel den Zugriff erlauben.


    Routing sollte kein Problem sein und per Default schon funktionieren.


    Beste Grüße

    Lukas

  • Vielen Dank - funktioniert


    Gruss Andreas

Security Highlight