SSL VPN peinliche Anfängerfrage

Hi Markus,

am besten machst du mal Screenshots von den ganzen Einstellungen und die Version der UTM wäre noch hilfreich. 

Können denn die Hosts im internen Netz den Weg zum VPN Pool zurück finden? Nicht das nur eine Rückroute fehlt.

Gruß
Manfred

Hallo Manfred,

es handelt sich dabei um eine Sophos UTM 9 mit dem Firmwarestand 9.005-16, also verhältnismäßig aktuell.

Screenshots werde ich leider nicht anfertigen können, aber ich erkläre mal die Derzeitigen Einstellungen:

Unter den Einstellungen Fernzugriff >SSL >Allgemein Wurden die Benutzer eingetragen, die sich per VPN Verbinden dürfen. 
Als Lokales Netzwerk wurde nur unser Internal Network angegeben. Firewall Regeln werden automatisch erstellt.

In den Einstellungen wurde für die Schnittstellenadresse Any gewählt, das ganze über TCP und Port 443.
Der Virtuelle IP Pool steht auf dem Sophos Standard, ebenso die Kryptografischen einstellungen.

Es gibt derzeit keinerlei statische oder Richtlinienrouten, da häte ich als Laie jetzt zuerst vermutet könnte das Problem liegen.

Und wie gesagt, die Verbindung generell wird erlaubt, es gibt nur keine Möglichkeit irgendwas im Internen Netz anzusprechen. 

Vielen Dank für die Hilfe und viele Grüße

Markus

Eine ganz triviale (aber aus der Praxis geborene) Frage: Die Geräte im internen Netz haben die UTM als Defaultgateway eingetragen?

Hallo,

eine durchaus berechtigte Frage. Der Client im Internen Netz, der angesprochen werden soll hat die UTM als Standardgateway - allerdings ist das auch der einzige Rechner, der derzeit diese Einstellung hat,
 die anderen Internen Geräte haben ein anderes Gateway, sollen aber auch nicht per VPN erreichbar sein.

Viele Grüße

Markus

Dann wäre zu prüfen, ob die Daten überhaupt ins VPN geroutet werden.
Das Client-Logfile ist da sehr hilfreich zu kontrollieren, ob die Routen gesetzt werden.
Ein typisches "geht nicht"-Szenario bei uns ist aber was anderes.
Der Anwender stöpselt seinen Laptop von Firmennetz ab, geht zu Hause über seinen WLAN-Router ins Internet - und hat noch das LAN-Interface mit der IP vom internen LAN aktiv, was immer Priorität vor gesetzen Routen hat.

Ist auf dem Ziel-PC ein Firewall aktiv, die Zugriff aus nicht internen Netzen blockiert?

Wie weit kommt ein traceroute / tracert auf dem VPN-Client an die Ziel-IP?

VPN-SSL Konfig:

Das interne Netz eintragen und zulassen (Auto Rule)

Fertig.

Hallo wieder,

@moddix: Genau das war auch unsere Vermutung bei der Konfiguration, nur hat sich leider
herausgestellt das sich das Ergebnis von unseren Erwartungen stark unterscheidet [[;)]]

Das auswerten das Client Logs werde ich mir mal vornehmen, aber wir können ausschließen das der Anwender noch "fehlerhafte" IP Einstellungen für seine Netzwerkverbindung nutzt, da er sowohl intern als auch extern über DHCP seine
Adressen bekommt und (bis auf den Zugriff aufs interne Netz über VPN) alles andere Funktioniert soweit.

Ich werde mal über tracert ausprobieren wie weit ich komme und den Zielrechner mal bezüglich der Firewall überprüfen.

Schon mal danke für die zahlreichen Denkanstöße [[;)]]

Gruß

Markus

habt ihr den VPN SSL im Admin Modus gestartet auf dem Client?

Das ist Wichtig!!!
Logs Check Client!!

habt ihr den VPN SSL im Admin Modus gestartet auf dem Client?

Das ist Wichtig!!!

Das ist falsch. Der SSL-Client der V9 verwendet einen Dienst zum Setzen der Routen und benötigt daher keine Admin-Rechte für den Betrieb. Nur die Installation muss als Admin durchgeführt werden.