Hallo zusammen,
habe da ein Problem mit meinem Openvpn - Client.
Die Verbindung kann problemlos hergestellt werden. Allerdings habe ich keinen Zugriff auf das dahinterliegende Netz.
Die Route ist korrekt gesetzt. Das habe ich direkt überprüft.
Portfilterregel ist auch eingerichtet.
Ich bekomme aber zum Verrecken keinen ping aufs interne Netz.
Die UTM ist ein Black Dwarf.
Danke!
Roadwarrior - Kein Zugriff aufs interne Netz
Moderator: Securepoint
Erstellen Sie einen "root"-User, verbinden Sie sich mit einem SSH-Client zur UTM und stellen erst einmal fest, wo die Pakete verloren gehen:
Wenn Sie jetzt pingen, sehen Sie hier 101 oder 125 Byte große Pakete, wenn der Ping von Ihrem Client in den Tunnel geschickt wird. Wenn nicht, prüfen Sie AV-/Security-Software auf dem Client
Hier ist der entschlüsselte Ping auf dem internen Interface sichtbar. Sehen Sie hier nur "icmp echo request" und keinen "icmp echo reply", verwirft der Zielhost die Pakete. Prüfen Sie dort die Firewall und die Default-Route.
Code: Alles auswählen
# tcpdump -i <EXTERNES-INTERFACE> -nnp port 1194
Code: Alles auswählen
# tcpdump -i eth1 -nnp proto 1
Danke, also die Pakete gehen in den Tunnel wenn ich pinge zeigt die UTM die sntprechenden Pakete (101 Byte).
Beim zweiten Code tut sich gar nix, er verharrt ledoglich bei dieser Zeile:
root@firewall:~# tcpdump -i eth1 -nnp proto 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
Beim zweiten Code tut sich gar nix, er verharrt ledoglich bei dieser Zeile:
root@firewall:~# tcpdump -i eth1 -nnp proto 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
Hallo,
da Sie hier keine Pakete auf der eth1 rausgehen sehen kann es mehrere Ursachen haben. Falsche Schnittstelle, Pakete werden gedroppt, Ziel ist nicht erreichbar per ARP usw.
Wie heißt der SSL-VPN Server? Wie lautet die Zone auf dem Netzwerkobjekt, welche Maske hat das Netzwerkobjekt /32 oder /24. Ob die Pakete gedroppt werden kann man über die Konsole auch auswerten.
spcli syslog get | grep DROP
Für DROP können Sie auch die Client IP eingeben.
Gruß Björn
da Sie hier keine Pakete auf der eth1 rausgehen sehen kann es mehrere Ursachen haben. Falsche Schnittstelle, Pakete werden gedroppt, Ziel ist nicht erreichbar per ARP usw.
Wie heißt der SSL-VPN Server? Wie lautet die Zone auf dem Netzwerkobjekt, welche Maske hat das Netzwerkobjekt /32 oder /24. Ob die Pakete gedroppt werden kann man über die Konsole auch auswerten.
spcli syslog get | grep DROP
Für DROP können Sie auch die Client IP eingeben.
Gruß Björn