Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5811 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fernzugriff AD-User funktioniert nicht

MartinWachsmann

Modell SG105w

Version: 9.401-11

Hallo zusammen,

Fernzugriff mit dem SSL-VPN-Client:

VPN-Einwahl funktioniert mit lokal authentifizierten und AD-Usern. Der Zugriff auf Systeme im LAN aber nur für die lokalen User obwohl die AD-Gruppe in der automatischen Firewallregel für den Fernzugriff ins Lan enthalten ist.

Laut Liveprotokoll wird nichts blockiert.

Wo könnte der Fehler liegen?

Gruß Martin

9.401-11


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to MartinWachsmann

    Die automatisch erstellte Firewallregel unterscheidet an der Stelle nicht zwischen Benutzern. Dort wird nur eine Regel erstellt, die den Zugriff aus dem SSLVPN Netz auf die konfigurierten Netze erlaubt.

    Wie sieht die Netzwerk- und Routenkonfiguration von beiden Usergruppen aus, wenn sie verbunden sind? Was genau funktioniert dann nicht?

  • 0 in reply to K.N.

    Oh, das war ein guter Hinweis.

    Funktionierender Superadmin:

    2016-07-10 18:25:27 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-CBC-SHA
    2016-07-10 18:25:27 Session is ACTIVE
    2016-07-10 18:25:27 EVENT: GET_CONFIG
    2016-07-10 18:25:27 Sending PUSH_REQUEST to server...
    2016-07-10 18:25:28 Sending PUSH_REQUEST to server...
    2016-07-10 18:25:30 Sending PUSH_REQUEST to server...
    2016-07-10 18:25:30 OPTIONS:
    0 [route-gateway] [10.242.2.1]
    1 [route-gateway] [10.242.2.1]
    2 [topology] [subnet]
    3 [ping] [10]
    4 [ping-restart] [120]
    5 [route] [192.168.2.0] [255.255.255.0]
    6 [dhcp-option] [DNS] [192.168.2.10]
    7 [dhcp-option] [DNS] [192.168.2.2]
    8 [ifconfig] [10.242.2.2] [255.255.255.0]

    Nicht funktionierender AD-Account:

    2016-07-10 18:24:24 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-CBC-SHA
    2016-07-10 18:24:24 Session is ACTIVE
    2016-07-10 18:24:24 EVENT: GET_CONFIG
    2016-07-10 18:24:24 Sending PUSH_REQUEST to server...
    2016-07-10 18:24:25 Sending PUSH_REQUEST to server...
    2016-07-10 18:24:27 Sending PUSH_REQUEST to server...
    2016-07-10 18:24:27 OPTIONS:
    0 [route-gateway] [10.242.2.1]
    1 [route-gateway] [10.242.2.1]
    2 [topology] [subnet]
    3 [ping] [10]
    4 [ping-restart] [120]
    5 [dhcp-option] [DNS] [192.168.2.10]
    6 [dhcp-option] [DNS] [192.168.2.2]
    7 [ifconfig] [10.242.2.2] [255.255.255.0]

    Hier wird keine Route ins 2er Netz mitgeliefert, das wird der Fehler sein, aber wo stellt man das denn ein?

    Beides auf dem selben iPad, nur das Profil gewechselt. Mit dem VPN-Client unter Windows identisches Verhalten.

    Gruß Martin

  • 0 in reply to MartinWachsmann

    Steht die Route in der Config des Users auf dem Client?

  • 0 in reply to K.N.

    Ich habe nun noch etwas ausprobiert und war erfolgreich.

    Das bestehende SSL-Profil geklont und das bisherige deaktiviert.

    Im neuen/alten SSL-Profil für den Fernzugriff in Benutzer und Gruppen stand:

    Gruppe Superadmins und Gruppe AD-Benutzer

    Wenn nun User A Mitglied in beiden Gruppen ist, dann bekommt er die Route nicht mitgeliefert.

    Lösung: ich habe die Gruppen aus dem Profil entfernt und die User einzeln dem Profil hinzugefügt. Alle bekommen die Route nun mitgeliefert.

    Danke für die Anregung :-)

    Gruß Martin

Cookie Information Banner