Problem mit RED SD 20

Moin Jochen

Du tust gut daran Deine Netzwerkobjekte etwas sprechender zu benennen ;-)

Baue Dir Netz-Objekte für jedes Deiner Netze und arbeite mit denen. Benutze möglichst nicht "any".

z.B.

NET_LocalLAN 172.16.0.0/24

NET_REDLAN1 172.16.2.0/24

Du hast in Deiner Regel RED -> LAN das Zielnetz als Quellnetz verwendet und als Zielnetz "any" benutzt.

Wenn Du die Objekte, Schnittstellen etc. sauber benennst und am besten noch die IP-Adresse mit in den Namen schreibst, fällt Dir da schneller auf.

LG, Janbo

Hallo Janbo,

danke für deine Antwort, ich habe das soeben so umgebaut wie du es geshrieben hast, es geht aber leider trotzdem nicht.

Grüße

Jochen

Ja das ist richtig...

Ich möchte einfach vom LAN Netz den Drucker im RED Netz per IP Adresse verknüpfen.

Und vom RED Netz per RDP auf eine VM im LAN Netz.

Das seltsame an der Sache ist ja auch, das ich aus dem RED Netz die RDP Verbdindung nicht geht,
das VPN Netz wieder ist ja die gleiche Regel und funktioniert wunderbar.

Welcher Mode ist denn für die RED konfiguriert?

Ich würde anfangs immer "unified" / alles durch den Tunnel wählen.

Hallo Dirk,

ursprünglich war Standard / Split drin, habe soeben auf Standard/unified gestellt, aber leider das gleiche Problem.

Gruß

Jochen

Was sagt denn der Log-viewer zum RDP Zugriffsversuch?

(Freitext-Filter auf 3389)

Wird akzeptiert. Siehe Screenshot.

Bist Du sicher, dass Deine Maske auf dem internen LAN-Interface stimmt? -> Also wirklich 172.16.0.254/24 oder 172.16.0.254/23 ?
Kannst Du die Routing-Table der XG zeigen?

Konsole -> advanced shell (option 5 und dann 3) -> route -n

Ja die Maske stimmt, siehe Screen.

Das sieht bisher alles sehr gut aus ... die FW blockt nix. Die Pakete sollten die FW in Richtung " Server verlassen. Damit wird der "Rückweg" spannend. 

Wie sehen denn ping und traceroute vom "RDP-Server" zu einem Gerät hinter dem RED aus.

Auch die Routingtabelle des "Servers" könne helfen.

Wenn das Ziel ein Windowsgerät ist, dann evtl. mal Ping in der Windowsfirewall erlauben oder diese TEMPORÄR deaktivieren.

Ein weiterer Tipp ist oft eine NAT Rule anzulegen für MASQ. Das bedeutet du legst eine NAT Regel mit MASQ an, wenn das RED Interface outbound genutzt wird. Das zeigt dir, ob ggf. die Geräte ein Problem mit anderen Netzen haben.

Aber defakto sieht das gut aus.

Du kannst auch ein Packet capture machen. Wenn du die SYN Pakete raus gehen siehst, liegt es an der Gegenstelle. Du kannst mit Wireshark dann auf einem Client das erneut probieren.

PS: Ich habe schon ein paar mal gesehen, dass der RED DHCP Server Probleme macht. Deaktiviere den RED DHCP Server und erstelle einen klassischen DHCP Server für das Interface RED.

Ein weiterer Tipp ist oft eine NAT Rule anzulegen für MASQ. Das bedeutet du legst eine NAT Regel mit MASQ an, wenn das RED Interface outbound genutzt wird. Das zeigt dir, ob ggf. die Geräte ein Problem mit anderen Netzen haben.

Aber defakto sieht das gut aus.

Du kannst auch ein Packet capture machen. Wenn du die SYN Pakete raus gehen siehst, liegt es an der Gegenstelle. Du kannst mit Wireshark dann auf einem Client das erneut probieren.

PS: Ich habe schon ein paar mal gesehen, dass der RED DHCP Server Probleme macht. Deaktiviere den RED DHCP Server und erstelle einen klassischen DHCP Server für das Interface RED.