Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 1403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Benutzer (WAN) erreicht LAN an eth7 nicht

ASG220
Hallo zusammen.

Zuerst mal der Netzaufbau:
ASG220 (7.507)
eth0 = LAN intern (eigene IP 172.16.0.254)
eth1 = WAN extern / PPPOE (dyn. IP)
eth7 = 2.LAN intern (eigene IP 10.1.1.6)

Ein VPN-Benutzer verbindet sich von nun extern auf das ASG. Über den Tunnel solle er nun aber auf das Netz an eth7 zugreifen (10.1.1.x). Egal was ich einstelle - er erreicht das Netz nicht. Paketfilter ist aufgebohrt, habe es mit Routing, Bridging nud NATing versucht - es will einfach nicht funktionieren. Der Tunnel steht stabil, ich habe eine IP aus dem richtigen Netz (10.1.1.250).

Hat einer die zündende Idee für mich?

Danke und Gruß,
Lars


This thread was automatically locked due to age.
Parents
  • 0
    Pardon my English, but my German brain cannot compose thoughts now...

    Configuring PPTP Remote Access is indeed child's play, so it's likely that you have other configuration problems that now appear.  Trotzdem, zeige bitte ein Bild von der Konfiguration PPTP.

    First, check that none of your network/host definitions is bound to an interface; every definition should show "Interface: >" with the unique exception of the unalterable "Internet" object provided by Astaro.

    I'm a bit confused about eth7 - if it is connected to the same physical network as eth0, you will have problems.  Wie gesagt, soll eth7 überhaupt kein Gateway haben.

    The use of ping is controlled by settings that are checked before explicit packet filter rules.  Look at the 'ICMP' tab in 'Network Security >> Packet Filter'.

    As Quasar and Christian have said, your network topology is not complex, so you don't need any static routes you've set for "VPN Pool (PPTP)".

    Bitte, hier auf Deutsch weitermachen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Pardon my English, but my German brain cannot compose thoughts now...

    Configuring PPTP Remote Access is indeed child's play, so it's likely that you have other configuration problems that now appear.  Trotzdem, zeige bitte ein Bild von der Konfiguration PPTP.

    First, check that none of your network/host definitions is bound to an interface; every definition should show "Interface: >" with the unique exception of the unalterable "Internet" object provided by Astaro.

    I'm a bit confused about eth7 - if it is connected to the same physical network as eth0, you will have problems.  Wie gesagt, soll eth7 überhaupt kein Gateway haben.

    The use of ping is controlled by settings that are checked before explicit packet filter rules.  Look at the 'ICMP' tab in 'Network Security >> Packet Filter'.

    As Quasar and Christian have said, your network topology is not complex, so you don't need any static routes you've set for "VPN Pool (PPTP)".

    Bitte, hier auf Deutsch weitermachen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Welches Default Gateway hat dein Server 10.1.1.4? Ich tippe auch darauf, dass der Server den Rückweg nicht findet, deswegen gehen die Syn-Anfragen auch durch und danach kommt nix mehr.


    Wie müsste denn der "Rückweg" aussehen? Im Prinzip beibt dann ja fast nur noch NATing, weil ich dem Zielhost 10.1.1.4 ja schlecht ein 2. Standardgateway verpassen kann.

    Ich versuche es trotzdem noch mal etwas ausführlicher zu beschreiben: für das Netzwerk 10.1.1.x ist die ASG gar nicht das Gateway. Die ASG hatte ein Port frei (eth7) und wurde damit mit in dieses Netz gehangen. Daher die IP 10.1.1.6 für eth7. 

    Die im Gebäude bereits vorhandene ASG220 bot sich wegen der vielfältigen RemoteAccess-Möglichkeiten sozusagen an. Der "Router" für 10.1.1.x ist eine Application Level Firewall, in der keine Zugriffe von außen eingerichtet werden sollen. Dessen interne IP ist 10.1.1.3 und damit das Standardgateway für das gesamte 10.1.1.x Netzwerk. Das nur mal zum Hintergrund, warum die ASG in einem 2. LAN hängt. Die Netze 172.16.0.x (an eth0) und 10.1.1.x (an eth7) sind also 2 komplett verschieden Netze, die sonst nichts miteinander zu tun haben.

    Zugegeben, die ist meine erste Astaro Appliance. Ich dachte, das sich mir die Konfiguration logisch (um nicht zu sagen autodidaktisch) erschließen würde. Ich habe mich zwar intensiv eingelesen, scheitere aber anscheinend trotzdem an dieser Aufgabe. Seit über 10 Jahren hantiere ich fast täglich mit Lancom- und Cisoco-Routern herum - aber an manchen Stellen unterscheidet sich die Logik der Hersteller dann doch etwas... [;)]


    Es sieht so aus, als ob du Business Kunde wärst, was sagt der Reseller dazu, der die ASG220 verkauft hat? Habt Ihr keine Basiskonfiguration dazubekommen?


    Die Basiskonfig ist schon lange abgeschlossen. Der Reseller hat z.Zt. nichts mehr mit der lokalen Installation zu tun.

    I'm a bit confused about eth7 - if it is connected to the same physical network as eth0, you will have problems.


    Ich hoffe mal, das ich es nun etwas verdeutlichen konnte.

    The use of ping is controlled by settings that are checked before explicit packet filter rules.  Look at the 'ICMP' tab in 'Network Security >> Packet Filter'.


    Das habe ich kontrolliert. Ich denke, das Thema "Rückweg", was Mario angesprochen hat, wird wohl das Haupt-Problem sein.


    Danke und Gruß, 
    Lars