Seite 1 von 1

packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: Fr 26.02.2016, 23:47
von jens.manke
Hallo zusammen,

wir haben eine zweite S2S SSLVPN Verbindung zur selben Firewall konfiguriert. Der Tunnen scheint zu stehen, allerdings klappts mit dem Traffic noch nicht ganz.

Aufbau:
1 x RC100 als SSLVPN Server
2 x Black Dwarf als SSLVPN Clients

Gleiches Server Zertifikat, zwei Client Zertifikate

Erstes VPN arbeitet korrekt.

Beim zweiten VPN erhalten ich folgende Fehlermeldung im Log der RC100:

James S2S SSL-VPN/217.87.176.25:41500 MULTI: bad source address from client [192.168.99.2], packet dropped

Wir haben überprüft:
- Routen
- Firewall-Regeln
- Firewall Objekte

Hat jemand eine Ahnung, was das noch sein kann?

Re: packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: So 28.02.2016, 11:39
von pl85
habe genau das selbe Problem.

Ich hab mehrere SSL-VPN-Roadwarrior-Verbindungen - die funktionieren.

Habe jetzt eine S2S hinzugefügt (Server = Kunden-UTM, Client = meine UTM). Laut GUI ist diese auch aufgebaut.
In meinen Log seh ich wie er die Pakete zulässt, im Log beim Kunden seh ich die selbe Fehlermeldung ausgegeben von openvpn. Komm da auch nicht weiter momentan.

Gruß

E: beide V. 11.6.3 (Final)

Re: packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: So 28.02.2016, 12:59
von Erik
Eine "bad source address" gibt es immer dann, wenn der SSLVPN-Server nicht weiß, hinter welchem Tunnel diese Adresse zu finden ist. Dazu muss ein SSLVPN-Client-Remote mit dem korrekten Zertifikat und dem korrekten Netz hinter dem Tunnel angelegt werden. Danach muss dieses Remote noch der jeweiligen Server-Instanz zugeordnet werden (SSLVPN-Server-Instanz bearbeiten -> zweiter Tab)

Re: packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: So 28.02.2016, 14:44
von jens.manke
Hallo Erik,

danke für die Antwort, kurze Detailfrage zu dem "was wo" angelegt werden muss.

Ich habe die RC100 als Server und die Black-Dwar als Client. Wo muss jetzt was angelegt werden? Im SSLVPN Server habe ich im dritten Tab die "remote-client" Profile. Soll ich hier das zweite Profil zufügen?

Re: packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: So 28.02.2016, 17:22
von Erik
Genau.

Re: packed drop fehler zweite SSLVPN Verbindung S2S

Verfasst: Mo 29.02.2016, 09:01
von pl85
Dummheit am Sonntag :D
Die Remote-Einstellungen hatte ich alle angegeben, allerdings fehlte beim Remote-Netzwerk ein "/24"

Kaum macht mans richtig... ;)

Danke und Gruß