SSL - Site to Site

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Petasch
Beiträge: 449
Registriert: Di 22.05.2007, 13:17

SSL - Site to Site

Beitrag von Petasch »

Hallo Supportteam,

versuche grade meine 1. tieferen Gehversuche mit der v11 in einer Testumgebung in Vorbereitung auf den Produktiveinsatz beim Kunden.

Leider habe ich Probleme bei der Einrichtung der Site to Site SSL Verbindung. Habe es genauso wie im Wiki Beschrieben Konfiguriert.

Der Tunnel wird scheinbar auch hergestellt (auf Serverseite sehe ich, das unter Anmeldungen auch die VPN Verbindung aufgeführt ist, auf Clientseite wird das tun0 Interface grün) aber es scheinen keine Pakete durch den Tunnel geroutet zu werden.

Die Subnetzte habe ich wie im Wiki Beschrieben unter Netzwerkkonfiguration > Routing eingetragen.

Müssen diese auch unter Subnetze übermitteln eingetragen werden? (ist nicht im Wiki beschrieben)
Außerdem bin ich mit auch nicht sicher, ob der Punkt im Wiki so korrekt beschrieben wurde direkt unter "SSL VPN Server einrichten" was bei Pool eingegeben werden muss. Ist das so richtig das dort die IP des tunnel Interface mit der Maske 24 rein soll?

Wo könnte sonst noch der Fehler liegen? das Log gibt leider absolut nicht viel her (was ich übrigens in der V11 auch nicht so Toll finde, also das Log an sich mein ich, ich kann nicht Pausieren, die Dienste sind nicht unterschiedlich Farblich, sodass ein "Durchsehen" dort nicht so einfach ist wenn die ganze Zeit dort neue Einträge "reinfliegen").

In den Regeln habe ich noch das Nat dazu konfiguriert.
Also Internal Network > vpn_SSL_xxxx > Any > Hidenat-Exclude > DM1-Interface

DMZ1 Interface weil die Verbindung jeweils über einen seperaten Anschluss aufgebaut wird, der jeweils an der DMZ1 angeschlossen ist. Außerdem habe ich in der Netzwerkkonfiguration auch die vpn-ppp Zone auf das DMZ1 umgestellt....

Noch Ideen?
Danke

Petasch
Beiträge: 449
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

PS: Funktioniert denn überhaupt mein Vorhaben? Die SSL VPN Verbindung läuft über eine Wlan Richtfunkstrecke (deswegen DMZ1). IPSec Tunnel über normal Internet (Eth0). Der Ipsec Tunnel steht bereits und funktioniert (alles derzeit in Testumgebung). Jetzt habe ich eben wie gesagte Probleme mit der Site to Site Verbindung.

Was ich mich aber frage ist, wenn die Wlan Verbindung abbrechen sollte zwischen den beiden Standorten, wie schnell bekommt die FW das denn mit und routet über den ipsec Tunnel? (die physikalische Lan Verbindung an sich bleibt bestehen, daher meine Frage wie lange das dann dauert bis die FW das registriert das die andere Seite gar nicht mehr erreichbar ist?)

Antworten