Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 25530 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port für SSL VPN Client ändern?

aceint
Hallo an alle!

Im Voraus bitte ich schonmal um Verzeihung im Falle einer Doppelung, bin mir jedoch sicher, keinen vergleichbaren Thread in diesem Forum gefunden zu haben.

Nun denn, zur eigentlichen Frage:

Wir haben vergangene Woche in der Firma einen Kerio Connect Mailserver eingefügt - für die Anbindung der Smartphones haben wir hierfür auf unserer 120er ASG den https - Port 443 auf den Mailserver weitergeleitet per DNAT. Leider funktioniert seither mein SSL VPN Client nicht mehr - dieser versucht nämlich, unsere feste IP mit Port 443 anzusteuern, scheitert dabei, und wiederholt den Versuch alle fünf Sekunden - ohne Erfolg.

Deshalb nun die naheliegende Frage, da wir uns ein bisschen scheuen, die Smartphones per Port 80, also http, arbeiten zu lassen, ob man nicht von der Seite der Astaro aus etwas ändern kann - genauer gesagt: den Port.

Im Menüpunkt "Fernzugriff" habe ich bereits versucht, den Port von 443 auf einen anderen zu ändern, anschließend habe ich eine neue Konfigurationsdatei für meinen VPN Client heruntergeladen, und versucht, mich zu verbinden. Nun steuert der Client zwar die feste IP unter dem neuen Beispielport an, das Bild bleibt im Großen und Ganzen jedoch das selbe: Kein Erfolg bei fünfsekündlichem Retry.

Fehlt noch irgendwo eine Einstellung, um den "neuen" Port zu aktivieren? Oder muss er irgendwo definiert werden? 

Über Ideen und Anregungen, überhaupt über jede Art von Rückmeldung würde ich mich sehr freuen!

Mit vorausgeschicktem besten Dank und vielen Grüßen verabschiede ich mich. :-)

Sebastian


This thread was automatically locked due to age.
  • 0
    Hallo Sebastian,

    auf was hast du den Port denn geändert? Vielleicht ist der neue Port auch schon von irgendwas belegt. Hast du die ASG schon mal rebootet seit dem? (Ich weiß zwar nicht ob das nötig ist - ist vieleicht einen Veruch wert...)

    Poste doch mal bitte die Zeilen aus dem Log des Clients und aus der ASG bei einem Verbindungsversuch - das hilft hier sicher bei der Lösung weiter.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo!

    Vielen Dank für die schnelle erste Antwort.

    Also, hier mal der Log aus dem SSL VPN CLIENT:

    Mon Mar 14 19:21:58 2011 OpenVPN 2.1_rc22 i686-pc-cygwin [SSL] [LZO2] built on Aug 11 2010
    Mon Mar 14 19:22:03 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Mon Mar 14 19:22:03 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Mar 14 19:22:03 2011 LZO compression initialized
    Mon Mar 14 19:22:03 2011 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Mon Mar 14 19:22:03 2011 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Mon Mar 14 19:22:03 2011 Local Options hash (VER=V4): '619088b2'
    Mon Mar 14 19:22:03 2011 Expected Remote Options hash (VER=V4): 'a4f12474'
    Mon Mar 14 19:22:03 2011 Attempting to establish TCP connection with 78.35.40.7:4443
    Mon Mar 14 19:22:04 2011 TCP: connect to 78.35.40.7:4443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
    Mon Mar 14 19:22:11 2011 TCP: connect to 78.35.40.7:4443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
    Mon Mar 14 19:22:17 2011 TCP: connect to 78.35.40.7:4443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
    Mon Mar 14 19:22:23 2011 TCP: connect to 78.35.40.7:4443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)


    So, und nun die Logs der Astaro.

    Angefangen mit dem Livelog unter "SSL VPN" -->

    2011:03:14-19:10:19 gw01 openvpn[27736]: Nikolaos_Mamolis,10.242.2.16 
    2011:03:14-19:10:19 gw01 openvpn[27736]: Marc_Nueckel,10.242.2.20 
    2011:03:14-19:10:19 gw01 openvpn[27736]: Alexander_Reich,10.242.2.24 
    2011:03:14-19:10:19 gw01 openvpn[27736]: actebis,10.242.2.28 
    2011:03:14-19:10:19 gw01 openvpn[27736]: Navid_Tabrizi,10.242.2.32 
    2011:03:14-19:10:19 gw01 openvpn[27736]: Goyert,10.242.2.36 
    2011:03:14-19:10:19 gw01 openvpn[27736]: MULTI: TCP INIT maxclients=1024 maxevents=1028 
    2011:03:14-19:10:19 gw01 openvpn[27736]: Initialization Sequence Completed 
    2011:03:14-19:22:57 gw01 openvpn[27736]: MANAGEMENT: Client connected from /var/run/ovpn_mgmt 
    2011:03:14-19:22:57 gw01 openvpn[27736]: MANAGEMENT: Client disconnected 


    Damit kann ich wenig anfangen, da um 19:10 keiner dieser dort genannten Personen versucht hat, sich zu verbinden - möglich ist, dass es 19:10 war, als ich erneut den SSL VPN Port in der ASG änderte. Vielleicht bezieht sich das dann darauf. Dennoch werde ich aus dem Log nicht schlau.

    Ferner habe ich aber noch den Livelog "Systemmeldungen" geöffnet, wo folgendes herauskam (ich weiß nicht ob/inwiefern dies nun damit zu tun hat - bin leider auch nur ein besserer Laie!)

    Live-Protokoll: Systemmeldungen Filter:  
      Autoscroll 
    2011:03:14-19:17:01 gw01 /usr/sbin/cron[28233]: (root) CMD ( nice -n19 /usr/local/bin/gen_inline_reporting_data.plx) 
    2011:03:14-19:17:08 gw01 daemon-watcher[3248]: Watching selfmonng.plx - running fine 
    2011:03:14-19:18:11 gw01 postgres[28311]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:20:01 gw01 /usr/sbin/cron[28361]: (root) CMD ( /usr/local/bin/reportcontrol.sh) 
    2011:03:14-19:20:21 gw01 postgres[28426]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:22:13 gw01 postgres[28510]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:24:13 gw01 postgres[28607]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:25:01 gw01 /usr/sbin/cron[28628]: (root) CMD ( /usr/local/bin/reportcontrol.sh) 
    2011:03:14-19:26:07 gw01 postgres[28714]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:28:06 gw01 postgres[28801]: [3-1] LOG: unexpected EOF on client connection 
    2011:03:14-19:30:01 gw01 /usr/sbin/cron[28854]: (root) CMD (nice -n19 /usr/local/bin/create_rrd_graphs.plx) 
    2011:03:14-19:30:01 gw01 /usr/sbin/cron[28856]: (root) CMD ( /usr/local/bin/reportcontrol.sh) 
    2011:03:14-19:30:01 gw01 /usr/sbin/cron[28859]: (root) CMD (/sbin/audld.plx --nosys --trigger) 
    2011:03:14-19:30:06 gw01 postgres[28926]: [3-1] LOG: unexpected EOF on client connection 


    und zu guter Letzt, als "Beweis", dass in der Astaro wenigstens IRGENDEIN Signal von mir ankommt, habe ich mal den Livelog des Paketfilters geprüft und mich schlagartig dort gefunden. Leider jedoch nicht grün unterlegt, sondern grau.

    19:29:11 Connection using NAT TCP 93.217.180.1 : 2642 
     → 192.168.1.254 : 443 
     [SYN] len=48 ttl=119 tos=0x00 srcmac=00:24:97:92:51[:D]a dstmac=00:1a:8c:10:c3:a3 
     


    So, ich hoffe, das war jetzt keine dreist überfordernde Informationsflut. Aber mir liegt einfach sehr viel daran, irgendwie (!) wieder Fernzugriff von zu Hause aus zu haben. Im Moment muss ich mich immer per TeamViewer auf netzinterne Rechner schalten.

    Wie auch immer, vielleicht wisst Ihr ja Rat!

