Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 1389 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Benutzer (WAN) erreicht LAN an eth7 nicht

ASG220
Hallo zusammen.

Zuerst mal der Netzaufbau:
ASG220 (7.507)
eth0 = LAN intern (eigene IP 172.16.0.254)
eth1 = WAN extern / PPPOE (dyn. IP)
eth7 = 2.LAN intern (eigene IP 10.1.1.6)

Ein VPN-Benutzer verbindet sich von nun extern auf das ASG. Über den Tunnel solle er nun aber auf das Netz an eth7 zugreifen (10.1.1.x). Egal was ich einstelle - er erreicht das Netz nicht. Paketfilter ist aufgebohrt, habe es mit Routing, Bridging nud NATing versucht - es will einfach nicht funktionieren. Der Tunnel steht stabil, ich habe eine IP aus dem richtigen Netz (10.1.1.250).

Hat einer die zündende Idee für mich?

Danke und Gruß,
Lars


This thread was automatically locked due to age.
Parents
  • 0
    Der "Router" für 10.1.1.x ist eine Application Level Firewall, in der keine Zugriffe von außen eingerichtet werden sollen. Dessen interne IP ist 10.1.1.3 und damit das Standardgateway für das gesamte 10.1.1.x Netzwerk.

    Das habe ich kontrolliert. Ich denke, das Thema "Rückweg", was Mario angesprochen hat, wird wohl das Haupt-Problem sein.

    Exactly!  The easiest solution is a route in the Application Level Firewall:

    10.242.0.0 255.255.0.0 10.1.1.6


    If you can't add a route to the Application Level Firewall or to the host at 10.1.1.4, one solution is to disconnect the Astaro from the DMZ, change the IP on the interface and connect it to the LAN side of the Application Level Firewall.  Now, you just make a route in the Astaro for the DMZ.  Of couse, if the LAN side of the Application Level Firewall is 172.16.0.0/24, then you only need to disconnect from the DMZ and set a gateway route: '10.1.1.0/24 via 172.16.0.1'

    Another solution would be to leave the DMZ in place like now and make a Masquerading rule: 

    VPN Pool (PPTP) -> DMZ


    Or, just a NAT rule, 'VPN Pool (PPTP) -> Any -> DMZ (Network) : SNAT from DMZ (Address)'.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    So, kurz der aktuelle Stand.

    Genau nach automatischer Installation eines fehlerhaften Pattern-Updates hab ich einen Reboot durchgeführt - danach waren dann alle LAN-Ports tot. Blöder Zufall - der Support hat lange gerätselt. Factory-Reset und alle weiteren Rettungsversuche waren erfolglos. Nach Neu-Installation vom ISO-Image (per USB-CDROM) war dann alles wieder i.O.

    Ich habe dann alles von Grund auf neu konfiguriert und siehe da: mein ursprüngliches Problem ("VPN-Benutzer (WAN) erreicht LAN an eth7 nicht") hat sich in Luft aufgelöst [:)]

    Vielen Dank nochmal für die vielen Tipps!
Reply
  • 0 in reply to BAlfson
    So, kurz der aktuelle Stand.

    Genau nach automatischer Installation eines fehlerhaften Pattern-Updates hab ich einen Reboot durchgeführt - danach waren dann alle LAN-Ports tot. Blöder Zufall - der Support hat lange gerätselt. Factory-Reset und alle weiteren Rettungsversuche waren erfolglos. Nach Neu-Installation vom ISO-Image (per USB-CDROM) war dann alles wieder i.O.

    Ich habe dann alles von Grund auf neu konfiguriert und siehe da: mein ursprüngliches Problem ("VPN-Benutzer (WAN) erreicht LAN an eth7 nicht") hat sich in Luft aufgelöst [:)]

    Vielen Dank nochmal für die vielen Tipps!
Children
No Data