Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5413 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site-VPN SSL nicht erreichbar trotz verbindung

logan517
Nabend,

ich kann leider keine gute Anleitung bzw. Thema finden, was zu meiner Frage passt.

Ich habe 2 Sophos UTM's als VM auf 2 Servern an unterschiedlichen Standorten installiert.
Diese möchte ich gerne mit der Site-to-Site Funktion verbinden.

Dazu habe ich auf UTM A eine neue Netzwerkkarte hinzugefügt (via esxi) und dieser die IP 192.168.8.1 gegeben.

Auf UTM B habe ich die Site-to-Site mit dem Verbindungstyp Server so eingestellt:
Lokale Netzwerke: Intern (Network) [192.168.20.0/24]
Entferne Netzwerke: Test-Pool [192.168.8.0/24]
X -> Automatische Firewallregeln


Dann auf UTM A das ganze als Client und die Konfigurationsdatei hochgeladen. Dort auch das Häkchen bei den automatischen Firewallregeln und auf Speichern.

Die Verbindung wird ohne Probleme aufgebaut allerdings kann ich vom der UTM A über die Tools nicht die 192.198.20.1 bzw. von UTM B die 192.168.8.1 anpingen.



Vermutlich habe ich noch irgendwas vergessen zu konfigurieren oder mache nur irgend ein dummen Fehler.

Ich möchte gerne, dass alle PC's aus dem 192.168.8.0er Netzwerk über die UTM A auf alle PC's im 192.168.20.0er Netzwerk der UTM B zugreifen können, und umgekehrt natürlich.

Schöne Grüße
Logan517


This thread was automatically locked due to age.
  • 0
    Servus,

    Ich versteh grad nicht ganz was du meinst... 
    Also deine site2site Verbindung steht und die logs sind okay, es geht also nur um das routing zwischen den netzen? Kannst du uns mal Screenshots deiner Konfig schicken? Grüße mojo
  • 0
    Hi,

    jup die Verbindung steht, es geht nur um das Routing zwischen den Netzen.

    Welche Konfig meinst du genau? Die von der Site2Site?
  • 0
    Sind die UTMs jeweils Default Gateway auf den Clients in ihren Netzen?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    jup, der ist bei den Clients die 192.168.8.1.

    Wobei ich selbst von der UTM keine Verbindung bekomme.
    Also wenn ich das über Support->Tools->Ping-Prüfung teste.

    Wenn ich dort z.B. die andere UTM 192.168.20.1 an pinge bekomme ich keine Antwort, egal über welche Schnittstelle ich diese pinge.

    z.B.:
    PING 192.168.20.1 (192.168.20.1) from 192.168.8.1 eth2: 56(84) bytes of data.

    From 192.168.8.1: icmp_seq=1 Destination Host Unreachable
    ...
  • 0
    Zeig mal die Routing-Tabelle beider UTMs (Tools -> Advanced).

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    ich vermute da liegt auch irgendwo der Fehler, dass einfach ein Routing Eintrag fehlt.

    UTM A (Site2Site VPN - Client) 

    default via 192.168.1.1 dev eth1  table 200  proto kernel onlink 

    default via 192.168.1.1 dev eth1  table default  proto kernel  metric 20 onlink 

    10.242.2.0/24 via 10.242.2.2 dev tun0  proto 41 

    10.242.2.2 dev tun0  proto kernel  scope link  src 10.242.2.1 

    10.242.2.9 dev tun1  proto kernel  scope link  src 10.242.2.10 

    127.0.0.0/8 dev lo  scope link 

    192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.2 

    192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.1 

    192.168.8.0/24 dev eth2  proto kernel  scope link  src 192.168.8.1 

    192.168.20.0/24 via 10.242.2.9 dev tun1  proto 41 

    local 10.242.2.1 dev tun0  table local  proto kernel  scope host  src 10.242.2.1 

    local 10.242.2.10 dev tun1  table local  proto kernel  scope host  src 10.242.2.10 