    Allerherzlichsten Dank schon einmal für die Mühen!
  • 0 in reply to aceint
    Hi Sebastian,

    wenn ich mich nicht irre, ist Port 4443 für das UserPortal per default gesetzt - das würde dann nicht funktionieren - hast du schon mal nen anderen Port versucht?

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Hello again!

    Dann habe ich den an dieser Stelle unglücklich gewählt - vor wenigen Tagen habe ich es mit 6660 versucht -> gleiches Bild.
  • 0 in reply to aceint
    Ach was mir noch einfällt - zeigt doch mal die Einstellungen deiner DNAT Rule für die Smartphones. Vielleicht ist da ein Fehler drin - irgendwie erscheint es mir unlogisch, das im Packetfilterlog während des Verbindungsaufbaus was drin steht wo was von NAT erwähnt ist.

    Gruß
    Manfred
  • 0
    Hey, 

    Also da wurde ja nur erwähnt, dass ich versucht habe, mich mit meinem SSL VPN Client zu verbinden. Mit der Astaro.

    Das hat mit den Smartphones ja jetzt gar nichts zu tun. Diese DNAT-Rule blockiert ja lediglich den SSL VPN Client. Wenn ich sie deaktiviere, kann ich sofort per VPN Client ins Netz. Leider gehen dann keine eMails mehr ;-) Und Port 80  ist zu unsicher.

    Jedenfalls sieht die DNAT Regel wie folgt aus:

    Quelle: Any
    Dienst: HTTPS / Port 443
    Ziel: Internal (Adress) 
  • 0 in reply to aceint
    Ach was - das kriegen wir auch so ans laufen... ;-)

    Ich denke, deine DNAT Regel ist falsch (frage mich allerding warum sie trotzdem funktioniert??)

    Ich meine, es müsste so sein:
    Quelle: Any
    Dienst: HTTPS
    Ziel: External (Adress)

    dann:

    Zieldienst: leer lassen (solange der Service nicht verändert werden soll, kann/sollte man das leer lassen)
    Ziel: Mailserver

    Weil, du willst ja, das Packete, die auf dem externen Interface an Port 443 ankomen auf Port 443 auf deinem Mailserver umgeleitet werden. So wie du das beschrieben hast, werden Packete die am internen Interface umgeleitet - komisch das es funktioniert??? Aber probier das mal mal wie oben gesagt zu ändern.

    Und nicht 4443 oder 4444 fürs SSL VPN nehmen....

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Hallo!

    Danke für deine Ideen und deine Hilfe zu so später Stunde.
    Leider funktioniert das nicht, da sich hinter "External" unser altes, nicht mehr benutztes Netz 192.168.0.x  befindet. 

    Das Internal ist unser aktuelles Netz und hat die Adressen 192.168.1.x
  • 0
    Naja, ich meine eben das Interface, das zum Internet hin zeigt und IP Adresse 78.35.40.7 hat (wie immer das bei dir heißt....).

    Wenn dein Aufbau noch andere aussergewöhnlichen Dinge aufweist, darfst du das auch sagen oder aufzeichnen ;-)

    Gruß
    Manfred
  • 0
    Habe jetzt als Datenverkehrsziel mal nicht Internal (Adress) sondern Internal (Network) angegeben. Hat nichts verändert. Weder zum guten, noch zum schlechten.

    Anschließend habe ich Internal (Broadcast) eingegeben, woraufhin die eMails wieder nicht funktionierten. 
    Aber ohnehin haben alle auswählbaren Objekte nur interne IPs, nichts hat die externe IP Adresse. Was aber ja im Prinzip auch nicht nötig ist, oder? Immerhin soll ja von außen nach innen angesteuert werden, und wenn das geschieht, leitet die Firewall die Anfrage weiter ins interne Netz über Port xyz. In dem Falle ja leider 443.

    Was ich nur nicht verstehe ist, wieso das ganze auch nach Angabe eines neuen SSL VPN Ports nicht funktioniert. Müssen hier vielleicht irgendwelche neuen Paketfilterregeln o.ä. angegeben werden?
Cookie Information Banner