Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 16171 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 IPSec Site-to-Site VPN Ping nicht möglich

derdiggn
Guten Tag, 

ich habe leider ein Problem mit meinem VPN und habe auch nach mehrmaligem suchen auf Google und im Forum leider keine Lösung für mein Problem gefunden (vielleicht bin ich auch einfach zu verpeilt :confused[:)]. 

Das Problem

Wir haben in unserer Virtuellen Umgebung einen Server mit Sophos UTM 9 dieser soll mit einem Kunde einen VPN Tunnel aufbauen, dies geht auch schon Problemlos. 

Leider ist ein Ping aus unserem Netzwerk zu unserem Kunden nicht möglich. 

Informationen zum Netzwerk. 

Auf unserer Seite: 
Lokales Netz: 10.1.1.0/24
VPN Netz: 10.10.200.0/24

Auf Seite des Kunden
VPN Netz: 192.168.178.0/24

Hoffe ihr könnt mir bei desem Problem helfen habe leider noch keine Erfahrung mit Sohos. 

Vielen dank schonmal. 

Gruß

Daniel


This thread was automatically locked due to age.
  • 0
    Was wurde denn alles konfiguriert, damit dieser Ping aus eurem Netzwerk zu eurem Kunden funktionieren sollte?
  • 0 in reply to K.N.
    Hey 

    IPSec Configuration
    verbindung.png
    gateway.png

    Unter Network Protection -> Firewall -> ICMP wurde ICMP über Gateway zulassen Aktiviert. 

    Wenn ich es richtig verstanden habe sollten ja die Firewall Regeln son Sophos erstellt werden. 

    Es wurde auch eine Richtlinienroute angelegt

    Position: 1
    Routentype: Gateway-Route
    Quellschnittstelle: Intern
    Quellnetzwerk: Any
    Dienst: Any
    Zielnetzwerk: 192.168.178.0/24
    Gateway: IP des Kunden GW
    route.png
  • 0
    wofür die GW Route?
    Werden gem. PFL Log Packete geblockt?
  • 0 in reply to K.N.
    Sind die Netze alle eindeutig (d.h. keines der Netze ist irgendwoanders schon vorhanden)?
    Was sagt ein tracer(ou)t(e) zu einer IP im Zielnetz?
    Die Routing-Tabelle (Support -> Advanced) wär auch noch interessant...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to K.N.
    Das mit der Gateway Route hatte ich einem Forums Beitrag gelesen und zu test zwecken mal ausprobiert. 

    Leider taucht nichts in der Log Datei auf.
  • 0
    Anbei der Traceroute 

    daniel@php-dev01:~$ traceroute 192.168.178.1 -n
    traceroute to 192.168.178.1 (192.168.178.1), 30 hops max, 60 byte packets
     1  10.1.1.254  0.688 ms  1.070 ms  1.040 ms
     2  10.1.1.254  3000.970 ms !H  3000.987 ms !H  3001.004 ms !H

    10.1.1.254 ist die IP des UTM

    Hier die Routing Tabelle

    default via 185.48.118.1 dev eth1  table 200  proto kernel onlink 
    default via 185.48.118.1 dev eth1  table default  proto kernel  metric 20 onlink 
    10.1.1.0/24 dev eth0  proto kernel  scope link  src 10.1.1.254 
    127.0.0.0/8 dev lo  scope link 
    192.168.178.0/24 dev eth1  proto ipsec  scope link 
    broadcast 10.1.1.0 dev eth0  table local  proto kernel  scope link  src 10.1.1.254 
    local 10.1.1.254 dev eth0  table local  proto kernel  scope host  src 10.1.1.254 
    broadcast 10.1.1.255 dev eth0  table local  proto kernel  scope link  src 10.1.1.254 
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    local 185.48.118.20 dev eth1  table local  proto kernel  scope host  src 185.48.118.20 
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    local ::1 dev lo  table local  proto unspec  metric 0 
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
  • 0 in reply to derdiggn
    Und es ist sicher, dass nicht irgendwas an der Gegenstelle nicht passt?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Ich hab leider kein Zugriff auf das Kunden System laut meinen Informationen ist auf der Seite aber alles in Ordnung
  • 0
    Dann wird es Zeit für tcpdump und espdump. Das X durch die entsprechende Nummer ersetzen (siehe auch ifconfig).
    Auf dem internen interface: tcpdump -n -i ethX icmp
    Auf dem externen Interface: tcpdump -n -i ethX host ip.adr.vpn.re
  • 0 in reply to K.N.
    Hier mal die TCP Dumps

    Intern:
    gw01:/home/login # tcpdump -n -i eth0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
    13:40:19.554950 IP 10.1.1.2 > 192.168.178.1: ICMP echo request, id 1318, seq 1, length 64
    13:40:20.564015 IP 10.1.1.2 > 192.168.178.1: ICMP echo request, id 1318, seq 2, length 64
    13:40:21.571944 IP 10.1.1.2 > 192.168.178.1: ICMP echo request, id 1318, seq 3, length 64
    13:40:22.554727 IP 10.1.1.254 > 10.1.1.2: ICMP host 192.168.178.1 unreachable, length 92
    13:40:22.554769 IP 10.1.1.254 > 10.1.1.2: ICMP host 192.168.178.1 unreachable, length 92
    13:40:22.554814 IP 10.1.1.254 > 10.1.1.2: ICMP host 192.168.178.1 unreachable, length 92
    13:40:22.571164 IP 10.1.1.2 > 192.168.178.1: ICMP echo request, id 1318, seq 4, length 64
    13:40:25.570720 IP 10.1.1.254 > 10.1.1.2: ICMP host 192.168.178.1 unreachable, length 92

    Extern:
    gw01:/home/login # tcpdump -n -i eth1 host 192.168.178.1
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
    13:40:19.555306 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28
    13:40:20.554688 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28
    13:40:21.554682 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28
    13:40:22.571302 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28
    13:40:23.570664 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28
    13:40:24.570683 ARP, Request who-has 192.168.178.1 tell 185.48.118.25, length 28

    Die 185.48.118.25 ist unsere Externe IP
Cookie Information Banner