L2TP aber kein Zugriff aufs interne Netz

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
ToddMaller
Beiträge: 25
Registriert: Mo 04.03.2013, 10:40

L2TP aber kein Zugriff aufs interne Netz

Beitrag von ToddMaller »

Hallo,
ich probiere die L2TP Verbindung auf der Box zu aktivieren.
Ich habe die Verbindung über den Assistenten angelegt und der Connect funktioniert auch.
Als Pool habe ich 192.168.20.40-50 genommen.
Die L2TP Verbindung hat die IP 192.168.30.10
Das interne Netzwerk hat 192.168.20.0
Leider kann ich nach dem Connect nicht auf die internen Rechner zugreifen.
Kein Ping etc. funktioniert.
Die Paket erscheinen Rot als Drop

Ich habe im Portfilter eine Regel eingefügt, die einen Zugriff des L2TP Netzes auf das interne Netz erlaubt.

Selbst nach dem Lesen von ähnlichen Problemen in anderen Posts bin ich mit meinem Wissen am Ende.

Hat jemand eine Idee?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Die L2TP Verbindung hat die IP 192.168.30.10
Sie meinen die "Lokale L2TP-IP"? Die muss auch in dem Netz 192.168.20.0/24 liegen.

ToddMaller
Beiträge: 25
Registriert: Mo 04.03.2013, 10:40

Beitrag von ToddMaller »

Hallo Erik,
vielen Dank für die Hilfe. Es war ja ein wenig konfus von der Beschreibung.

Noch einmal als Zusammenfassung.
Ich habe ein lokales Netz mit 192.168.20.0
Der Securepoint hat Version 10 und die IP 192.168.20.1
Das L2TP Netz muss also im lokalen Netz liegen, z.B. 192.168.20.10
Der Pool für die Clients 192.168.20.40-70

Dann ein Netzwerkobjekt für das L2TP Netz angelegt und die Regeln eingefügt.

In der guten Beschreibung hier: http://wiki.securepoint.de/index.php/L2TP_-_Roadwarrior
wird das Detail mit der gleichen IP im lokalen Netz leider ausgelassen.
Stattdessen kann man ja das Subnetz übertragen lassen?
Wozu diese Einstellung dienen soll, erschliesst sich mir nicht ganz.

Welche IPs nehme ich denn dann für den DNS-Server aus dem Client.
Und wo muss ich diese einstellen?
Ich würde dort gerne auch alle freigegebenen Resourcen sehen und mit Namen ansprechen können.
Eigentlich könnte auch der komplette Internetverkehr über die L2TP Verbindung laufen.

Können Sie mir dort noch einmal auf die Sprünge helfen?

ToddMaller
Beiträge: 25
Registriert: Mo 04.03.2013, 10:40

Beitrag von ToddMaller »

Nun habe ich die Verbindung so eingestellt, wie oben beschrieben.
Leider werden die Pakete immer noch gedropped.
Es geht um den Zugriff auf den MacServer vom Client aus.
Es kommt folgende Fehlermeldung:
Aktion: Firewall DROP
Incoming Interface: ppp1
Outgoing Interface: eth1
Quelle: 192.168.20.50 (Client über L2TP)
Ziel: 192.168.20.2 (MacServer)
Protokoll: TCP
Source Port: 65440
Destination Port: 548
Flags: SYN

Muss ich dort noch eine Ausnahme im PortFilter definieren?

Es gibt bisher:
internet->external-interface->vpn
L2TP Netz-IP Objekt->internal-network->any (zum Testen)

Leider ist kein lokaler Zugriff oder ping auf lokale Resourcen möglich.

Irgendetwas fehlt hier noch in der Konfiguration.

Pascalk
Beiträge: 26
Registriert: Mi 04.08.2010, 08:50

Beitrag von Pascalk »

Hallo,

haben Sie auch die Zone vpn-ppp auf Ihrem externen Interface auf dem Sie sich einwählen liegen?
Für einen Drop kann es nur ein paar Gründe geben, entweder stimmen die Zonen nicht überein zwischen Netzwerkobjekten und Interfacen, die IPs in den Netzwerkobjekten passen nicht zu den IPs der VPN Clients oder der Port (Quell und Ziel-Port) stimmt nicht überein.

ToddMaller
Beiträge: 25
Registriert: Mo 04.03.2013, 10:40

Beitrag von ToddMaller »

Hallo,

es lag natürlich an der Zone.
Ich kann nun auf die lokalen Resoucen zugreifen.
Allerdings fehlt immer noch ein vernünftiger NameServer.
Die lokalen Resoucren muss ich mit der IP ansprechen.
Gibt es hier vielleicht einen Trick, wie ich dies ändern kann.
Es würde auch ok sein, wenn nach der Einwahl der gesamte Internetzugriff über das VPN Netzwerk läuft.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

VPN -> Globale VPN-Einstellungen -> Nameserver

Antworten