Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 13649 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL- VPN kein Ping möglich

alextes

Hallo zusammen,

ich habe nach einer Anleitung online ein SSL VPN eingerichtet. Soweit funktioniert auch alles, auch bekomme ich die Ip aus dem pool zugewiesen, aber ich bekomme kein ping in die anderen Netze. Ich habe die LAN und DMZ Networks in der SSL VPN Config angegeben.

LOG

Mon May 30 14:49:15 2016 Set TAP-Windows TUN subnet mode network/local/netmask = 10.242.2.0/10.242.2.2/255.255.255.0 [SUCCEEDED]
Mon May 30 14:49:15 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.242.2.2/255.255.255.0 on interface {0E953A2F-F1C6-410D-8EFA-CFD5A3FA613F} [DHCP-serv: 10.242.2.254, lease-time: 31536000]
Mon May 30 14:49:15 2016 Successful ARP Flush on interface [42] {0E953A2F-F1C6-410D-8EFA-CFD5A3FA613F}
Mon May 30 14:49:19 2016 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
Mon May 30 14:49:19 2016 MANAGEMENT: >STATE:1464612559,ADD_ROUTES,,,,,,
Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 37.24.133.171 MASK 255.255.255.255 192.168.1.1
Mon May 30 14:49:19 2016 Route addition via service succeeded
Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.242.2.1
Mon May 30 14:49:19 2016 Route addition via service succeeded
Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 10.242.2.1
Mon May 30 14:49:19 2016 Route addition via service succeeded
Mon May 30 14:49:19 2016 Initialization Sequence Completed
Mon May 30 14:49:19 2016 MANAGEMENT: >STATE:1464612559,CONNECTED,SUCCESS,10.242.2.2,37.24.133.171,443,192.168.1.63,65180

jemand ne Idee warum der Ping nicht geht?



This thread was automatically locked due to age.
Parents
  • 0

    https://community.sophos.com/products/unified-threat-management/f/51/t/22065

    Wie ist das VPN konfiguriert (z. B. automatische Firewallregeln)? Welche Packetfilterregeln wurden erstellt und aktiviert? Wie ist ICMP konfiguriert? Gibt es passende Einträge im firewalllog?

  • 0 in reply to K.N.

    Diese Fragen habe ich mir auch gestellt und es erstmal im "LAN" getestet. Hier gehen Pings an alle Schnittstellen/Eths. 

    Gerne liefer ich die Logs/Einstellungen nach jedoch beschäftigt mich momentan noch das Log:

    Ich verbinde mich über VPN und bekomme aus dem 10.242.2.0 Pool eine IP.

    Jetzt werden dem Windwossystem die folgenden statischen routen bekannt gegeben :

    Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 12.24.36.72 MASK 255.255.255.255 192.168.1.1
    Mon May 30 14:49:19 2016 Route addition via service succeeded
    Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.242.2.1
    Mon May 30 14:49:19 2016 Route addition via service succeeded
    Mon May 30 14:49:19 2016 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 10.242.2.1
    Mon May 30 14:49:19 2016 Route addition via service succeeded

    Somit muss der PC jetzt in die folgenden Netze Routen können. Ausnahme es werden alle Pakete aus dem Netz 10.242.2.0  verworfen.

    Ich habe jetzt zum testen dem Paketfilter gesagt any any any, womit ein blocken ausgeschlossen ist. ICMP funktioniert lokal und sollte dann ja auch aus dem anderen Netz funktionieren richtig? Anschließend habe ich wieder getestet. Ping in das 10er Netz funktioniert. Auch mein "Webserver 10.0.0.250" ist jetzt erreichbar.

    Ping ins 192.168.2.0 Netz ist nicht möglich. In das 192.168.0.0 Netz geht auch kein Ping. Und warum wurde als Route 192.168.1.1 übermittelt wo diese doch nie verwendet wird? 

    Entschuldige bitte die vielen Fragen, aber ich versuche irgendwie aus dem System schlau zu werden =) 

    LG und Danke für die Mühen.

  • 0 in reply to alextes

    Da Du Dich weigerst, die Fragen zu beantworten, kann ich nur spekulieren und so was mache ich ungern.

    Aus dem Logauszug ist erkennbar, dass er die Route zur UTM (warum anonymisierst Du nicht?) über die 192.168.1.1, was der lokale default gateway zu sein scheint, hergestellt.

    Was ist das 192.168.2.0 für ein Netz?

    Was ist das 192.168.0.0 für ein Netz? Wieso sollte es erreichbar sein, wenn es keine Route dorthin gibt?

    Wenn Du Hilfe möchtest, beantworte die Fragen und unterschlagen keine Informationen. Ich werde nicht weiter spekulieren und interpretieren!

  • 0 in reply to K.N.

    Weigern stimmt nicht ganz, ich hatte zu dem Zeitpunkt leider kein Zugriff auf das System. 

    Die IP'S sind anonymisiert - hier sind es random IP's die ich eingetragen habe. 

    Das 192.168.2.0 ist das LAN

    192.168.0.0 ist das WAN 

    10.0.0.0 DMZ

    ICMP ist wie folgt konfiguriert :

    off Allow ICMP on gateway

    off Allow ICMP through gateway

    off Allow ICMP through Gateway from external networks

    on Log ICMP redirects

     

    Ping Settings

    off Gateway is ping visible

    off Ping from gateway

    on Gateway forwards pings

     

    Traceroute Settings

    off Gateway is traceroute visible

    off Gateway forwards traceroute 

    VPN Config:

    User: Test 

    local networks: LAN / DMZ /  

    auto Firewallrules on

    Falls ich was vergessen habe gebe ich die Infos gerne weiter. 

    LG

  • 0 in reply to alextes

    Poste die route table vom VPN Client nach Herstellen der VPN Verbindung.

    Starte einen Dauerping vom VPN zum LAN und in die DMZ und vom LAN zum VPN Client, deaktivieren bitte "Gateway forwarded pings" und prüfe das Firewalllog. Dazu reicht das Livelog. Poste das Ergebnis.

  • 0 in reply to K.N.

    Hallo K.N

    erstmal vielen Dank für deine Bemühungen, auch wenn ich mich ein wenig dumm angestellt habe. Diene Letzten Fragen und Hilfestellungen haben Licht ins dunkle gebracht. Ich konnte das Problem lösen und würde dies auch hier gerne für andere kundtun.  

    Mein vorgehen: 

    1.) Herstellen der VPN Verbindung

    2.) Routingeinträge geprüft 

    3.) Einstellungen in der UTM geprüft (SSL VPN- Networks und User)

    4.) VPN Computer pings in alle netzte mit -t

    5.) Firewall log (hier kam "default drop")

    6.) Firewall blockt keine ICMP Pakete durch Rules - hier gibt es extra den Reiter ICMP!

    7.) ICMP Einstellungen geprüft - Einschalten der Optionen und Firewalllog sowie Ping checken.

    8.) Da ich die ETh's der UTM angepingt habe und keine Endgeräte im Netz gehe musste ich folgende Option aktivieren allow ICMP on gateway

    Jedoch habe ich noch zwei weitere Probleme und hoffe ich darf dich damit auch nochmal befragen? 

    Zum einen habe ich kein "internet" in der DMZ und eine Weiterleitung in die DMZ funktioniert nicht. 

    Gerne Poste ich dazu noch die Einstellungen und Logs die nötig sind.

    Vielen Dank für deine Unterstützung!

  • 0 in reply to alextes

    Mach für das DMZ Thema bitte einen neuen Thread auf, mischen ist net gut.

    Markiere bitte den Thread als gelöst.

Reply Children
No Data
Cookie Information Banner