Hallo,

kann ich eine SSL-VPN-Verbindung (für Roadwarrior) anlegen auf Port UDP 53 oder zerschiess ich mir da irgendwie die Namensauflösung auf der UTM/im Netzwerk?

Danke & Gruß

Hallo zusammen, UTM 12.3.3, SSL-VPN Roadwarrior Bei einem Client kommt im Log der FW immer wieder folgende Fehler: user.name/xx.xx.xx.36:52854 IP packet with unknown IP - version=0 - seen user.name/xx.xx.xx.36:53181 IP packet with unknown IP - version=15 - seen Die Verbindung steht, aber Pakete werd...

Mit Logging meinst du die Log-Meldungen?
Da kannst du einen anderen Syslog-Server betreiben und in der UTM hinterlegen.

Welche Daten hast du in den Berichten hinterlegt?

klasse Tipp mit dem Netzwerkmonitor, danke!

Mach das einmal per Webinterface und schau dann ins Audit-Log

ich selber habe keine Erfahrung damit, aber guckt euch das mal an: https://mydashboard.ext-com.de/

es liegt also nur an der Software-Version und nicht an einer Konfiguration der UTM oder der VPN-Konfigdatei?

Anstatt %userdomain% evtl. %USERDNSDOMAIN% nutzen, das ist die vollständige Domain inkl. Endung

habe das Problem auch. Server ist eine v11 UTM, Cipher steht auf AES-256-CBC. Gegenstelle ist 12.2.2.8, Cipher ebenfalls auf AES-256-CBC -> läuft Gegenstelle Upgrade auf 12.2.3.3, Tunnel kommt nicht mehr hoch, gleiche Meldung im Log wie bei joser19330 openvpn get liefert auch nach Upgrade immer noch...

die impliziten Regeln ausschalten, Regel erstellen Internet2 --> external2-interface für eure VPN-Ports und dann in der User-Konfig angeben, was die Gegenstelle für den Benutzer bzw. die VPN-Konfig ist

nur die IP des Rechners einstellen reicht nicht, der muss natürlich auch in den VLAN hängen.
Entweder an einen Switchport, der in dem jeweiligen VLAN ist oder du stellst das VLAN in der Netzwerkkarte ein

Wie sind denn die Drucker-Anschlüsse eingerichtet an den Rechnern?
IP? DNS-Name? WSD?

Wie sehen denn deine Regeln zwischen den VLANs aus?

Quelle: die "UNDEV-IP-Adressen" (kannst du als Netzwerkobjekte anlegen und in eine Gruppe packen)
Ziel: external Interface
Aktion: Drop

die Regel ganz nach oben schieben

So ists richtig.
Du kannst aber im Draytek einstellen, ob er VLAN-Tag 7 macht oder die UTM. Wenn der Draytek VLAN7 macht, musst du eine PPPoE-Schnittstelle in der UTM erstellen, ansonsten "VDSL"

Vermutlich SSD defekt, siehe die Fehlermeldungen "ROOTFS: UNEXPECTED" etc

im Log schauen, welche Pakete/Ports gedroppt werden
Ich meine häufig wird auch der SNMP-Port benötigt

hast du bei den Benutzern "Redirect Gateway" in den VPN-Einstellungeng gesetzt?

Wir nutzen TP-Link EAPs, da gibts einen Controller dazu, ähnlich wie bei Ubiquiti.
https://www.tp-link.com/de/business-net ... ontroller/

Offline-Domain-Join könnte funktionieren und dann zur Laufzeit wenn VPN verfügbar gpupdate ausführen

Hallo, das Problem ist aber dass der Rechner nach dem Neustart einige dieser Ports bereits vor dem Login benötigt, und zu diesem Zeitpunkt läuft der VPN-Client natürlich noch nicht. Einen frischen Beitritt ohne Site-to-Site-VPN habe ich noch nicht hinbekommen. Wahrscheinlich ließe sich das auch übe...

schau mal hier:
https://www.aventistech.com/2020/02/fir ... ad-domain/

E: DNS Auflösung übers VPN muss natürlich auch funktionieren

Stichwort "Mailrelay"

schau mal ins Wiki

wenn aber doch die UTM "Default drop" meldet, dann passt doch eine/mehrere Regeln in der UTM nicht?! Oder verstehe ich dich falsch?

Was wird denn überhaupt genau geblockt? Wie sehen die entsprechenden Regeln aus in der Windows Firewall? Skripten kannst du das über die Powershell, hier gibts Infos: https://4sysops.com/archives/managing-the-windows-firewall-with-powershell/ In dem Zuge auch mal mit Powershellremoting beschäftigten...