Avatar billede teamdev Novice
08. juni 2008 - 08:19 Der er 12 kommentarer og
1 løsning

ZyWall 5 UTM VPN problemer

Hej alle i kloge mennesker.

Jeg har nogle vanskeligheder med at få min ZyWall til at fungere med VPN.

Beskrivelse af netværket:

WAN - Router - ZyWall - LAN

Router hedder 192.168.1.1 på lan siden og er NAT'et til at forwarde al traffik til ZyWall på 192.168.1.2
ZyWall hedder 192.168.1.2 på wan siden og 10.0.0.1 på lan siden

ZyWall er sat op til også at være DHCP server i området 10.0.0.2 - 10.0.0.254

Der er sat NAT regel op i ZyWall for portene 21-22 til 10.0.0.9
og for port 4569 til 10.0.0.25

Jeg har sat en VPN regel op så jeg i princippet skulle kunne tilgå netværket hjemmefra. Alle settings her er ens. Men jeg får ikke hul igennem til ZyWall på den offentlige adresse.

Nogen der har forslag?
Noget der skal gøres anderledes
Avatar billede blindko Nybegynder
08. juni 2008 - 10:50 #1
Hejsa,

kan du give lidt info om din udbyder, TDC - Cybercity ......
grunden til jeg spørger er at jeg kan bruge min Zywall 35 usg lige efter mit tdc modem og udlade routeren og på den måde udelukker man en fejl kilde.

Der ud over kunne det være rart at teste med en service der svarer tilbage f.eks. en webserver, installer en apache/IIS server på en af maskinerne på det inderste lan, der efter tester du om du kan gå ind på den via dit inderste lan (apache har en velkomst side), hvis du kan det så pej port 80 over til den maskine i din zywall og prøv at tilgå webserveren via din eksterne ip adresse.

det kunne også være rart at vide hvad services / programmer du forsøger at åbne porte op for, f.eks. ftp er som regl port 20/21
smtp = port 25
pop3 = port 110
for med VPN skal man ofte have åbnet en speciel port med en speciel protocol (GRE) istedet for tcp og udp

ps! bær over med mine stave plader
Avatar billede teamdev Novice
08. juni 2008 - 11:14 #2
Der er da ikke noget med dine staveplader :-)

ISP er Cybercity
Portene 20/21 er FTP
4569 er til telefonsystemet.

Jeg har sat ZyWall'en op til remote management på port 443 (https) men kan ikke se den udefra.

Routeren fra CBC er som sagt sat til at sende al trafik videre til ZyWall .
Avatar billede teamdev Novice
08. juni 2008 - 11:15 #3
Det ønskværdige ville være at ZyWall'en blev tildelt den offentlige ip, altså at routeren blev transparent. Sådan fungerer det her.
Avatar billede teamdev Novice
08. juni 2008 - 11:16 #4
Ved ikke om ZyWallen kan klone mac adressen fra Routeren ....
Avatar billede blindko Nybegynder
08. juni 2008 - 11:34 #5
Ofte skal man specifikt enable at man kan tilgå remote management fra wan siden ... ellers er det bare fra lan siden.

har du mulighed for at lave den webserver test ?
Avatar billede blindko Nybegynder
08. juni 2008 - 11:37 #6
Du kan også installere Ultra vnc og åbne for port 5800 og port 5900
på port 5800 er der jo adgang via java applet.

på en netscren 5xp firewall har jeg været ude for at jeg skulle lave hver port regl for sig selv, det kunne da være en idee at prøve.
Avatar billede teamdev Novice
08. juni 2008 - 14:19 #7
Jeg har hul igennem til FTP, så altså kan jeg udlede at router er transparent og at NAT i firewall fungerer efter hensigten.

Tror du har ret i at der skal laves portregler. Faktisk er jeg ret sikker på det er det der driller. Jeg har nemlig kigget lidt i min egen firewall en SonicWall og der er jo selvfølgelig regler for keyexchange. Det er ikke sat i ZyWall. Når det er sat vil jeg tro det virker.

Det bliver først imorgen jeg kan tjekke op på det, men du fik mig da sporet den rette vej. :-)
Avatar billede blindko Nybegynder
08. juni 2008 - 14:35 #8
KIS(Keep It Simple) virker altid :)
ser frem til at høre mere i morgen
Avatar billede teamdev Novice
09. juni 2008 - 12:07 #9
Skidt nyt.
Og dog... er da kommet noget videre.
Har sat regel op for IKE i ZyWall og de to firewalls snakker da også lystigt sammen men når ikke til enighed. Shared secret og encryption er sat ens.
ZyWalls log skriver
Unsupported/out-of-order ICMP: ICMP(Normal router advertisement
Desuden nævner den et par IP adresser som ikke har med vores lan eller wan
Avatar billede blindko Nybegynder
09. juni 2008 - 16:18 #10
hvad services har du åbnet for ? og er gre der i mellem (protocol 47) de services du har åbnet for (bemærk det er protocol ikke port)
Avatar billede teamdev Novice
11. juni 2008 - 16:48 #11
Jepper gre er åbnet kan ikke lige i skrivende stund huske hvad den service hed, men jo den er åbnet.

Har nu talt med udbyder og det skyldes chefens valg at adsl, lidt fornæret har han valgt en billig privatløsning hvor alskens vanskeligheder opstår. Jeg har nu fået ham overbevist om at det er nødvendigt med en rigtig linie, altså erhverv.
Avatar billede teamdev Novice
11. juni 2008 - 16:49 #12
Der er lidt leveringstid, men jeg vender tilbage hvis det ikke løser problemerne :-)
Avatar billede teamdev Novice
03. august 2008 - 07:27 #13
Fortsat intet nyt fra leverandøren.

Jeg lukker for nu. Når der er etableret en rigtig adsl vender jeg tilbage
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester