Zyxel USG20 im Netzwerk nicht erreichbar

Hallo TuxOne

Vermutlich habe ich das zu wenig genau geschrieben: Selbstverständlich versuche ich wie im Titel geschrieben im Netzwerk selber die USG20 zu erreichen um zu konfigurieren und nicht via Internet. 

Hi...

Also, das wird so nicht funktionieren.... ich habe bei mir folgende Konstelation:

Internebox = 192.168.1.x

ZyWALL an der IB angeschlossen: 192.168.1.111 (auf WAN Schnittstelle)

Die LAN Schnittstelle der ZyWALL: 192.168.5.x

Das Interne Netz ist komplett an der LAN Schnittstelle der ZyWALL angeschlossen.

Swisscom TV und Snom IP Telefon direkt an der IB.

Die ZyWALL ist gleichzeitig DHCP Server für das 192.168.5.x Netz. D.h. alle Clients beziehen eine IP Adresse aus dem 192.168.5.x Netz. (Ausser Swisscom TV und Snomt IP Telefon, die bekommen eine Adresse aus 192.168.1.x)

Die ZyWall ist aus dem Internen Netz über 192.168.5.x erreichbar (IP Adresse der LAN Schnittstelle).

ACHTUNG: WAN und Lan Schnittstelle der ZyWall müssen in unterschiedlichen IP Segmenten sein.

Damit Du dann vom Internen Netz auf die Internetbox zugreifen kannst über die IP Adresse, musst Du noch eine Statische Route auf der Zywall eintragen.

Was ich Dir auch noch empfehle ist, dass Du die aktuellste Firmware auf die Zywall installierst, ansonsten könne es in der VPN Verbindung zu problemen kommen...

Gruess

Gianni

Hallo Gianni

Vielen Dank für deinen Input. Ich habe nun Zugriff auf die USG20.

Hat es einen speziellen Grund, weshalb die USG20 nicht wie jedes andere Gerät an der Internetbox angeschlossen werden kann und stattdessen in einem anderen IP Segment mit einer statische Route sein muss? 

Hallo

Nun, die einfachste Antwort wäre: Das ist nun einfach so :-).. aber Spass bei Seite ...

Die USG 20 ist eine Firewall. Sinn und Zweck einer Firewall ist es, dass Zugriffe vom Internet abgeblockt werden und somit nicht jeder von Aussen auf die Internen Resourcen in einem Netzwerk zugriff haben.

Somit findet eine Trennung zwischen WAN und LAN durch die ZyWALL statt.

Du wirst jetzt sagen... ja das ist schon klar, aber bei der IB bekommt die ZyWALL ja schon eine Interne Adresse. Das stimmt soweit auch. Aber hättest Du einen Centro Grande als Internet Router, hättest Du dort definieren können, dass die Externre IP Adresse des Internetanschlusses an die ZyWALL weitergeleitet wird. D.h. die ZyWALL wäre dann direkt aus dem Internet erreichbar gewesen.

So ist das auch bei den Business Internet Anschlüssen. Dort hat die ZyWALL auf der WAN Schnittstelle die öffentleiche IP Adresse des anschlusses.

Aus diesme Grund braucht es die zwei unterschiedlichen IP Segmente.. wie gesagt, bei der IB sind auf WAN und LAN halt einfach interne Adressen, weil die IB die weiterleitung der öffentlichen IP Adresse an die ZyWALL nicht mehr unterstützt (hoffe das ändert sich noch in Zukunft).

Gruess

GIanni

Hallo Gianni

Danke für die Erklärung.

Ich habe nun bei beiden "Filialen" ein USG20 installiert.

Bei Filiale 1: Centro Grande + USG20

Bei Filiale 2: IB + USG20

Bei Filiale 1 kommt immer die Fehlermeldung CLI-Nummer: 2; Warnun Nummer: 16007; Fehlermeldung: "Crypto Karte Lokalpolitik ist leer!"

Was mache ich falsch?

Hi

Wann wird diese FM angzeigt? Versuchst Du ein VPN von F1 nach F2 aufzubauen? 

