PPTP - Internet

3 Möglichkeiten:

a) Internet-Traffic nicht durch den Tunnel leiten (Wenn das VPN nur für den Zugriff aufs interne LAN genutzt werden soll). Dazu am Client in den erweiterten TCP/IP-Einstellungen der VPN-Verbindung den Haken rausmachen bei 'Standardgateway für das Remotenetzwerk verwenden'. Diese Variante hat einen Geschwindigkeitsvorteil, da für Web-Downloads des Clients nicht der (meist geringe) Upload des ASGs genutzt wird. Nachteil ist, dass das ASG hier keine Schutzfunktion beim Surfen übernimmt.

b) Masquerading oder SNAT (& Auto-Packetfilter) für den PPTP-Adresspool auf dem ASG einrichten. Web-Traffic würde auch bei dieser Lösung nicht gescannt.

c) HTTP-Proxy (Web Security) für den PPTP-Adresspool auf dem ASG einrichten. Web-Traffic wird gescannt.

3 Möglichkeiten:

a) Internet-Traffic nicht durch den Tunnel leiten (Wenn das VPN nur für den Zugriff aufs interne LAN genutzt werden soll). Dazu am Client in den erweiterten TCP/IP-Einstellungen der VPN-Verbindung den Haken rausmachen bei 'Standardgateway für das Remotenetzwerk verwenden'. Diese Variante hat einen Geschwindigkeitsvorteil, da für Web-Downloads des Clients nicht der (meist geringe) Upload des ASGs genutzt wird. Nachteil ist, dass das ASG hier keine Schutzfunktion beim Surfen übernimmt.

b) Masquerading oder SNAT (& Auto-Packetfilter) für den PPTP-Adresspool auf dem ASG einrichten. Web-Traffic würde auch bei dieser Lösung nicht gescannt.

c) HTTP-Proxy (Web Security) für den PPTP-Adresspool auf dem ASG einrichten. Web-Traffic wird gescannt.

Vielen Dank für die rasche Antwort. Kurze Rückfrage:

- Variante 1: fallt bei mir weg. (möchte beides aktiv haben)
- Variante 2: Beim Source NAT kann ich leider nicht "Any" hinzufügen. Ich möchte, dass alle Ports offen sind. Wie muss ich hier vorgehen?
- Variante 3: Gibt es eine kurze Anleitung (mit Stichwörter), denn ich habe es versucht und es greift nicht :-( Aufgrund der neue Version haben sich auch die Namenbezeichnung geändert. [:P]

Vielen dank im Voraus.

Gruss
zeus1976

- Variante 2: Beim Source NAT kann ich leider nicht "Any" hinzufügen. Ich möchte, dass alle Ports offen sind. Wie muss ich hier vorgehen?

Du brauchst nur a) oder b), a) ist einfacher und gängiger.

2a) Network Security >> NAT >> Masquerading
Network: 'VPN-Pool (PPTP)'
Interface: 'External'

2b) Network Security >> NAT >> SNAT
Traffic Source: 'VPN-Pool (PPTP)'
Traffic Service: 'Any'
Traffic Destination: 'Internet IPv4'
NAT mode: 'SNAT (Source)'
Source: 'External (Address)'
Automatic Firewall Rule: 'Yes'

- Variante 3: Gibt es eine kurze Anleitung (mit Stichwörter), denn ich habe es versucht und es greift nicht :-(

Wenn Du möchtest, dass beliebige Internet-Anwendungen funktionieren sollen und durch das ASG hindurch müssen, empfehle ich in jedem Fall Variante 2. Zusätzlich kannst Du dann immer noch Variante 3 dazukonfigurieren, um HTTP/S-Traffic zu filtern zu können. Nur Variante 3 ohne 2 würde nur HTTP/s-Traffic ermöglichen, aber keine anderen Anwendungen wie z.B. Intant Messenger wie ICQ o.ä. wenn sie andere Ports benutzen:

3) Web Security >> Web Filtering >> Global
Allowed Networks: Muss auf jeden Fall 'VPN-Pool (PPTP)' enthalten
Mode: Im Standard Mode müsstest Du bei allen Clients den Proxy im Browser konfigurieren ('Internal (Address)', Port 8080), im Transparent Mode nicht.

Alle Varianten:
DNS muss entsprechend konfiguriert sein, sodass die VPN-Clients auch Namen auflösen können.

Network Services >> DNS >> Global
Allowed Networks: Muss auf jeden Fall 'VPN-Pool (PPTP)' enthalten

Remote Access >> Advanced
DNS Server #1: 'Internal (Address)'

Du brauchst nur a) oder b), a) ist einfacher und gängiger.

2a) Network Security >> NAT >> Masquerading
Network: 'VPN-Pool (PPTP)'
Interface: 'External'

2b) Network Security >> NAT >> SNAT
Traffic Source: 'VPN-Pool (PPTP)'
Traffic Service: 'Any'
Traffic Destination: 'Internet IPv4'
NAT mode: 'SNAT (Source)'
Source: 'External (Address)'
Automatic Firewall Rule: 'Yes'


Wenn Du möchtest, dass beliebige Internet-Anwendungen funktionieren sollen und durch das ASG hindurch müssen, empfehle ich in jedem Fall Variante 2. Zusätzlich kannst Du dann immer noch Variante 3 dazukonfigurieren, um HTTP/S-Traffic zu filtern zu können. Nur Variante 3 ohne 2 würde nur HTTP/s-Traffic ermöglichen, aber keine anderen Anwendungen wie z.B. Intant Messenger wie ICQ o.ä. wenn sie andere Ports benutzen:

3) Web Security >> Web Filtering >> Global
Allowed Networks: Muss auf jeden Fall 'VPN-Pool (PPTP)' enthalten
Mode: Im Standard Mode müsstest Du bei allen Clients den Proxy im Browser konfigurieren ('Internal (Address)', Port 8080), im Transparent Mode nicht.

Alle Varianten:
DNS muss entsprechend konfiguriert sein, sodass die VPN-Clients auch Namen auflösen können.

Network Services >> DNS >> Global
Allowed Networks: Muss auf jeden Fall 'VPN-Pool (PPTP)' enthalten

Remote Access >> Advanced
DNS Server #1: 'Internal (Address)'

Vielen Dank für Deine Hilfe. Hat super geklappt.

Gruss
zeus1976