Hallo Claus, tun0 -> tun0 besagt, dass du versuchst auf eine IP im RW-Netz zuzugreifen. Du brauchst an dieser Stelle auch eher ein HideNAT, wenn überhaupt ein NAT erforderlich ist. Ist deine UTM, die auch den OpenVPN Server darstellt, dein Default Gateway in deinem Netz? Wenn ja, dann brauchst du ke...

Moin! Wenn ich das richtig verstehe, dann möchtest du die Zusatzgeräte in der Außenstelle in das Management-Netz der Hauptstelle bringen. Ist das so? Wenn ja: das ist nicht möglich, da der Zwerg ja nur Routen kann und spätestens bei der Rückrichtung ist die RC200 überfordert. Will man das gleiche VL...

Hallo Andi,

ebensowenig die IP des Exchange

Hast du denn auch eine Portfilterregel dafür angelegt? Gäste-Netz -> Exchange -> benötigter Port
Klingt gerade eher danach, dass die Kommunikation nicht freigegeben ist.

Grüße
Svenja

Hallo Andi, erreichst du deinen Exchange über DNS? Wenn ja, dann könntest du den DNS Server der UTM für dein Gästenetz verwenden. Dort dann einfach als A-Record die interne IP hinterlegen.  Solltest du das nicht über DNS machen und die öffentliche IP fest ansprechen, dann gibt es auch eine Möglichke...

Hallo marcelvoss,

der spDNS Dienst hilft dir nur bei der Namensauflösung. Was du dann damit erreichst (oder eben nicht) das musst du dann an deinem Webserver bzw. an deinem Gateway einrichten.

Grüße
Svenja

Moin!

Das klingt nach einem Thema für kennethj.
Schreib ihm am Besten einfach eine PN ;-)

Grüße
Svenja

Hallo networkers,

wird eine UTM mit der aktuellen 11.7 oder auch 11.8 installiert, dann ist der ntp-Dienst auch per default an. 

Grüße
Svenja

Moin! Der UDP-Timeout könnte angepasst werden (das benötigen manche Telefonanlagen) https://wiki.securepoint.de/System_cli_v11 Beispiel: Es kommt immer wieder vor, dass VoIP Provider Vorgaben zum Session Timeout für die UDP Pakete machen. Dieser Wert steht in der Werkseinstellung auf 30 Sekunden und...

Hallo bellco, Ich habe sowas schon mal aufgebaut gehabt. Prinzipiell funktioniert das (IP Zuweisung über die Einstellung im Benutzer).  Mit meiner getesteten Version (damals 11.7.1 oder so) werden die IP Adresse im DHCP nicht vorgehalten. Meldet sich ein User an, der keine IP hinterlegt hat, bekommt...

Hallo Thomas,

verwendest du intern einen Exchange? Bei dem kann man die Adressvalidierung nicht über Port 25 machen (da nimmt der alles an, egal, ob er es kennt). Oder verwendest du LDAP?

Grüße
Svenja

Hallo Thomas2207, darum hatte ich ja gefragt, ob du das mit Telnet bereits einmal ausprobiert hast ;-) Die Empfängervalidierung greift ja bereits in den ersten Schritten der SMTP Kommunikation, bevor überhaupt E-Mail Daten übertragen werden. Welche Version verwendest du denn nun auf deiner UTM? Zur...

Hallo Thomas2207,

hast du mal ausprobiert wie das Mail-Relay reagiert, wenn du über Telnet mal eine Mail an eine der Empfängeradressen schickst, die in der Quarantäne landen?
Wird die Verbindung dann aufgrund des Empfängers abgelehnt?

Welche Version verwendest du auf der UTM?

Grüße
Svenja

Hallo Gerald!

