Hallo in die Runde,
irgendwie stehe ich bei den Firewall-Regeln für meine SSL-VPN Verbindung auf dem Schlauch. Ich habe folgende Regeln:
Verbindung steht, ich kann über den VPN-Tunnel surfen, erreiche aber vom RW-Client aus mein internes Netz nicht per Ping. Umgedreht, ein Ping aus dem "internal-network" an "sslvpn-network" funktioniert aber anstandslos. Ich habe schon ein bisschen im Forum gestöbert, mir läuft immer wieder "HideNAT" über den Weg, aber mir ist nicht ganz klar, wie solch eine Regel aussehen müsste... Eventuell habe ich auch noch einen gedanklichen Fehler mit den jeweiligen Zonen. Ich bräuchte jedenfalls gerade noch ein klein wenig Input.
Vielen Dank vorab.
Regeln SSL-VPN Roadwarrior
Moderator: Securepoint
Sehr geehrter User,
kann es sein das die Geräte nicht auf Anfragen aus anderen Subnetzen reagieren?
Die Regel bzgl. dem Hidenat wäre wie folgt:
SSLVPN -> Internal -> Dienste Hidenate internal interface.
Das würde aufgrund des Connection tracking nicht gleich greifen.
kann es sein das die Geräte nicht auf Anfragen aus anderen Subnetzen reagieren?
Die Regel bzgl. dem Hidenat wäre wie folgt:
SSLVPN -> Internal -> Dienste Hidenate internal interface.
Das würde aufgrund des Connection tracking nicht gleich greifen.
Mit freundlichen Grüßen
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Das war's noch nicht... Hab die Firewall nach Anpassung der Regel mal neugestartet, aber ich bekomme noch immer keine Antwort zurück. Im Log ist die angepasste HideNAT-Regel nun grün, aber ping sagt noch immer "Zeitüberschreitung der Anforderung".
Sieht irgendwie so aus, als kämen die Antworten nicht an der richtigen Stelle an. aus dem "internal-network" an "ssslvpn-network" funktioniertd er Ping aber noch immer, so wie vorher bereits auch.
Fehlt evtl weiter oben in meinen Regeln noch ein HideNAT Exclude?
Sieht irgendwie so aus, als kämen die Antworten nicht an der richtigen Stelle an. aus dem "internal-network" an "ssslvpn-network" funktioniertd er Ping aber noch immer, so wie vorher bereits auch.
Fehlt evtl weiter oben in meinen Regeln noch ein HideNAT Exclude?
Sehr geehrter User,
prüfen Sie doch mal mit einem tcpdump ob die Pakte wirklich ankommen.
prüfen Sie doch mal mit einem tcpdump ob die Pakte wirklich ankommen.
Mit freundlichen Grüßen
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
So, jetzt bin ich weiter, peinlich ist's, aber immerhin.
Man sollte auch die Windows-Firewall entsprechend konfigurieren. Hat in der Vergangenheit immer so funktioniert, jetzt aus irgendwelchen gründen scheinbar nicht. Naja was soll's...
Allerdings habe ich jetzt noch ein anderes Problem, aber auch ähnlich gelagert. Ich würde die DNS-Anfragen, die der RW-Client stellt, gerne über die Firewall abwickeln. Ich habe der Verbindung unter VPN -> Globale VPN Einstellungen die IP-Adresse der Firewall mitgegeben, allerdings die IP aus meinem internen Netz auf eth1. Im Log sehe ich für die DNS-Anfragen nur ein "DROP: (DEFAULT DROP)". Kann auch nur eine Kleinigkeit sein, erschließt sich mir aber auch noch nicht... :-/
Man sollte auch die Windows-Firewall entsprechend konfigurieren. Hat in der Vergangenheit immer so funktioniert, jetzt aus irgendwelchen gründen scheinbar nicht. Naja was soll's...
Allerdings habe ich jetzt noch ein anderes Problem, aber auch ähnlich gelagert. Ich würde die DNS-Anfragen, die der RW-Client stellt, gerne über die Firewall abwickeln. Ich habe der Verbindung unter VPN -> Globale VPN Einstellungen die IP-Adresse der Firewall mitgegeben, allerdings die IP aus meinem internen Netz auf eth1. Im Log sehe ich für die DNS-Anfragen nur ein "DROP: (DEFAULT DROP)". Kann auch nur eine Kleinigkeit sein, erschließt sich mir aber auch noch nicht... :-/
Sehr geehrter Yoshi,
probieren Sie mal:
SSLVPN Netz -> Internal Interface -> DNS
probieren Sie mal:
SSLVPN Netz -> Internal Interface -> DNS
Mit freundlichen Grüßen
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Hervorragend, vielen Dank. Das funktioniert wie gewünscht. Ich denke, ich habe erstmal wieder einiges gelernt bzw verinnerlicht. Wenn man zu viel selbst probiert hat, sieht man irgendwann den Wald vor lauter Bäumen nicht. Also DANKE nochmals.
Vielleicht ist es sinnvoll, diese "Standardprobleme" noch in den entsprechenden Wiki-Einträgen zu vermerken. Vermutlich kommen genau diese Frage öfters... Vielleicht gibt's ja auch noch ein paar tolle Ideen oder Tipps für mein IPv6-Problem.
Vielleicht ist es sinnvoll, diese "Standardprobleme" noch in den entsprechenden Wiki-Einträgen zu vermerken. Vermutlich kommen genau diese Frage öfters... Vielleicht gibt's ja auch noch ein paar tolle Ideen oder Tipps für mein IPv6-Problem.
Sehr geehrter Yoshi,
das freut mich zu hören.
Wir helfen immer gerne!
das freut mich zu hören.
Wir helfen immer gerne!
Mit freundlichen Grüßen
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de
Dennis Stenzel
Head of Customer Care
Support Manager
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de