Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1140 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC und Probleme mit dem Paketfilter

tandaril
Moin

Ich habe eine mir nicht wirklich erschließendes Problem.

Und zwar habe ich einen IPSEC Tunnel mit RSA zwischen zwei Standorten aufgebaut ohne Automatic Paket Filter, soweit alles kein Problem. Der Tunnel wird aufgebaut und steht auch ich kann vom Hauptstandort einen Ping an die ASG schicken der auch beantwortet wird. Jedoch werden alle Pakete trotz des Regelwerkes per Default Drop verworfen und das ist der Punkt den ich nicht ganz nachvollziehen kann.

Das Regelwerk ist so aufgebaut dass dem Internal Network expliziete Dinge auf bestimmte Server im Hauptstandort erlaupt werden. Nachdem das nicht sauber lief habe die Paketfilter Regeln sowohl im Hauptstandort als auch im Remote Standort so aufgebaut das dem internal Network any in das Remote Lan erlaubt sind. Diese Regeln greifen jedoch immer noch nicht immer noch per Default Drop. Dann habe ich einen Regel internal Network -> any -> Any angelegt dann werden die Pakete durchgelassen und dann funktioniert es auch mehr oder minder. Schalte ich diese Regel ab geht nichts mehr ausser der Ping an die Remote ASG.

Dann habe ich den Tunnel mit Automatic Filter neu aufgebaut die Pakete gehen auch wieder durch.

Dennoch funktionieren hier auch wieder einige Dinge nicht, ich habe auf der Remote ASG und der im Hauptstandort die jeweiligen Remote Netze im Web Admin das Recht für das Anmelden gegeben um vom jeweiligen Standort auf beide ASG's zugreifen zu können dieses funktioniert mit egal welchen Konfigurationen ob nun Auto Packet oder mit der any Regel obwohl diese als erlaubte Netze eingetragen sind, auch hier wieder Default Drop

Weiterhin habe ich der Remote ASG als DNS Forwarder die ASG im Hauptstandort eingetragen sehe dann im Live Log der Haupt ASG dass die Anfragen der ASG eingehen aber auch wieder per Default Drop verworfen werden. Gebe ich hier jedoch unseren internen DNS an ist das alles wieder kein Problem.

Aus den Log Files ist auch ersichtlich dass hier die Pakete mit 6001 und 6002 (also Default Regeln soweit ich weiss) verworfen werden.

Mir ist das ganze nicht wirklich erklärlich.

Hier etwas zum Aufbau:

In dem Hauptstandort müssen Routing Entscheidungen zwischen 3 verschiedenen WAN Netzen getroffen werden dieses läuft auch Problemlos.
Der VPN Tunnel soll über ein Netz aufgebaut werden welches nicht das Netz ist was zum Internet geht hat also daher keine Standard Gateway.

Deswegen habe ich auf der Haupt ASG eine Static Gateway Route zu dem Netz in dem sich das externe Interface der Remote ASG befindet erstellt. Keine aber zu dem eigentlichen Internal Network der Remote ASG da diese Automatisch als IPSEC Route angelegt wird.

Vor beiden ASG befinden sich Firewalls unseres ISP auf die ich keinen Zugriff habe daher sind zwischen den ASG's und den Firewalls des ISP Transfernetze aufgebaut. 

Ich führe kurz natürlich in verfälschter Form vor um welche Netze es sich handelt damit es besser Nachvollziehbar ist:

ASG Haupt Standort

internal: 10.53.240.1
external Interface der Leitung auf der der Tunnel aufgebaut wird: 192.168.10.2

IP der ISP Firewall: 192.168.10.1


ASG Remote Standort:

internal: 172.12.120.1
external: 192.168.11.2

IP der ISP Firewall: 192.168.11.1

Am Remote Standort müssen keine Routing Entscheidungen getroffen werden da es hier nur eine WAN Strecke gibt diese geht allerdings nicht ins Internet.

Der Aufbau des VPN:

Hauptstandort

SA:  10.53.240.0/22=192.168.10.2    192.168.11.2=172.12.120.0/24

Remote Standort:

SA:  172.12.120.0/24=192.168.11.2    192.168.10.2=10.53.240.0/22


Der Tunnel wird auch sofort aufgebaut kein Problem und mit dem Automatic packet Filter läuft er auch bis auf die oben genannten Dinge. Nur ist das natürlich nicht zufriedenstellend.

Paketfilter Regeln Hauptstandort:

RemoteLan -> any -> Internal Network

Internal Network -> any Remote Lan


Paketfilter Regeln Remote Standort:

Hauptstandor Lant -> any -> Internal Network

Internal Network -> any Hauptstandort Lan


Und dann müsste es eigentlich hinhauen aber eben alles per Default Drop verforfen bei nicht aktiviertem Automatic packet Filter.

Und das ist für mich überhaupt nicht nachvollziehbar.

Habe ich irgendwo einen Denkfehler oder eine falsche Konfiguration.

Was für mich eben auch noch nicht nachvollziehbar ist trotz des erlauben im Web Admin der jeweiligen Netze und erlauben des Nutzen von DNS des Remote Standortes auf der Haupt ASG dass dieses auch per Default verworfen wird.

Weiterhin habe ich auch mit Masquerading getestet aber es ist den ASG's egal ob das ab oder angeschaltet ist.

Ich hoffe ich habe jetzt alles nachvollziehbar aufgeführt. Und irgendwer hat einen Tipp für mich wo es haken könnte.


MFG
tandaril


This thread was automatically locked due to age.
  • 0
    Moin

    Wollte den Thread nochmal pushen zum anderen ist mir aufgefallen dass ich nicht erwähnt habe dass es nicht am IPS liegen kann. Der ist derzeit im Hauptstandort abgeschaltet. Nur im Remote Standort läuft IPS noch.

    Aber das kann ja eigentlich nicht das Problem sein da es ja mit Auto Paket Filter läuft.

    Ist denn in meiner Config irgendwo ein Haken? Mir  ist zu mindestens nichts ersichtlich?

    Gibt es spezielle Dinge in den man bei IPSEC Verbindungen beachten muss bezgl. des Paketfilters?

    Ich hoffe irgendwer kann mir einen Denkanstoß geben.


    MFG
    tandaril
  • 0 in reply to tandaril
    Moin

    Für alle die sich mit dem gleichen Problem rumschlagen poste ich die Lösung.

    Für mich war das Problem absolut nicht nachvollziehbar. Nachdem ich mir die Netzwerkobjekte noch einmal angeschaut habe und die Routing Tabelle. Ist mir aufgefallen dass der IPSEC Tunnel auf die jeweiligen externen Interfaces gebunden wird.

    Da nun im Hauptstandort die jeweiligen Netzwerkobjekte die sich im internal Lan auch an das internal Interface gebunden sind. Sobald der Tunnel aufgebaut ist kann also der Remote Standort nicht auf die Server zugreifen, da diese aus Sicht des IPSEC Tunnels an das falsche Interface gebunden sind.

    Daher die Lösung recht einfach, die Bindung der Netzwerkobjekte an Interfaces aufheben und schon greift der Paketfilter.

    Wirklich nachvollziehen kann ich das jedoch nicht denn eigentlich soll das Binden an ein Interface, dafür dienen dass die Routen zu den einzelnen Netzwerkobjekten gesetzt werden damit die Objekte nicht lange gesucht werden müssen.

    Ich werde mich diesbezüglich nochmal mit Astaro in Verbindung setzen damit das vlt. in Anleitungen oder in der KB hinterlegt wird.

    Somit hat sich dieser thread erledigt.


    MFG
    tandaril