Etwas mehr infos wären hilfreich 🙂

Hallo Gianni

Ich bin da noch keine Verbindung am aufbauen, es ist wenn ich in der F1 VPN Gateway (Phase 1) am konfigurieren bin (Hier auf Seite 8: https://www.google.ch/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CCQQFjAAahUKEwj5m...

Ist es korrekt wenn ich unter Gateway-Einstellungen unter My Adress bei Domain Name/ IP meine Dyndns Adresse von F1 eingebe, und unter Peer-Gateway-Adresse bei Statische Adresse die Dyndns von F2 und unter Sekundär die IP von der F2 eingebe, oder?

Also... bei mir sieht das identisch aus wie in der Anleitung... kann es sein, dass Du nicht die aktuellste Firmware auf der ZyWALL hast?

Bei mir z.B. läuft die Version: 3.30(BDS.7)ITS-WK09-r59684 / 1.15 / 2015-03-17 14:19:15

Bei mir läuft:

Boot-Modul: 1.17

Aktuelle Version: 3.30(BDQ.7)

Ausgabedatum: 2015-01-13 16:28:21

Etwas aktuelleres habe ich hier nicht gefunden: unter http://www.zyxel.com/us/en/support/download_library/product/usg_200_100_plus_100_50_20w_20_7.shtml?c...

Die aktuellste Firmware für die ZyXEL Geräte kannst Du auf dem FTP Server von Studerus herunterladen...

Ich hatte mit der Offiziellen Version auch Probleme bei der VPN Konfig...

Sende Dir die Daten per PN... 

Hi Gianni,

ich habe eine USG50 und bekomme den Swisscom Internet Access einfach nicht zum fliegen 😞

Habe es genauso versucht, wie Du es schon beschrieben hast -hier meine:

Internebox = 192.168.1.x

ZyWALL (WAN2 Port) an der IB (LAN4 Port) angeschlossen: 192.168.1.103 (auf WAN Schnittstelle) per DHCP von IB lease (fixe IP in der IB per MAC zugewiesen.)

Die LAN1 auf Port3 Schnittstelle der ZyWALL: 192.168.0.x

 Hast Du evtl. irgendeine Idee, warum meine USG50 das externe Signal einfach nicht aufs LAN umleiten will?

Ich habe noch einen zweiten Internet-Provider daheim (GGA Maur), wenn ich jenes LAN Kabel am WAN Port hinhänge, funktioniert es sofort. Habe auch schon beide WAN Ports auf der USG50 getestet. Swisscom will einfach nicht....

USG50 hat

Boot Module: 1.17

CurrentVersion: 3.30(BDS.5) --- hmm. sehe gerade die ist von April 2014 release State.

Werde gleich mal schauen, ob es schon ne neue gibt und wenn ja, diese sofort einspielen. Aber evtl. hast Du ja trotzdem den richtigen Tipp für mich.

Danke im Voraus und viele Grüße aus Zürich

Jörg

Hallo Jörg

Also, Du hast zwei Provider zu Hause... Das ist mal schon gut... die ZyWALL hat per Default die Routing funktion so konfiguriert, dass diese automatisch die WAN Schnittstelle nimmt, welche UP ist... Ich vermute hier liegt das Problem..

Ich hatte früher auch zwei Provider zu Hause... wenn Du willst, dass je nach Gerät ein anderer Provider für das den Internet Zugriff verwendet wird, musst du spezielle Routing regeln erstellen...

Weiter gibt es da noch anderen "Hürden" im Betrieb mit zwei Providern... schick mir doch mal per PN ein paar Skizzen Deines Netzwerkes und der ZyWall Konfig... 

Anhand Deiner Beschreibung vermute ich aber definitiv ein Problem mit der Routing Regel... Du müsstest eine Policy Route einrichten, welche besagt, dass Verbindungen aus dem 192.168.3.x Netz auf WAN2 weitergeleitet werden sollen... zu 99.9% ist da das Problem...

OK, die Firmware ist alt... aber das muss mit der auch gehen!

Gruess

Gianni

Hi Gianni,

wow, erstmal Danke für Deine super schnelle Antwort!

Info: habe nun die neuste Firmware 3.30(bds.7) drauf und wie vermutet noch das gleiche Prob.

Ich muss zugeben, ich bin zwar ITler, aber mit FWs und Rules bin ich nicht so der Noerd^^

Daher habe ich im LAN1 einfach alle meine internen Geräte laufen und habe auch "immer" nur einen WAN Port aktiv.

