VPN - Hyper V - Privates Netzwerk

[Camkom]

Ich weis nicht, ob ich im richtigen Bereich bin.
Folgend Problem habe ich zu lösen: Ich habe einen Windows Server 2016 mit Hyper-V am laufen. Auf diesem sind verschiedene Clients installiert. Zwischen einigen gibt es ein internes/privates Netzwerk. Einige dieser Clients sind nicht direkt mit dem Internet verbunden. (Clients u.a. Xpenology)

Ich möchte nun einen VPN Server haben (egal ob auf Windows Server 2016 oder in einer eigenen VM). Dieser soll aus dem Internet erreichbar sein und das eigene interne/private Netzwerk unter den VM's an mein eigenen Netzwerk zu Hause anbinden. Wie löst man das am besten?

Meine Ideen:
- Xpenology mit VPN-Server: Xpenology hat 2 Netwzerkschnittstellen bekommen. Eine privates Netzwerk und eine mit dem Internet verbunden. Die VPN Verbindung funktioniert problemlos. Doch wie bekomme ich jetzt den Traffic in das private Netzwerk?

Mit meinen Ideen komme ich nicht weiter. Gibt es eine Lösung dafür?

 

[Masamune2]

Du setzt eine weitere VM auf mit Firewall OS deiner Wahl (pfsense, opnsense, Sophos UTM Home,...) auf, gibst der zwei Schnittstellen wovon eine ins Internet kommt und eine ins interne Netz kommt. Dann konfigurierst du darauf den VPN Server, vorzugsweise OpenVPN weil das am unkompliziertesten ist.
Das geht sicher auch mit dem OpenVPN das Xpenology mitbringt, aber ist bei einer der genannten Systeme sicher einfach, die sind genau dafür auch gemacht.

 

[Camkom]

Vielen Dank für deine Antwort. Ist es mit dieser Lösung auch möglich z.B. mit der Fritzbox eine "Verbindung mit einem Firmennetzwerk" herzustellen und somit das private Netzwerk dauerhaft in eine bestehendes einzubinden? Habe was davon gelesen, dass die Fritzboxen nur Ipsec untersützen.

Ergänzung (7. August 2018)

Und noch eine Frage zu deinem Ansatz @Masamune2. Wie meinst du das, dass mit Xpenology auch funktioniert? Meinst du Xpenology als Standalone oder in Verbindung mit Firewall OS?

 

[Masamune2]

Du kannst damit auch IPSec Verbindungen einrichten und Fritzboxen von außen anbinden, das ist allerdings relativ kompliziert und erfoldert viel basteln. Allgemein ist IPSec komplizierter und aufwändiger als OpenVPN.

Der OpenVPN Server den XPenology mitbringt kann im Prinzip auch für den Zugang verwendet werden, das ist letztendlich die selbe Software. Nur sind über die Oberfläche die Konfigurationsmöglichkeiten realtiv eingeschränkt, eine pfsense oder opnsense bietet hier deutlich mehr und mit Sophos UTM ist das kinderleicht da die Oberfläche wirklich sehr sehr gut ist.

 

[Camkom]

Vielen Dank nochmal für die schnelle und super Hilfe. Ich werde das mal versuchen.

 

[Camkom]

Ich melde mich nochmal. Soeben habe ich Sophos Installiert und versuche gerade es zu konfigurieren. Die Oberfläche sieht eigentlich schon sehr gut aus.
Unter Site-to-Site VPN gibt es kein OpenVPN. (Habe gelesen, dass man das nachträglich hinzufügen muss).

Wie ist der VPN-Server jetzt genau zu konfigurieren? Wird ein Remote Gateway benötigt? Könntest du mit dabei helfen?

Ergänzung (7. August 2018)

Habe gerade bei Remote Access was gefunden. Wie route ich jetzt in das private Netzwerk?

 

[Masamune2]

Unter Site-to-Site gibt es "SSL" das ist OpenVPN. Aber für Site-to-Site nimmt man üblicherweise auch wirklich IPSec, OPenVPN ist dann für "Road Warrior" also Clients die sich von außen verbinden wollen. Das routen übernimmt die Sophos für dich, da gibts sonst nichts mehr einzustellen.

 

[Camkom]

Und was muss ich für meine Anwendung nutzen? Site-to-Site oder Remote Access oder noch etwas anderes?

Ergänzung (7. August 2018)

Ergänzung (7. August 2018)

 

[Masamune2]

Wenn du zwei Netze verbinden willst brauchst du erst mal das Site-to-Site Menü. Steht auf der anderen Seite eine Fritzbox geht (leider) nur IPSec. Das ist nicht ganz so einfach, es gibt allerdings Anleitungen im Netz.
Was du beachten musst ist, dass du unterschiedliche IP Bereiche in beiden Netzen nutzt. Ansonsten kannst du nach dem Aufbauen der VPN Verbindung vom einen in das andere Netz kommunizieren, das Routing erledigen dann deine Fritzbox und die Sophos UTM.

 

[Camkom]

Kann man nicht auch einfach alle Clients, also Fritzbox, Handy etc. als "einfache Clients" nutzen? Also normal über Remote Access?

Ergänzung (7. August 2018)

Ich habe bis jetzt probiert... Das funktioniert alles nicht so wie es soll... Geht so etwas mit pfsense oder so besser?

