Zyxel USG20W-VPN hinter der IB3

Maniac69

Hallo zusammen,

Situation:
Hinter der Internet Box 3 (IB3) von Swisscom habe ich neu eine Firewall von Zyxel (USG20W-VPN) zwischengeschaltet. Internet geht, alles OK
DYNU DDNS eingerichtet welche auf die korrekte WAN IP der IB3 zeigt

Problem:
Server ist via Webbrowser nicht mehr von extern erreichbar:
Fehler: Netzwerk-Zeitüberschreitung
Der Server unter 176.x.x.138 braucht zu lange, um eine Antwort zu senden.

Ping auf den DYNU Namen geht nicht, löst aber die WAN IP der IB korrekt auf
Traceroute geht über die FW ins Netz der Swisscom und dann ist fertig (2 Hops):

C:\INDOWS\ystem32>tracert 176.x.x.138

Routenverfolgung zu 138.x.x.176.dynamic.wline.res.cust.swisscom.ch [176.x.x.138]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms 192.z.z.1
2 <1 ms * 1 ms 138.x.x.176.dynamic.wline.res.cust.swisscom.ch [176.x.x.138]
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.

Konfigurationen:
IB3
WAN IP: 176.x.x.138, also keine CGNAT Adresse gemäss Beitrag auf tuxone.ch
LAN IP: 192.y.y.1/24 (fix)
WLAN aktiv da 2 TV Boxen mit WLAN verbunden sein müssen (baulich bedingt)
DHCP aktiv, da man an den TV Boxen den WLAN Key nicht eingeben kann und mit unsicherem WPS verbinden muss (GROSSES Manko!!!)
DMZ Funktion aktiv für 192.y.y.2

Firewall
WAN IP: 192.y.y.2/24 (fix)
LAN IP: 192.z.z.1/24
Adressobjekte erstellt für:
WANIP (Typ: Interface IP, WAN IP der Firewall)
SERVERIP (Typ: Host, IP des Servers)
NAT Rule eingerichtet für:
Schnittstelle: wan
QuellIP: any
Externe IP: WANIP
Interne IP: SERVERIP
Externer Port: abc
Interner Port: 80

Server
IP: 192.z.z.9/24

Jeder Tipp der zur Lösung beiträgt wird dankend entgegengenommen

Werner

@Maniac69

Im Titel hast Du den Begriff VPN verwendet, nachher aber nur noch Browser und Serverzugriff.

Um die Frage richtig zu verstehen: Geht es Dir hier um eine gescheiterte VPN-Verbindung auf einen VPN-Server, der in Deinem eigenen Netz läuft (wenn ja auf was für einen), oder hat es gar nichts mit einer VPN-Verbindung zu tun und ist deshalb als Webserver-Problem einzuordnen?

Maniac69

Hallo Werner,

die Modellbezeichnung der Firewall ist: Zyxel USG20W-VPN.

Das ist der Nachfolger der USG20W (W steht für WLAN).

Siehe dazu auch: https://www.studerus.ch/de/products/zyxel-usg20w-vpn/

Es gehen sämtliche Verbindungen von extern über den Swisscom DynDNS Dienst sowie über den Dyn DNS Dienst von DYNU (dynu.com) nicht. Die WAN IP der IB3 wird über beide DynDNS Adressen korrekt aufgelöst, aber Verbindungen werden - denke ich - von der IB3 geblockt bzw. nicht weitergeleitet. Da die IB aber keine Logs hat die man als zahlender Enduser einsehen kann, weiss ich nicht wo es geblockt wird. Auf der Firewall zumindest sehe ich keine geblockten Verbindungsversuche, was darauf schliessen lässt, dass die IB3 der "Bösewicht" ist.

Primär sollte mal HTTP/HTTPS wieder laufen, danach wäre es schön wenn ich auch RDP wieder hinkriege. Aber wenn einmal der Port 80 durchkommt, schaffe ich das auch mit den anderen (hoffe ich).

Werner

Es gibt ja verschiedene Arten von VPN-Verbindungen.

Soweit ich weiss kann man auf diesen Zyxel-Firewalls entweder L2TP, IPSec oder SSL-VPN konfigurieren (Open VPN wird nicht unterstützt)

Je nach dem was Du auf der VPN-Serverseite gewählt hast, brauchst Du auf der VPN-Clientseite (also z.B. auf einem Windowsrechner) andere Einstellungen und ev. auch andere Clientsoftware um die Verbindung aufzubauen.

Falls es um SSL-VPN gehen würde (also direkter Zugriff aus einem Browser) kommt noch hinzu, dass dies auf vielen modernen Browsern gar nicht mehr native unterstützt wird, da Java-Komponenten und AktiveX-Elemente aus Sicherheitsgründen vermehrt standardmässig geblockt werden.

Die Information, welche Art VPN Du überhaupt verwenden willst ist m.E. also matchentscheidend.

Sollte es sich um SSL-VPN handeln, bietet Zyxcel aufgrund der zunehmenden Browser-Inkompatibität übrigens als spezielle zusätzliche Clientsoftware auch noch SecuExtender an:

https://support.zyxel.eu/hc/de/articles/360001390774-So-erstellen-Sie-einen-SSL-VPN-Tunnel-%C3%BCber-die-SecuExtender-Software-

Persönlich würde ich übrigens kein SSL-VPN verwenden wollen, sondern dann mangels Open VPN (was mein eigentlicher Favorit wäre) auf das L2TP schwenken.

Falls Du noch eine kurze Übersicht über die verschiedenen VPN-Verfahren haben möchtest, hier noch ein Link zu einer zwar bereits alten aber nicht allzu technischen Erklärung:

https://www.elektronik-kompendium.de/sites/net/1410151.htm

Tux0ne

Du musst doch bei deiner NAT Regel den externen Port auch angeben. Also 80 extern auf 80 intern bei einem 1:1 mapping

Maniac69

@ Werner: es geht nicht um VPN. Meine Firewall hat einfach nur diese irritierende Modellbezeichnung.
Es geht um alle Zugriffe von Extern die an der IB3 geblockt bzw. nicht weitergeleitet werden.

@Anonym: In der NAT Rule habe ich den externen Port auch angegeben und auch so in der Fehlerbeschreibung bzw. Konfiguration angegeben (aber den effektiven Port durch "abc" ersetzt):
Externer Port: abc
Interner Port: 80

Ich gebe also z:b. im Browser meine Adresse gefolgt von der Portangabe ":8080808080" (Ja ich weiss dass dieser Port nicht existiert, ist auch nur als Beispiel gedacht) ein und die NAT Rule sollte dann auch den externen Request auf Port 8080808080 auf den lokalen Port 80 weiterleiten.

Werner

@Maniac69

Dass es Dir gar nicht um eine VPN-Verbindung geht, habe ich jetzt endlich auch gecheckt.

Wäre m.E. aber doch das viel bessere Konzept für Zugriffe aus dem Internet ins Heimnetz...

Tux0ne

Gemäss Beschrieb hast du nur eine NAT Regel erstellt. Das ist ja bei legacy IP nötig.

Vermutlich musst du aber noch eine Firewall Regel selber erstellen die solchen Traffic erlaubt.

Maniac69

@Anonym: Das war's! Danke! Manchmal sieht man vor lauter Wald den Baum nicht mehr (oder so).

Tux0ne

Darum musst du dann das Ruleset auch regelmässig einem review unterziehen. Denn nur eine default deny all outgoing Firewall ist eine Firewall 😅