Daher habe ich die Features mit Failover und Healthcheck etc. gar nicht konfiguriert. Ich nutze immer primär Provider 1 und wenn jener ausfällt, zieh ich das WAN Kabel von Provider 1 und stecke das von Provider 2 rein 🙂 Gute alte Turnschuh-Methode.

D.h. in meinem Fall, dass sich das LAN1 per default über die WAN Ports (egal ob 1 od. 2) nach Extern verbinden will.

Ich habe jetzt Testweise auch schon auf der Zyxel USG die WAN-Port IP manuell eingetragen und als GAteway dann die IB IP, klappt auch nicht.

Die FW Konfigs sind so gesehen alle default.

Würde Dir Screenis von Interface / Firewall / Zone / NAT Konfig per PN schicken, ok?

Danke und Grüße

Jörg

Hallo Jörg

Also hast Du die Default Regeln gelöscht, die im Fehler Fall von WAN 1 auf WAN 2 gewechselt hätten.

Ok, das hatte ich bei mir auch gemacht, aber eben, weil ich wollte das Geräte aus einem Bestimmten IP Range dann eben über WAN 2 die Verbindung aufgebaut haben. So konnte ich beide Internet Provider Nutzen... einen zum Surfen und einen für VPN und VOIP in's Geschäft...

Wenn das bei Dir wirklich der Fall ist, dann müsste man wirklich mit Policy-Routes arbeiten. 

Wer fungiert bei dir als DHCP? Und wie ist die Standard Gateway Adresse eingestellt auf den verschiedenen LAN Ports? Hast Du allenfalls nocht Managed Switchs hinter der Firewall?

Daher wäre eben eine Netzwerk Skize gut.. .weil dann wären die Fragen geklärt 🙂

Gruess

Gianni

Hallo Gianni

Die Firmware habe ich bei beiden orten aktualisiert.

Mache ich einen Denkfehler, wenn die IP der Router bei Filiale A: 192.168.1.1 und bei Filiale B: 192.168.1.1 ist?

Sind diese Einstellungen so korrekt?:

VPN Gateway

Domainname / IP

xxx.dyndns.org

 

Peer-Gateway-Adresse

Statische Adresse

 

Primär xxx.dyndns.org

Sekundär 192.168.1.130

Hi ma_ka2

Der Denkfehler ist:

Filiale A: 192.168.1.x

Filiale B: 192.168.2.x

Beide Filialen dürfen NICHT den selben IP Range haben. Weiter ist wichtig, dass nur auf der Seite mit IB die Nailed Up "Option" aktiviert wird... auf der anderen Seite ist diese zwingend zu deaktivieren...

Ähm weshalb hast du da eine Sekundäre IP Adresse eingetragen?

Gruess

Gianni

Hi Jörg

Gibts von DIr was neues?

Gruess

Gianni

Hallo zusammen

@GianniBern

Ich stehe im Moment vor selbigen Schwierigkeiten wie bereits oben beschrieben.

Folgende Situation:

Standort A:

Zywall USG 20w

LAN: 192.168.10/24

WAN: Cablecom Router 192.168.192.0/24

Standort B:

Zywall USG 20

LAN: 192.168.103.0/24

WAN: Swisscom Centro Grande Router 192.168.100.0/24

Ziel:

Ich will ein IPSec VPN vom Standort A zu Standort B aufbauen.

Problemstellung:

Ich habe die beiden Firewalls so konfiguriert, wie es im obigen Studerus PDF beschrieben wird.

Auf dem Centro Grande habe ich der Firewall USG 20 die fixe IP 192.168.100.2 zugewiesen. Danach habe ich die nötigen Weiterleitungen eingerichtet (UDP 500 und 4500).

Geräte hinter der Firewall Standort B können sich ins Internet verbinden, jedoch das VPN kommt nicht hoch.

Spezielle Routing Regeln für das VPN sollten angeblich seit der USG Firmware Version 3.x nicht mehr nötig sein.

Auf dem Cablecom Router sind auch die nötigen Weiterleitungen eingerichtet.

Besten Dank für eure Hilfe.

Gruss