    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 

    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 

    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 

    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 

    broadcast 192.168.1.0 dev eth1  table local  proto kernel  scope link  src 192.168.1.2 

    local 192.168.1.2 dev eth1  table local  proto kernel  scope host  src 192.168.1.2 

    broadcast 192.168.1.255 dev eth1  table local  proto kernel  scope link  src 192.168.1.2 

    broadcast 192.168.2.0 dev eth0  table local  proto kernel  scope link  src 192.168.2.1 

    local 192.168.2.1 dev eth0  table local  proto kernel  scope host  src 192.168.2.1 

    broadcast 192.168.2.255 dev eth0  table local  proto kernel  scope link  src 192.168.2.1 

    broadcast 192.168.8.0 dev eth2  table local  proto kernel  scope link  src 192.168.8.1 

    local 192.168.8.1 dev eth2  table local  proto kernel  scope host  src 192.168.8.1 

    broadcast 192.168.8.255 dev eth2  table local  proto kernel  scope link  src 192.168.8.1 

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    local ::1 dev lo  table local  proto unspec  metric 0 

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    Kurze Erklärung:
    192.168.1.1 => DSL Modem
    192.168.1.2 => UTM IP nach "außen" / zum Modem
    192.168.2.1 => UTM im "normalen" Netz


    UTM B (Site2Site VPN - Server) 10 

    default via 85.***.***.1 dev eth1  table 200  proto kernel onlink 

    local default dev lo  table 252  scope host 

    default via 85.***.***.1 dev eth1  table default  proto kernel  metric 20 onlink 

    10.242.2.0/24 via 10.242.2.2 dev tun1  proto 41 

    10.242.2.2 dev tun1  proto kernel  scope link  src 10.242.2.1 

    127.0.0.0/8 dev lo  scope link 

    192.168.8.0/24 via 10.242.2.2 dev tun1  proto 41 

    192.168.20.0/24 dev eth0  proto kernel  scope link  src 192.168.20.1 

    local 10.242.2.1 dev tun1  table local  proto kernel  scope host  src 10.242.2.1 

    local 37.***.***.196 dev eth1  table local  proto kernel  scope host  src 37.***.***.196 

    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 

    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 

    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 

    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 

    broadcast 192.168.20.0 dev eth0  table local  proto kernel  scope link  src 192.168.20.1 

    local 192.168.20.1 dev eth0  table local  proto kernel  scope host  src 192.168.20.1 

    broadcast 192.168.20.255 dev eth0  table local  proto kernel  scope link  src 192.168.20.1 

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    local ::1 dev lo  table local  proto unspec  metric 0 

    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
  • 0
    Sieht eigentlich gut aus, wobei du auf beiden Seiten noch den Default-Bereich im VPN-Pool (SSL) hast. Änder den mal auf einer Seite...

    Außerdem: Irgendwelche Einträge im Firewall Log? Was ist die 192.168.1.1 für ein Gerät (Hersteller, Modell)?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    mit dem Default-Bereich meinst du unter Site-to-Site-VPN -> SSL -> Einstellungen -> Virtueller IP-Pool.
    Habe das nun mal bei der UTM A (Client) auf das Netzwerk 192.168.8.0/24 gesetzt.

    - Brachte kein Erfolg - 

    Die 192.168.1.1 ist ein FritzBox 3790. An dem Standort ist "nur" normales VDSL Verfügbar. Habe dort die Sophos 192.168.1.2 als exposed Host eingetragen.
  • 0 in reply to logan517
    mit dem Default-Bereich meinst du unter Site-to-Site-VPN -> SSL -> Einstellungen -> Virtueller IP-Pool.
    Habe das nun mal bei der UTM A (Client) auf das Netzwerk 192.168.8.0/24 gesetzt.

    Schlechte Idee... [;)] Das beschert dir ggf. noch mehr Routing-Probleme. SSL-VPN muss immer auf einen nicht anderweitig verwendeten IP-Bereich eingerichtet werden.

