Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 3 replies
  • Subscribers 4 subscribers
  • Views 1575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Verbindung lässt sich nicht aufbauen

Martin48

Hallo zusammen

Seit kurzem lässt sich meine VPN Verbindung zur Firma nicht mehr aufbauen. Ich bin erst am Einrichten der xgs107w und ein gewisse Zeit hat es noch funktioniert, inzwischen habe ich mich vermutlich ausgesperrt.

Es ist eine MSVPN Verbindung aber auch die alternative SSL-VPN tut nicht mehr. 

Kurzzeitig hatte ich die Meldung im Applikationslog, dass eine "Proxy und Tunnel" Verbindung abgelehnt wurde - dies habe ich in der Regel deaktiviert, die Meldung kommt nicht mehr.

Leider habe ich nun gar keine Meldungen ausser einigen zugelassenen DNS und Webseitenverbindungen.

Der VPN funktioniert direkt über das Mobilnetz->REMOTE - nicht aber über das interne Netz  WLAN -> XGS -> WAN -> REMOTE.

Da ich im Moment keine Vorstellung mehr habe, wo ich noch ansetzen kann muss ich hier nachfragen. Ich komme vom Clienten ins Internet, aber sobald ich den VPN starte kommt die Meldung:

"Die Netzverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzgeräte (zum Beispiel Firewalls, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist..."

Ok, wie kann ich die Firewall "für das Zulassen von VPN-Verbindungen" (Transparent) konfigurieren - warum sind diese per default gesperrt und wo kann ich diese Sperre aufheben?

Ich habe zwischenzeitllich auch noch den CS110-24 Switch mit neuer Firmware bestückt - hoffe aber, dass das Problem nicht durch den Switch verursacht wîrd Slight smile

Martin



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    wenn ich es richtig verstehe, verhindert die XGS107w an einem externen Standort die VPN-Verbindung mit der Firma ..!?

    Da kommt einiges in Frage:

    - Port 443 wird verwendet und die HTTPs-Kontrollen zerstören die Verbindung

    - Tunnel-Applikationen werden geblockt

    - SSL-Interception zerstört die Verbindung

    - ...

    Meine Versuche wären:

    - Sammel-Log der lokalen Firewall nach der "VPN-IP-der-Firma" durchsuchen

    - neue Firewall-Regel ganz oben SRC:any - Zone:any - DSP:VPN-IP-der-Firma Zone:any Service:any  (keine Webfilter-,Appl-,IPS-Settings)

    - VPN-IP-der-Firma in die SSL-Exceptions eintragen

    - evtl. in der Firma von einem bekannten HTTPs Port auf 1194 wechseln. Das betrifft aber alle ausgerollten SSL-VPN Verbindungen

    ... dann auch mal TCP1149 und UDP1194 versuchen. TCP1194 ist stabiler, aber evtl. langsamer.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo

    Nach einigen Stunden überprüfen der XGS107W Konfiguration mit Erstellen von Umgehungsregeln etc. - ähnlich Deinen Vorschlägen sowie nun auch nochmals das Umsetzen dieser neuen Vorschläge hatte ich immer noch dasselbe, negative Resultat.

    Ich habe nur "Allowed" Einträge im FW Log.

    Da es einfach nichts mehr gab, das nicht schon versucht wurde habe ich nun den Switch CS110-24FP übergangen. D.h. ich habe den Pfad zum VPN Rechner direkt an die FW gehängt. Siehe da  - der VPN hat sofort verbunden....

    So entsteht das Problem nun anscheinend im Switch. Nur was kann in einem Switch konfiguriert werden, dass alles funktioniert nur VPN Verbindungen nicht? Allenfalls hat die neue Firmware v01.0.0980 einen Bug, denn letzte Woche vor dem Upgrade mit 01.0.0334 hat es noch funktioniert.

    Leider habe ich auch noch mit einigen Einstellungen gespielt und bin nun nicht sicher ob es nur an der FW liegt - aber mit Dual-Image kann ich ja mal zurückwechseln.

    Martin

  • +1 in reply to Martin48

    Ja, mit der alten Firmware 01.0.0334 funktioniert es auch wieder über den Sophos Switch. Ich habe ein Ticket erstellt und das Problem gemeldet.

Reply Children
No Data
Cookie Information Banner