Wenn du das HideNAT einrichtest, dann kommen die Pakete aus dem RW-VPN von Standort A an Standort B mit der Quell IP des internen Netzes von Standort A an....
Nein, das ist nicht das Problem

Bitte kontrolliere noch einmal deine Regeln an Standort A

Grüße
Svenja

Hallo Gerald! Dann hast du die Regel noch nicht korrekt angelegt, denn offensichtlich greift dein HideNAT nicht. Am Standort B sollten keine Pakete mit der Quelle 192.168.251.0/24 auftauchen. Die Regel muss lauten: Quelle: 192.168.251.0/24, Zone vpn-openvpn-RW Ziel: 192.168.88.0/24, Zone vpn-openvpn...

Hallo Gerald! Wenn dein Standort B das Netzerk 192.168.251.0/24 nicht kennt, also keine Route zu diesem Netzwerk hat, dann wird die UTM an Standort B die Pakete auf dem "Rückweg" nicht durch den VPN-Tunnel schicken. Darum sollst du hier dann das HideNAT in der Regel setzen, damit der Stand...

Hallo SEG! Mit dem SSL-VPN wird das so auch nichts, da du dich hier immer in einem Transfer-Netz anmelden musst. Eine IP aus deinem internen Subnetz bekommst du meines Wissens nach nur mit einem IPSec Tunnel. Oder habe ich deine Frage nicht verstanden und du musst nur auf eine IP im internen Netz zu...

Hallo Gerald! Das kommt jetzt ein bisschen darauf an, ob der Standort B das Netzwerk 192.168.251.0/24 kennt (z.B. über die gepuschten Netze im SSL-VPN S2S oder durch eine manuell eingetragene Route). Wenn ja: dann RW-Netz -> Standort-B-Netz -> gewünschter Port (ggf. noch die Rückrichtung, wenn auch ...

Hallo Rincewind!

Was für eine VPN Verbindung ist denn im Einsatz? Und wie verbindet sich der User?

Grüße
Svenja

Hallo Ralph, also nochmal zusammengefasst, die  Regel sieht folgendermaßen aus: Telefonanlage (10.0.12.240/32, Zone telefonie) -> Internet (0.0.0.0/0, Zone external) -> Dienst (gewünschter Dienst) -> Nat = HideNAT -> NAT Objekt external-interface Arbeitet die Telefonanlage mit festen IPs oder mit Na...

Hallo Ralph,

welche Zonen sind deinen Netzwerkobjekten in der Regel zugeordnet und hast du auch ein HideNAT in der Regel gesetzt?
Ist die 10.0.12.1 die IP deine eth3-Schnittstelle?

Grüße
Svenja

Hallo vpngei! Um eine IPSec Verbindung aufzubauen brauchst du einen IPSec Client. Der Securepoint SSL-VPN Client kann, wie der Name schon sagt, nur SSL-VPN bzw. Open-VPN. Damit der SSL-VPN Client korrekt installiert wird, muss er mich Rechtsklick -> "Als Administrator ausführen" installier...

Hallo mlion, wenn gewünscht ist, dass der Client alle Pakete, die nicht zum Verbindungsaufbau gehören, durch den Tunnel schickt, dann muss vor allem das redirect gateway aktiviert werden. Sonst schickt der Client nur die Pakete für das übermittelte Subnetz in den Tunnel. Dann wird auch eine Regel fü...

Hallo mlion,

wie sieht denn die Konfiguration des VPN-Servers aus? Und was für Portfilterregeln wurden angelegt?

Grüße
Svenja

Hallo mhoe! [quote][font=-apple-system, Helvetica Neue, Helvetica, sans-serif]Der Windows DSN hat im LAN immer funktioniert. Daher kann es als kein Portfilterproblem sein.[/font][/quote] Gibt es denn eine Portfilterregel, die eine Verbindung vom VPN-Netz (192.168.90.0/24 mit entsprechender Zone) auf...

Hallo Frank, alternativ kannst du den AP auch über VLAN vom internen Netzwerk trennen, dann müsste nur der Switch dazwischen die Pakete vom AP tagged an die UTM weitergeben. Wenn der AP das unterstützt, dann kann natürlich auch das sich dann in einem anderen Subnetz befindliche WLAN-Netz gleich dort...