IPSEC bitte helft mir...

So...

- IPSec Tunnel steht wieder, von ASG_A kann ich auch das ext. und inter. interface der ASG_B Pingen...aber so bald ich meine laptop direkt an eth3 (int.) anstecke und versuche die andere ASG zu Pingen, geht garnix. Fotos sind im Anhang...das ganze ist immer mehr en BlackBox für mich...

Danke...

Ip Adresse Subnetz und Gateway des Client? 
Screenshot der Interfaces auf den beiden Utms...

ich hoffe du meinstest das?

Mfg

ps:
wie in meinem anderen Post zu lesen ist kann ich ja nicht eth3 PINGEN wenn ich drekt angesteckt bin!
was ist den das für ein verdammter....boor....

kannst du von UTM1 die andere UTM pingen?`
was liefert ein traceroute vom Notebook zu den beiden UTM´s?

Hallo Thomas,
bitte nicht persönlich nehmen, 
aber es kommt mir so vor, als ob Du da irgendeine Labor-Übung mit GEwalt aufbauen willst, ohne Basiswissen über TCP/IP, Routing und dergleichen zu besitzen.
In einem Deiner Screenshots kann man sehen, dass Du einen Tunnel aufbaust, der AUF BEIDEN SEITEN die beiden selben Netze (10.130.1.0/24) verbindet.

Das geht so erstmal nicht!
Warum sollte ein System auf Seite A mit einer IP in der Form 10.130.1.x seinen Ping an 10.130.1.y bei der Firewall abzugeben? Er geht völlig logisch davon aus, das das Ziel lokal zu erreichen ist.
Man verbindet üblicherweise UNTERSCHIEDLICHE Subnetze über ein VPN.

Kannst Du vielleicht mal einen Schritt zurück gehen, und die Aufgabenstellung überdenken, bzw. nochmals skizzieren?

Eines der Bilder auf den vorherigen Seiten zeigt eine Netzwerkskizze, in der die Gateways für Netz A in Netz B liegen. Auch das ist inkorrekt.
Ein Gateway ist dazu da um Daten die an eine IP in einem anderen LAN-Segment/Subnetz gehen weiterzuleiten. Das Gateway selbst muss dafür natürlich im lokalen Subnetz liegen.

Hallo KKnecht, 

1) hab ich dann auch fesgestellt das ich 10.130.1.x 2mal hatte mit 10.130.10.x hatts dann auch geklappt.

2) ich hoffe das gehört hier überhaupt noch rein [;)]
- aber das mit den verdamten Regeln kapier ich nicht...

hab mal n foto gemacht und angehängt...
eth1 = 192.168.1.10 
eth4 = 10.130.10.1
pc = 10.130.10.10 immer /24

also: Oberste regen greifen zu erst?richtig?! warum kann ich dann immernoch von eth4 zu eth1 pingen? Wo liegt mein "denk"fehler?

Vielen dank

ps: muss ich danach noch rigenwas machen wenn ich die Regel erstelt habe?reboot?...

also: Oberste regen greifen zu erst?richtig?! warum kann ich dann immernoch von eth4 zu eth1 pingen? Wo liegt mein "denk"fehler?

Kein Denkfehler, sondern ein spezielles "Design" der Astaro: Es gibt außer den sichtbaren Regeln auch noch einige "System"-Regeln, die vor den sichtbaren kommen und dann natürlich auch zuerst greifen.
Eine dieser Regeln ist das, was du im Reiter "ICMP" einstellst. Wenn du da "Gateway forwards Ping" anhakst, wird Ping nach überallhin zugelassen (aber keine anderen Dienste).
Weitere Beispiele sind: Automatische Regeln bei DNATs, VPNs, etc. und z.B. auch der Web Filter.

Und Nein, ein Reboot ist nicht nötig.

Noch eine Frage nebenbei: Wieso setzt du eine völlig veraltete Astaro-Version ein? Die V7 ist schon seit Ende 2012 EOL ("End Of Life") und wird daher nicht weiter supported...

Noch eine Frage nebenbei: Wieso setzt du eine völlig veraltete Astaro-Version ein? Die V7 ist schon seit Ende 2012 EOL ("End Of Life") und wird daher nicht weiter supported... 

@Scorpionking: Ich glaube, er will uns einfach nur quälen ;-)
.... moment mal, ich habe im Keller noch einen Cisco 802 gefunden, damit gehe ich mal in die Cisco-Foren!
*scnr* :-))

Außerdem würde ich mit seinem Prof gerne mal ein ernstes Wörtchen über die Sinnhaftigkeit dieser Aufgabe sprechen. Da macht nämlich praktisch gar nichts Sinn... [;)]
Außerdem würde mich die genaue Projektaufgabe mal interessieren, denn da könnte man sicherlich einiges dran optimieren. Und für Verbesserungs- und Vereinfachungsvorschläge sollte es eigentlich auch gute Noten geben (wenn man's begründen kann)...

Aber wir schweifen vom Thema ab...