This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN Einwahl Fehler

Hubert Sebald over 2 years ago

Die Situation ist wie folgt auf einer Firewall (XGS4300):

Endgerät befindet sich in folgendem Netz:

Netz: 192.168.200.0/24

Zone: Gast (Typ: DMZ)

Interface: VLAN 50 (Name: WLAN-DSL)

Aus diesem Netz, der Zone kann das Endgerät nur ins Internet.

Auf der gleichen Firewall ist am Interface 2 mit einer öffentlichen IP (177.14.14.14 (example)) IPSEC Remote Access eingerichtet. Dies ist auch per DNS auflösbar. Am Endgerät wird der DNS Name verwendet.

Fehlerbild:

Wenn das Endgerät nun sich in diesem oben genannten WLAN-DSL Netz befindet kann es keine VPN Verbindung aufbauen. Ist das Endgerät nicht in diesem Netz und kommt von extern, ist eine IPSEC Verbindung problemlos möglich.

In den Logs der Firewall ist absolut nichts zu sehen. Wo kann hier debugging betrieben werden?

Vielen Dank

This thread was automatically locked due to age.

0 dirkkotte over 2 years ago

Ich glaube letztens gelesen zu haben, dass IPSec tatsächlich auf dem Interface eingehende Pakete benötigt und "von hinten drangeroutet" nicht funktioniert.

Kam von lucar meine ich.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to dirkkotte

Das ist korrekt. Die Firewall lässt nur IPsec vom Interface zu, dass auch konfiguriert wurde. Mit SSLVPN funktioniert es, wäre als Workaround somit möglich.

Alternativ kann man auch, wenn man solche Setups aufbauen möchte, sich neuere Technologien anschauen wie ZTNA.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 Hubert Sebald over 2 years ago in reply to LuCar Toni

Vielen Dank. Hilft mir leider nur bedingt weiter....
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to Hubert Sebald

Wäre ZTNA eine Alternative? Es wäre nämlich genau die Lösung, die du wahrscheinlich gerade versuchst, aufzubauen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 Hubert Sebald over 2 years ago in reply to LuCar Toni

Wie muss ich hier vorgehen? Gibt es eine Doku?
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 2 years ago in reply to Hubert Sebald

evtl. hilft auch SSL-VPN.
Damit müsste es auch von Hinten durch die Brust gehen.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 Hubert Sebald over 2 years ago in reply to dirkkotte

ja schon, nur wir haben ca. 300 mobileDevices (iOS) die über Intune verwaltet werden. Einen zusätzlichen Client/App wollen wir nicht mehr auf den mobileDevices installieren sondern die bereits implementierte VPN Funktion von iOS nutzen.
Cancel
Vote Up 0 Vote Down

Cancel