This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Routing Problem?

Hallo Zusammen,

ich baue mit meiner UTM einen Site-to-Site SSL Tunnel auf, die Verbindung zur Gegenstelle funktioniert auch wunderbar. Die Verbindung habe ich unter "Support -> Tools" mit Ping und Traceroute getestet, kann kann die gewünschte IP "192.168.100.150" angepingt werden.

Allerdings ist diese IP von keinen meiner Clients erreichbar, wie kann ich den Clients nun vermitteln, wie Sie das Netzwerk erreichen können. Ich habe schon verschiedene Routingeinstellungen ausprobiert.

Ich weiss, dass ich von der VPN Gegenstelle die IP 10.242.2.5 zugewiesen bekomme, diesen Schritt nimmt er euch beim Traceroute über die UTM

10.252.2.5 -> 192.168.100.150

Ich hoffe Ihr könnt mir helfen und ich bedanke mich jetzt schon im Voraus.

LG,
ritschi

This thread was automatically locked due to age.

0 system-partner over 12 years ago

Hast du in der VPN Definition den Haken für "Automatic Firewall rules" aktiviert?

An beiden Boxen kannst du sonst noch im Firewall Live Logging sehen, an welcher Seite Pakete geblockt werden und dann ggf. Firewall Regeln nachziehen.

LG, Chris
Cancel
Vote Up 0 Vote Down

Cancel

0 ritschi over 12 years ago

Ja habe ich aktiviert...

So sieht es im Übrigen im Log aus...

2013:11:06-12:22:36 dortmund openvpn[15393]: /bin/ip link set dev tun0 up mtu 1500

2013:11:06-12:22:36 dortmund openvpn[15393]: /bin/ip addr add dev tun0 local 10.242.2.6 peer 10.242.2.5

2013:11:06-12:22:36 dortmund openvpn[15393]: PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_UP status=0

2013:11:06-12:22:36 dortmund openvpn[15393]: /bin/ip route add 10.242.2.1/32 via 10.242.2.5 dev tun0

2013:11:06-12:22:36 dortmund openvpn[15393]: /bin/ip route add 192.168.100.150/32 via 10.242.2.5 dev tun0

2013:11:06-12:22:36 dortmund openvpn[15393]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ssl" connection="REF_SslCli" address="93.*.*.*"

2013:11:06-12:22:36 dortmund openvpn[15393]: PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_ROUTE_UP status=0

2013:11:06-12:22:36 dortmund openvpn[15393]: Initialization Sequence Completed

0 system-partner over 12 years ago

Ok, dann suchen wir mal weiter :-)

Ist unter Firewall\ICMP die Checkbox drin für Firewall forwards ping?

Der Client hat eine IP im 10.252er Netz? Sein Default Gateway ist 10.252.2.5?

Wenn du unter Network Protection\Firewall das Live Log öffnest, siehst du dort geblockte pakete von deinen Tests?

Ggf. das Ganze auch auf der Gegenseite probieren.

LG, Chris
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 12 years ago

Wenn 10.242.2.0/24 in beiden "VPN Pool (SSL)" steht kann Routing Probleme erzeugt werden. Hat das geholfen ?

MfG – Bob

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 ritschi over 12 years ago

Hat alles nichts gebracht, im FW Log steht auch nichts und den Pool habe ich bei mir auch geändert.
Cancel
Vote Up 0 Vote Down

Cancel
0 scorpionking over 12 years ago
Kannst du mal einen Screenshot von der VPN-Konfiguration machen und hier posten?
Mit Bildern ist es meist leichter zu durchschauen...
----------
Sophos user, admin and reseller.
Private Setup:

XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)

UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cancel
Vote Up 0 Vote Down

Cancel
0 ritschi over 12 years ago in reply to scorpionking

Ich hoffe das reicht an Informationen
- ping.png
- View
- Hide
Cancel
Vote Up 0 Vote Down

Cancel
0 scorpionking over 12 years ago
Die Gegenseite ist vermutlich nicht richtig konfiguriert. Es werden keine lolalen und Remote-Netze übergeben (siehe 3. Screenshot), d.h. da wo "unknown" steht, sollte eigentlich links dein lokales und rechts das Remote-Netz oder der -Server (192.168.100.150) stehen.

Hast du Zugriff auf die Gegenstelle? Ist das auch eine UTM?
Wenn ja, muss dort in der VPN-Config bei "Local Networks" das "Internal (Network)" oder der Server 192.168.100.150 rein und bei Remote Networks dein lokales Netz...
----------
Sophos user, admin and reseller.
Private Setup:

XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)

UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cancel
Vote Up 0 Vote Down

Cancel
0 ritschi over 12 years ago in reply to scorpionking

Ich glaube mitlerweile, dass es daran liegt, das die Config auf der Gegenseite (auch UTM9), als Fernzugriffsprofil eingerichtet ist und es deswegen nicht klappt. Der Host auf den ich Zugriffen will, ist aber in der Config eingetragen.
Cancel
Vote Up 0 Vote Down

Cancel
0 scorpionking over 12 years ago
Das erklärt einiges. So kann es nicht funktionieren, da der UTM auf der Gegenstelle dein internes Netz nicht bekannt ist. Deshalb klappt der Ping von der UTM direkt, aber nicht aus dem dahinterliegendne Netz.

Ihr müsst eine Site2Site-Verbindung einrichten mit den passenden Netzen bzw. Hosts bei "Local Networks" und "Remote Networks".
----------
Sophos user, admin and reseller.
Private Setup:

XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)

UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cancel
Vote Up 0 Vote Down

Cancel