    Die 192.168.1.1 ist ein FritzBox 3790.

    Irgendwelche Kindersicherungsfunktionen o.ä. aktiv?
    Auf welchem Port und Protokoll läuft das SSL-VPN? TCP 443?

    edit: Was sagt eigentlich das SSL-VPN-Log? Und zu meiner Frage bezüglich Firewall-Log hast du noch keine Antwort gegeben...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hab den IP Bereich mal wieder auf "VPN Pool (SSL)" gestellt.

    Also bei der UTM A (Client) sind die SSL Einstellungen so:
    Schnitstellen-Adresse: External (WAN) (Address) - 192.168.1.2
    Protokoll: TCP
    Port: 1194
    Hostnamen umgehen: leer

    Bei der UTM B (Server) so:
    Schnitstellen-Adresse: External (WAN) (Address) - 37.***.***.196
    Protokoll: UDP
    Port: 1194
    Hostnamen umgehen: 37.***.***.196

    Keine Ahnung warum bei der einen UDP und bei der anderen TCP steht. Habe beide UTM's nicht eingerichtet.
    Eine Änderung beider auf den gleich Port (egal ob 443 oder 1194) und TCP oder UDP brachte kein Erfolg.

    Der SSL Log bleibt auf dem Clienten leer, deswegen poste ich hier nun mal den Log von der UTM B (Server) beim Verbinden.

    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 TLS: Initial packet from [AF_INET]94.***.***.58:51981 (via [AF_INET]37.***.***.196%eth1), sid=b74a837e 594e22a5
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 VERIFY OK: depth=0, C=de, L=******, O=******, CN=REF_SslSerFWb
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 VERIFY OK: depth=1, C=de, L=******, O=******, CN=******, emailAddress=******
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 VERIFY OK: depth=1, C=de, L=******, O=******, CN=******, emailAddress=******
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 VERIFY OK: depth=0, C=de, L=******, O=******, CN=REF_SslSerFWb
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 TLS: Username/Password authentication deferred for username 'REF_AaaUse2' [CN SET]
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    2015:09:23-19:47:31 gateway openvpn[8752]: 94.***.***.58:51981 [REF_AaaUse2] Peer Connection Initiated with [AF_INET]94.***.***.58:51981 (via [AF_INET]37.***.***.196%eth1)
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/conf.d/REF_AaaUse2
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 MULTI_sva: pool returned IPv4=10.242.2.6, IPv6=(Not enabled)
    2015:09:23-19:47:31 gateway openvpn[8752]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ssl" connection="REF_SslSerFWb" address="37.***.***.196"
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_CLIENT_CONNECT status=0
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_4f609d96eede9d44cc410105855befad.tmp
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 MULTI: Learn: 10.242.2.6 -> REF_AaaUse2/94.***.***.58:51981
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 MULTI: primary virtual IP for REF_AaaUse2/94.***.***.58:51981: 10.242.2.6
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 MULTI: internal route 192.168.8.0/24 -> REF_AaaUse2/94.***.***.58:51981
    2015:09:23-19:47:31 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 MULTI: Learn: 192.168.8.0/24 -> REF_AaaUse2/94.***.***.58:51981
    2015:09:23-19:47:33 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 PUSH: Received control message: 'PUSH_REQUEST'
    2015:09:23-19:47:33 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 send_push_reply(): safe_cap=940
    2015:09:23-19:47:33 gateway openvpn[8752]: REF_AaaUse2/94.***.***.58:51981 SENT CONTROL [REF_AaaUse2]: 'PUSH_REPLY,route 192.168.20.0 255.255.255.0,setenv-safe remote_network_1 192.168.20.0/24,setenv-safe local_network_1 192.168.8.0/24,ifconfig 10.242.2.6 10.242.2.5' (status=1)


    Die Firewallfrage ging leider unter, sry.
    Doch auch dort kann ich leider keinen Eintrag sehen, welcher irgendwie damit zu tun hätte.
Cookie Information Banner