Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 25532 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port für SSL VPN Client ändern?

aceint
Hallo an alle!

Im Voraus bitte ich schonmal um Verzeihung im Falle einer Doppelung, bin mir jedoch sicher, keinen vergleichbaren Thread in diesem Forum gefunden zu haben.

Nun denn, zur eigentlichen Frage:

Wir haben vergangene Woche in der Firma einen Kerio Connect Mailserver eingefügt - für die Anbindung der Smartphones haben wir hierfür auf unserer 120er ASG den https - Port 443 auf den Mailserver weitergeleitet per DNAT. Leider funktioniert seither mein SSL VPN Client nicht mehr - dieser versucht nämlich, unsere feste IP mit Port 443 anzusteuern, scheitert dabei, und wiederholt den Versuch alle fünf Sekunden - ohne Erfolg.

Deshalb nun die naheliegende Frage, da wir uns ein bisschen scheuen, die Smartphones per Port 80, also http, arbeiten zu lassen, ob man nicht von der Seite der Astaro aus etwas ändern kann - genauer gesagt: den Port.

Im Menüpunkt "Fernzugriff" habe ich bereits versucht, den Port von 443 auf einen anderen zu ändern, anschließend habe ich eine neue Konfigurationsdatei für meinen VPN Client heruntergeladen, und versucht, mich zu verbinden. Nun steuert der Client zwar die feste IP unter dem neuen Beispielport an, das Bild bleibt im Großen und Ganzen jedoch das selbe: Kein Erfolg bei fünfsekündlichem Retry.

Fehlt noch irgendwo eine Einstellung, um den "neuen" Port zu aktivieren? Oder muss er irgendwo definiert werden? 

Über Ideen und Anregungen, überhaupt über jede Art von Rückmeldung würde ich mich sehr freuen!

Mit vorausgeschicktem besten Dank und vielen Grüßen verabschiede ich mich. :-)

Sebastian


This thread was automatically locked due to age.
  • 0
    Hm, das klingt ja seltsam. Wie ist denn die ASG mit dem Internet verbunden? Beschreib mal bitte den Aufbau der Internetverbindung mit allen Geräten und ggf IP Adressen.

    Nein, Packetfilterregeln sind für den Verbindungsaufbau nicht notwendig - nur danach für den eigenlichen Datenverkehr, aber soweit sind wir ja noch nicht.
  • 0 in reply to Hallowach2
    Also das Internet kommt vom lokal ansässigen Anbieter ins Haus, sodass zwischen "Internet" und der Astaro noch ein Router von den Herrschaften hängt.

    Hier gibt es jedoch keinerlei Probleme, da dort auch so ziemlich alles, was bekannt ist, eingestellt und weitergeleitet wurde auf die ASG. Zumal es ja vorher auch nie Probleme gab mit der Verbindung, erst, seit die DNAT-Regel für den Mailserver den Port 443 für sich beansprucht.

    Gut, man könnte jetzt vielleicht sagen, dass mein "Versuchsport", momentan auf 4447 eingestellt, noch weitergeleitet werden müsste. Das könnte ich morgen mal testen. Halte die Chance, dass dies funktioniert, aber für sehr gering.

    Zum weiteren Aufbau: Ganz simpel. An der Astaro hängen diverse Switches, in denen wiederrum Server, Clients, VoIP-Telefone etc. pp hängen.
  • 0
    OK - dann muß es ja ein Interface geben, das mit dem Router deines Providers verbunden ist und das hat doch bestimmt eine IP Adresse und einen Namen in der ASG - das Interface muß bei der DNAT Regel als Quellinterface drin sein.
  • 0 in reply to Hallowach2
    Ich habe die Schnittstellen "ACE Internal" und "External", jeweils mit den Ausprägungen Adress, Broadcast, Network. 
    Wobei hier wie gesagt zu beachten ist, dass es sich bei "External" um das "alte", nicht mehr verwendete Netz handelt.

    Des Weiteren gibt es noch die Schnittstellen "ACE WLAN" und "ACE OLD", beide in diesem Fall nicht zu beachten, da das eine das WLAN ist, und "OLD" ebenfalls ein stillgelegtes Netz.

    Es muss sich also bei der gesuchten Schnittstelle um das "ACE Internal" halten, die bereits in der DNAT-Regel auftaucht, weshalb sie vmtl. auch funktioniert, und der Fehler woanders liegt, oder?

    Ansonsten: Wo/wie kann ich herausfinden, welche die gesuchte Schnittstelle ist?

    Danke übrigens für die Geduld. Bin wie gesagt auch nur ein "besserer Laie" :-)
  • 0
    Das externe Interface erkennst du höchstwahrscheinlich daran, das es das einzige aktive Interface sein sollte das ein Default Gateway eingetragen hat (in der Interface Konfiguration 'Interfaces & Routing -> Interfaces). Sag mal was dort als Default Gateway für ne Adresse drin steht.

    Wenn das 'ACE Internal' wirklich das jenige ist, das raus in Internet geht, wäre das in der DNAT richtig. Dann kann es vllt. doch noch an dem Router des Providers liegen (das der nicht jeden Port weiterleitet)
  • 0 in reply to Hallowach2
    Hallo Manfred!

    Mittlerweile ließ sich das Problem lösen. Interessanterweise - und mir unverständlicherweise - indem ich bei den Einstellungen des VPN Clients auf "Einstellungen vom Internet Explorer" verwenden geklickt habe. Und natürlich einen neuen Port eingegeben + Configfile heruntergeladen habe.

    Nun denn, hab vielen Dank für dein "nächtliches" Engagement - sehr freundlich!

    Beste Grüße

    Sebastian
Cookie Information Banner