Regeln SSL-VPN Roadwarrior

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Yoshi
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Regeln SSL-VPN Roadwarrior

Beitrag von Yoshi »

Hallo in die Runde,
irgendwie stehe ich bei den Firewall-Regeln für meine SSL-VPN Verbindung auf dem Schlauch. Ich habe folgende Regeln:

Bild

Verbindung steht, ich kann über den VPN-Tunnel surfen, erreiche aber vom RW-Client aus mein internes Netz nicht per Ping. Umgedreht, ein Ping aus dem "internal-network" an "sslvpn-network" funktioniert aber anstandslos. Ich habe schon ein bisschen im Forum gestöbert, mir läuft immer wieder "HideNAT" über den Weg, aber mir ist nicht ganz klar, wie solch eine Regel aussehen müsste... Eventuell habe ich auch noch einen gedanklichen Fehler mit den jeweiligen Zonen. Ich bräuchte jedenfalls gerade noch ein klein wenig Input.

Vielen Dank vorab.

Benutzeravatar
denniss
Securepoint
Beiträge: 138
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Beitrag von denniss »

Sehr geehrter User,

kann es sein das die Geräte nicht auf Anfragen aus anderen Subnetzen reagieren?
Die Regel bzgl. dem Hidenat wäre wie folgt:
SSLVPN -> Internal -> Dienste Hidenate internal interface.
Das würde aufgrund des Connection tracking nicht gleich greifen.
Mit freundlichen Grüßen



Dennis Stenzel
Head of Customer Care
Support Manager


Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de

Yoshi
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Beitrag von Yoshi »

Das war's noch nicht... Hab die Firewall nach Anpassung der Regel mal neugestartet, aber ich bekomme noch immer keine Antwort zurück. Im Log ist die angepasste HideNAT-Regel nun grün, aber ping sagt noch immer "Zeitüberschreitung der Anforderung".

Sieht irgendwie so aus, als kämen die Antworten nicht an der richtigen Stelle an. aus dem "internal-network" an "ssslvpn-network" funktioniertd er Ping aber noch immer, so wie vorher bereits auch.

Fehlt evtl weiter oben in meinen Regeln noch ein HideNAT Exclude?

Benutzeravatar
denniss
Securepoint
Beiträge: 138
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Beitrag von denniss »

Sehr geehrter User,

prüfen Sie doch mal mit einem tcpdump ob die Pakte wirklich ankommen.
Mit freundlichen Grüßen



Dennis Stenzel
Head of Customer Care
Support Manager


Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de

Yoshi
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Beitrag von Yoshi »

So, jetzt bin ich weiter, peinlich ist's, aber immerhin. :D

Man sollte auch die Windows-Firewall entsprechend konfigurieren. Hat in der Vergangenheit immer so funktioniert, jetzt aus irgendwelchen gründen scheinbar nicht. Naja was soll's...

Allerdings habe ich jetzt noch ein anderes Problem, aber auch ähnlich gelagert. Ich würde die DNS-Anfragen, die der RW-Client stellt, gerne über die Firewall abwickeln. Ich habe der Verbindung unter VPN -> Globale VPN Einstellungen die IP-Adresse der Firewall mitgegeben, allerdings die IP aus meinem internen Netz auf eth1. Im Log sehe ich für die DNS-Anfragen nur ein "DROP: (DEFAULT DROP)". Kann auch nur eine Kleinigkeit sein, erschließt sich mir aber auch noch nicht... :-/

Benutzeravatar
denniss
Securepoint
Beiträge: 138
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Beitrag von denniss »

Sehr geehrter Yoshi,

probieren Sie mal:
SSLVPN Netz -> Internal Interface -> DNS
Mit freundlichen Grüßen



Dennis Stenzel
Head of Customer Care
Support Manager


Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de

Yoshi
Beiträge: 9
Registriert: Do 22.02.2018, 22:55

Beitrag von Yoshi »

Hervorragend, vielen Dank. Das funktioniert wie gewünscht. :) Ich denke, ich habe erstmal wieder einiges gelernt bzw verinnerlicht. Wenn man zu viel selbst probiert hat, sieht man irgendwann den Wald vor lauter Bäumen nicht. Also DANKE nochmals.

Vielleicht ist es sinnvoll, diese "Standardprobleme" noch in den entsprechenden Wiki-Einträgen zu vermerken. Vermutlich kommen genau diese Frage öfters... Vielleicht gibt's ja auch noch ein paar tolle Ideen oder Tipps für mein IPv6-Problem.

Benutzeravatar
denniss
Securepoint
Beiträge: 138
Registriert: Di 11.08.2015, 15:04
Wohnort: 127.0.0.1

Beitrag von denniss »

Sehr geehrter Yoshi,

das freut mich zu hören.
Wir helfen immer gerne!
Mit freundlichen Grüßen



Dennis Stenzel
Head of Customer Care
Support Manager


Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten