Securepoint Support Forum

Hallo zusammen,

ich habe gerade ein Problem mit einer Regel für den Zugriff auf den openVPN Dienst über ppp0. Im Regelwerk erscheint die Meldung, dass die Regel möglicherweise keine Auswirkung hat. Diese Meldung wurde für UTM10 http://support.securepoint.de/viewtopic.php?f=12&t=6056 schon mal angesprochen.Allerdings verstehe ich die Erläuterung von Erik in diesem Thread lediglich als Warnhinweis (...könnte, wenn...). Nun funktioniert bei mir jedoch die Zugriffsregel für openVPN anscheinend aufgrund dieses Problems wirklich nicht, obwohl ich eine IP zugewiesen bekommen habe und diese von der UTM erkannt wird.

Ich habe das Ganze mal in einem PDF zusammengefasst. Wäre super, wenn da mal jemand fachkundiges drüber schauen könnte. https://drive.google.com/file/d/0B-vHEH ... sp=sharing

Vielen Dank
MH

Hallo,

Haben Sie die Zone manuell angelegt?
Sie brauchen keine Zone selber anlegen, das geschieht automatisch mit dem Anlegen der OpenVPN Verbindung, die dann den Namen "vpn-openvpn-NamederOpenVPNVerbindung" erhält.
Mit dem aktivieren der Impliziten Regel für SSL VPN UDP/TCP wird eine OpenVPN Verbindung auf jede externe Schnittstelle zugelassen. Dann brauchen Sie die Regel im Portfilter
nicht manuell anlegen.

Gruß

Danke für die Antwort. Korrekt, ich habe die Zone selbst angelegt, da ich außer den Silent Service Drops alle impliziten Regeln deaktiviert habe. Die ist jedoch die erste, die per ppp0 (VDSL) angebunden ist. Ich sehe das Problem auch nicht an den VPN Einstellungen, sondern wie die UTM meldet schon vorher. IMHO kann die IP des ppp0 Interfaces nicht ermittelt werden (?)

/Edit zu früh gefreut

Gruß
MT

Also ich bin die Konfiguration noch mal Schritt für Schritt durch, aber ich komme zum selben Ergebnis. Für einen einfacheren Test habe ich die Dienstgruppe openVPN durch ICMP ersetzt. Keine Chance zu pingen. Die Regel kann also definitiv nicht angewandt werden. Der Verursacher ist das Netzwerkobjekt external-interface (Typ: Dynamische Schnittstelle | Schnittstelle: ppp0 | Zone: firewall-external).

Und nun?

Liegt denn jetzt die Zone, die automatisch mit der OpenVPN Verbindung angelegt wird, auf dem tun2 Interface?
Vergeben Sie dem external-interface Netzwerkobjekt mal die IP Adresse 0.0.0.0/0 anstatt der dynamischen Schnittstelle ppp0.
Sollte das Problem weiterhin bestehen melden Sie sich bitte einmal telefonisch im Support.

Gruß
Christian

Hallo,

der Lösungsvorschlag mit der Adresse 0.0.0.0/0 funktioniert. Dafür erst mal vielen Dank! Ein wenig Bauchweh habe ich dabei allerdings schon, da es für mich so keine eindeutig definierte Regel ist. Ich hoffe dass zukünftig jemand eine andere Lösung findet, bzw. die Ursache für das Problem mit dem ppp0 Interface findet.

Ich kann jetzt erst mal mit dieser Lösung leben.

Danke noch mal
MT