 

[Masamune2]

Unter der Haube benutzen alle die gleichen Dienste, große Unterschiede gibt es eigentlich nur in der Oberfläche und die ist bei Sophos mit Abstand am besten.
Wo hängt es denn genau?
Du kannst die anderen Netze auch als Clients behandeln, das macht technisch keinen Unterschied, das einrichten ist trotzdem das selbe.

 

[Camkom]

Danke für dein Hilfeangebot. Ich werde mich im laufe des Tages nochmal damit befassen. Erst einmal eine Grundlegende Frage. Wie muss Sophos von außen erreichbar sein? Das heißt welche Ports müssen offen sein? Für IPsec sind das doch 500 und 4500 UDP oder? Als Exposed Host sollte man ja auch Firewall OS nicht laufen lassen oder?

 

[Masamune2]

Doch in dem Fall ist exposed Host genau richtig verwendet. Ansonsten müsstest du für IPSec die besagten Ports weiterleiten und um es komplett richtig zu machen auch das Protokoll GRE. Das geht in der Fritzbox aber so gar nicht.

 

[Camkom]

Nach dieser Anletiung: https://www.bergercity.de/networking/sophos-astaro-lan-lan-mit-fritzbox/ habe ich jetzt alles genauso eingerichtet (natürlich IP-Adressen angepasst).

Eine Verbindung damit habe ich noch nicht zustande bekommen. Momentan ist der Server noch in meinem eigenen Netzwerk zum einrichten. Kann es sein, dass deswegen die Verbindung nicht funktioniert? Kann man das trotzdem irgendwie testen?


Hier meine Konfiguration:

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;               
        remote_virtualip = 0.0.0.0;
        remotehostname = "ddns.XXXX.eu";
        localid {
            fqdn = ddns.XXXX.eu;
        }
        remoteid {
            fqdn = ddns.XXXX.eu;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "test"; 
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.100.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.1.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[Camkom]

--> Dazu nochmal ein andere Frage, die mir noch nicht ganz klar ist. Ganz normal als Client über Remote Access mit L2TP über IPsec habe ich mit meine PC intern eine Verbindung aufgebaut bekommen. Von extern nicht. hier ein Auszug aus dem Live-Protokoll:

2018:08:08-10:19:03 sophosutm pppd-l2tp[21116]: Script /etc/ppp/ip-down finished (pid 21167), status = 0x0
2018:08:08-10:19:05 sophosutm openl2tpd[20882]: FUNC: tunl 37487 deleted
2018:08:08-10:19:05 sophosutm openl2tpd[20882]: FUNC: tunl 37487: deleting context
2018:08:08-10:19:06 sophosutm pppd-l2tp[21116]: Connection terminated.
2018:08:08-10:19:06 sophosutm pppd-l2tp[21116]: Modem hangup
2018:08:08-10:19:06 sophosutm pppd-l2tp[21116]: Exit.
2018:08:08-10:19:06 sophosutm pluto[20935]: |
2018:08:08-10:19:06 sophosutm pluto[20935]: | *time to handle event
2018:08:08-10:19:06 sophosutm pluto[20935]: | event after this is EVENT_REINIT_SECRET in 3516 seconds
2018:08:08-10:19:06 sophosutm pluto[20935]: | next event EVENT_REINIT_SECRET in 3516 seconds
2018:08:08-10:21:02 sophosutm pluto[20935]: |
2018:08:08-10:21:02 sophosutm pluto[20935]: | *received whack message
2018:08:08-10:21:02 sophosutm pluto[20935]: | next event EVENT_REINIT_SECRET in 3400 seconds

 

[Masamune2]

Exposed Host ist konfiguriert? Du verbindest dich auch zur externen IP? Firewall ist offen? Mal von außen den Port gescannt?

 

[Camkom]

Laut FB:

Der Portscanner sagt alles geschlossen.. Ich verstehe das nicht. Aber auch bei anderen Ports die ich offen habe (und funktionieren) sagt er geschlossen.

Ergänzung (8. August 2018)

Von außen kann ich auch nicht auf Sophos zugreifen. Das sollte doch eigentlich auch durch den exposed host gehen oder nicht?

 

[Masamune2]

Ja auf was genau willst du denn von außen Zugreifen? Ist die Sophos überhaupt fertig eingerichtet? Ich würde zum Testen mal unter Management -> Webadmin Einstellungen die erlaubten Netze auf any stellen (is auch der Standard) und dann schauen ob du von außen auf Port 4444 kommst. Geht das nicht stimmt die Einstellung in der Fritzbox nicht oder die "externe" Schnittstelle der Sophos ist von der Fritzbox aus gar nicht zu erreichen.

 

[Camkom]

Genau das habe ich mir auch schon gedacht- erlaubt Netzte sind auf any. Von außen aber nichts erreichbar. Habe testweise exposed host mal auf ein anderes Gerät gelegt. --> von außen alles erreichbar.

Exposed Host wieder zurück auf sophos. --> nichts geht. Kann es sein, dass Hyper-V da was mitzureden hat? Aber intern komme ich ja auf sophos ganz normal (Port 4444). Hyper-V ist es doch eigentlich egal woher die Anfragen kommen oder?

 

[Masamune2]

Die Schnittstelle bzw. der virtuelle Switch an dem die externe Schnittstelle deiner Sophos hängt muss die Fritzbox halt erreichen. Du kannst von der Sophos aus unter Support -> Tools mal einen Ping zur Fritzbox machen.