bestimmten Port über VPN ansprechen?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mako
Beiträge: 4
Registriert: Mo 18.08.2014, 10:28

bestimmten Port über VPN ansprechen?

Beitrag von mako »

Hallo Securepoint-Gemeinde,

ich habe mich jetzt mal hier angemeldet, weil ich momentan nicht weiter weiß.
Ich habe über den Securepoint OpenVPN Client eine SSL-VPN Verbindung zur UTM und damit in das interne Netzwerk erstellt.
Das funktioniert auch alles ohne Probleme. Die Verbindung läuft momentan auf dem Standardport (UDP 1194).
Jetzt haben wir jedoch Anwendungen, die auf einem bestimmtem Port laufen (z.B. 8080). Auf diese Anwendungen soll aber auch von außen
zugegriffen werden. Das hat bis jetzt nicht funktioniert.

Ist dieses Szenario über die OpenVPN Verbindung überhaupt möglich? Kann ich den Port über irgendeine Weiterleitung
durch den Tunnel bekommen? Oder gibt es dafür eine andere Vorgehensweise?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

es kommt drauf an wie Ihre Regel definiert ist. Wenn Sie die Regel ssl-network => internal-network => any haben werden alle Ports in das Interne Netz freigegeben.

Wenn ja müsste man nun einmal nachsehen was genau passiert. Hierzu legen Sie einen Benutzer mit dem Namen root an und geben diesem Administrator Rechte. Nun brauchen Sie eine Regel die es erlaubt aus dem SSL-VPN Netz auf das Interne-Interface zu zugreifen mit SSH. Jetzt verbinden Sie sich mit einem SSH Tool auf die Securepoint und loggen sich mit dem Benutzer root ein. Mit folgende Befehle können Sie überprüfen ob A die Anfrage mit Port 8080 überhaupt in den Tunnel geschickt wird und B ob der Client auf die Anfragen reagiert.

A: tcpdump -i tun0 port 8080 -nnp (zeigt an ob der Port 8080 im Tunnel angesprochen wird)
B: tcpdump -i eth1 port 8080 -nnp (zeigt an ob der Port 8080 zum Client geschickt wird und ob auch Antwortpakete kommen)

Gruß Björn

mako
Beiträge: 4
Registriert: Mo 18.08.2014, 10:28

Beitrag von mako »

Bjoern hat geschrieben: ssl-network => internal-network => any
Gruß Björn
also das funktioniert (hatte ich vorher auch schon). Es scheint aber die DNS Namensauflösung nicht zu funktionieren.
Mit der enstprechenden IP und dem Port komme ich bis zum Anmeldebildschirm im Browser. Wenn ich mich anmelden will,
weiß der Server dann anscheinend nicht wohin mit den Anfragedaten, oder das DNS schießt irgendwo quer.

Antworten