Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Yoshi
Themen-Autor
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 11:46

Hallo in die Runde,
irgendwie stehe ich bei den Firewall-Regeln für meine SSL-VPN Verbindung auf dem Schlauch. Ich habe folgende Regeln:

Bild

Verbindung steht, ich kann über den VPN-Tunnel surfen, erreiche aber vom RW-Client aus mein internes Netz nicht per Ping. Umgedreht, ein Ping aus dem "internal-network" an "sslvpn-network" funktioniert aber anstandslos. Ich habe schon ein bisschen im Forum gestöbert, mir läuft immer wieder "HideNAT" über den Weg, aber mir ist nicht ganz klar, wie solch eine Regel aussehen müsste... Eventuell habe ich auch noch einen gedanklichen Fehler mit den jeweiligen Zonen. Ich bräuchte jedenfalls gerade noch ein klein wenig Input.

Vielen Dank vorab.
 
Benutzeravatar
denniss
Securepoint
Beiträge: 112
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 12:10

Sehr geehrter User,

kann es sein das die Geräte nicht auf Anfragen aus anderen Subnetzen reagieren?
Die Regel bzgl. dem Hidenat wäre wie folgt:
SSLVPN -> Internal -> Dienste Hidenate internal interface.
Das würde aufgrund des Connection tracking nicht gleich greifen.
Mit freundlichen Grüßen

Dennis Stenzel
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Yoshi
Themen-Autor
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 12:27

Das war's noch nicht... Hab die Firewall nach Anpassung der Regel mal neugestartet, aber ich bekomme noch immer keine Antwort zurück. Im Log ist die angepasste HideNAT-Regel nun grün, aber ping sagt noch immer "Zeitüberschreitung der Anforderung".

Sieht irgendwie so aus, als kämen die Antworten nicht an der richtigen Stelle an. aus dem "internal-network" an "ssslvpn-network" funktioniertd er Ping aber noch immer, so wie vorher bereits auch.

Fehlt evtl weiter oben in meinen Regeln noch ein HideNAT Exclude?
 
Benutzeravatar
denniss
Securepoint
Beiträge: 112
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 12:31

Sehr geehrter User,

prüfen Sie doch mal mit einem tcpdump ob die Pakte wirklich ankommen.
Mit freundlichen Grüßen

Dennis Stenzel
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Yoshi
Themen-Autor
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 13:18

So, jetzt bin ich weiter, peinlich ist's, aber immerhin. :D

Man sollte auch die Windows-Firewall entsprechend konfigurieren. Hat in der Vergangenheit immer so funktioniert, jetzt aus irgendwelchen gründen scheinbar nicht. Naja was soll's...

Allerdings habe ich jetzt noch ein anderes Problem, aber auch ähnlich gelagert. Ich würde die DNS-Anfragen, die der RW-Client stellt, gerne über die Firewall abwickeln. Ich habe der Verbindung unter VPN -> Globale VPN Einstellungen die IP-Adresse der Firewall mitgegeben, allerdings die IP aus meinem internen Netz auf eth1. Im Log sehe ich für die DNS-Anfragen nur ein "DROP: (DEFAULT DROP)". Kann auch nur eine Kleinigkeit sein, erschließt sich mir aber auch noch nicht... :-/
 
Benutzeravatar
denniss
Securepoint
Beiträge: 112
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 13:27

Sehr geehrter Yoshi,

probieren Sie mal:
SSLVPN Netz -> Internal Interface -> DNS
Mit freundlichen Grüßen

Dennis Stenzel
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Yoshi
Themen-Autor
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 13:38

Hervorragend, vielen Dank. Das funktioniert wie gewünscht. :) Ich denke, ich habe erstmal wieder einiges gelernt bzw verinnerlicht. Wenn man zu viel selbst probiert hat, sieht man irgendwann den Wald vor lauter Bäumen nicht. Also DANKE nochmals.

Vielleicht ist es sinnvoll, diese "Standardprobleme" noch in den entsprechenden Wiki-Einträgen zu vermerken. Vermutlich kommen genau diese Frage öfters... Vielleicht gibt's ja auch noch ein paar tolle Ideen oder Tipps für mein IPv6-Problem.
 
Benutzeravatar
denniss
Securepoint
Beiträge: 112
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Re: Regeln SSL-VPN Roadwarrior

Mi 28.02.2018, 13:41

Sehr geehrter Yoshi,

das freut mich zu hören.
Wir helfen immer gerne!
Mit freundlichen Grüßen

Dennis Stenzel
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste