Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4356 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default DROP OpenVPN Port 1194

marub
Hallo zusammen,

Ich habe einen externer ModemRouter mit installiertem OpenVPN Client, der sich von einem beliebigen DSL-Anschluss auf meinem PC im Firmennetzwerk ( OpenVPN Server ) verbinden kann/soll.
Dies hat schon alles einmal unter Astaro Security Gateway V7 vor ca. 1 Jahr funktioniert. Jetzt wurde upgedatet auf V8 ( 8.309 ) und alles neu eingerichtet.

Nun bekomm ich immer einen Default DROP externe IP ***.*** :1194
und die VPN Verbindung kommt nicht zustande.

folgende Firewall Rule wurde angelegt Any IPv4 -> UDP1194 -> Any auf Position 1

wo muss ich ansetzten ?

ps. 
die Certificate stimmen, denn der Client ( Router ) versucht nach Aussen auf die Firewall zu kommen = Default DROP

Besten Dank
Marcus


This thread was automatically locked due to age.
Parents
  • 0
    Wo ist die ASG? Bei dir zu Hause oder in der Firma?
    Beschreib mal den Aufbau des Netzes besser, so dass man nachvollziehen kann, wo der "externe ModemRouter" und der "PC im Firmennetz" steht. Du musst bedenken, dass wir deinen Netz-Aufbau nicht kennen und auch nicht erraten können... [;)]

    Verstanden habe ich es so:
    PC im Firmennetz --- Router/Firewall der Firma --- Internet --- ASG zu Hause --- "Modem/Router mit OpenVPN" ...

    Bitte bei solchen Fragen auch immer die entsprechenden Logs mit einstellen.
    Wenn in den Logs was von Default Drop steht, dann greift keine deiner selbst erstellten Regeln...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    die ASG steht in der Firma, und ist mit DSL feste IP angebunden. Der externe Router/Modem steht momentan bei mir zuhause ( zum testen ) und soll später beim Kunden stehen ( zu Fernwartungszwecken ).

    Logs kann ich dir heute Abend zusenden, weil momentan der Router nicht läuft.

    wieso greift keine meiner Regeln, wo kann ich anfangen zu suchen. Muss die regel ganz oben oder ganz unten stehen. Wer oder was beinflusst / übergeht  meine Filter od. Regeln.
  • 0 in reply to marub
    Wird der OpenVPN-Server der ASG verwendet oder ein separater OpenVPN-Server im Firmennetz?
    Wenn zweiteres, benötigst du eine DNAT-Regel, die den OpenVPN-Traffic ans externe Interface auf deinen internen OpenVPN-Server weiterleitet. Dort setzt du auch gleich den Haken für die automatische Firewall-Regel. Zu finden unter Network Security -> NAT -> NAT.

    edit: generell gilt für die Firewall: die Regeln werden von oben nach unten abgearbeitet, sobald eine greift, werden keine weiteren mehr angewandt. Ganz unten steht (unsichtbar) eine Any -> Any -> Any DROP. Automatische Regeln (von DNAT, VPN, etc.) stehen ganz oben...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to marub
    Habt ihr die V8 komplett von Null an mit allen Regeln neu hochgezogen oder ein Config-Backup der V7 eingespielt? Möglicherweise gibt es noch eine DNAT Regel, die den Verkehr zum OVPN Server regelt. 
    Und das läuft wirklich so, dass eingehende Calls mit einer Any-Any Regel ins innere Netz zum Server dürfen? Halte ich für bedenklich.
    Bei mir steht der OVPN Server in der DMZ, eingehende Calls werden per DNAT dorthin geschickt. Der Server entscheidet, wer ins innere Netz darf und die Firewall hat ein Regelwerk, welches den Clients Zugriff auf bestimmte Bereiche ganz gezielt erlaubt oder auch nicht.

    @scorpion: Er schrieb dass der OVPN Server sein PC im Firmennetzwerk ist....
  • 0 in reply to gsxfan
    @gsxfan
    die ASG wurde komplett neu konfiguriert
    die any-any Regel sollte eigentlich nur zum testen sein, später hätte sie eigentlich direkt auf meinen PC ( OPVPN-Server zeigen ).

    @scorpionking
    der VPN-Server ist mein PC hinter der ASG, also benötige ich eine DNAT-Regel ??[:D] oder ??

    TrafficSource = mein PC ( OpenVPN-Server )
    TrafficService = UDP 1194
    TrafficDestination = ???? WAN Adress ???

    NATmode = DNAT
    Destination = mein PC ( OpenVPN-Server ) ????
    DestionationService = UDP 1194

    Danke für eure schnellen Antworten
  • 0 in reply to marub
    Nein,

    Traffic Source: Any
    TrafficService = UDP 1194
    TrafficDestination = WAN (Address)

    NATmode = DNAT
    Destination = Dein PC ( OpenVPN-Server )
    DestinationService = leer lassen

    Die Regel bedeutet: Alle UDP-1194-Pakete, die von irgendwo am WAN-Port ankommen, weiterleiten an deinen PC.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    @scorpionking

    hat alles super geklappt...

    Danke nochmal
Reply Children
No Data
Cookie Information Banner