UTM und BlackDwarf S2S-Verbindung über SSL-VPN schlägt fehl

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

UTM und BlackDwarf S2S-Verbindung über SSL-VPN schlägt fehl

Beitrag von xkky »

Hallo liebe Gemeinde,

nachdem ich mein erstes Problem mit Svenjas Hilfe recht schnell beheben konnte, hoffe ich nun, dass ich mein zweites Problem, über dem ich schon seit Tagen brüte, mit Eurer Hilfe lösen kann. 

Folgendes Szenario:
Im Büro steht eine UTM. Zu Hause ein BlackDwarf. Die UTM ist ein SSL-VPN-Server. Die Roadwarrior-Variante funktioniert soweit ohne Probleme. Nun soll der BlackDwarf als VPN-Client fungieren. Ich habe die Site-to-Site Einstellungen so vorgenommen, wie sie im WIKI beschrieben stehen. Laut der Statusmeldung funktioniert die Verbindung auch (die runden Icons sind grün und es steht jeweils "connected"). Nunja, Verbindung können aber nicht aufgebaut werden, Pings schlagen fehl.
Im Log der UTM sind grüne Pakete zu sehen: 
S2S-VPN-Client/92.201.135.79:33723CRL CHECK OK: ...
Dann aber auch wieder zu Haufe sowas:
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: Client connected from /tmp/openvpn_management_86E1D58E.sock
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: CMD 'state'
14.08.2018 17:25:35 openvpn-S2S-server MANAGEMENT: Client disconnected

Im Log des Dwarfs ist nichts grünes zu erkennen. 

Ich weiß nun nicht so recht, wo ich ansetzen soll. Ich habe ein wenig die Zertifikate im Verdacht. Auf dem Dwarf steht als Status unter dem importierten CA  in rot "unable to get certificate crl" und auch in rot "key"; unter dem importierten Zertifikat in rot ebenfalls "unable to get certificate crl", dann aber in grün "key". Könnte es daran liegen? Rein vom Farbschema her müsste ja alles grün sein. 

Vielen Dank für Eure Mühen

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

diese Meldungen kann man ignorieren. Interessanter wäre es zu wissen ob eine der beiden Seiten die Pakete dropt.
Sind auf beiden Seiten die Routen gesetzt? Die Netzwerkobjekte beziehen sich auf die VPN Schnittstelle und auf das jeweilige Zielnetz? (Es darf nicht das Transfernetz sein).

Das mit den Zertifikaten ist korrekt. Die CA sollte nur den Private Key auf der Ersteller Seite haben. Sonst könnten die Clients auf dieses CA auch gültige Zertifikate erstellen und das ist in dem Falle nicht gewollt. Das die CRL angesprochen wird ist nicht relevant. Die CRL (Zertifikatsperrliste) wird hier nur auf der Aussteller Seite benötigt.

Gruß Björn

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Bjoern hat geschrieben: Die Netzwerkobjekte beziehen sich auf die VPN Schnittstelle und auf das jeweilige Zielnetz? (Es darf nicht das Transfernetz sein).
Da ist der Sonntag ja gerettet... ;) Es war natürlich das Transfernetz gewählt. Ich war auch der Meinung, dass dieses im Wiki so beschrieben stand. Nunja, Zielnetz eingegeben und es läuft! Vielen Dank!
Eine letzte Frage in dieser Angelegenheit: Ich möchte aus dem Netz der UTM auf das Admininterface der Blackdwarf zugreifen. Dazu habe ich im Dwarf eine Regel erstellt:
Quelle: s2svpn
Ziel: internal-interface
Dienst: Proxy (oder any)
Leider kommt nichts durch und im Log erscheinen Drops.
Zudem erscheinen im Log auch minütlich solche Einträge (192.168.175.x ist das Netz des Dwarfs):  DROP: (DEFAULT DROP)192.168.175.1:54915  eth1  192.168.175.255:54915UDP
Gut, nun waren es zwei Fragen ;) Ein schönen Sonntag noch!

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

So, nach einigem hin und her läuft nun auch die Verbindung vom UTM-Netz zum Interface des BlackDwarf:
Auf der UTM folgende Regel: internal-networt->s2svpn->administration
Auf der Dwarf: s2svpn->internal-interface->administration.

Bleiben nur noch die Einträge mit den Default Drops

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ist noch was offen? Beim ersten Post wurde geschrieben:
Da ist der Sonntag ja gerettet... [img=15x17]images/smilies/icon_e_wink.gif[/img] Es war natürlich das Transfernetz gewählt. Ich war auch der Meinung, dass dieses im Wiki so beschrieben stand. Nunja, Zielnetz eingegeben und es läuft! Vielen Dank!
Danach kam:
So, nach einigem hin und her läuft nun auch die Verbindung vom UTM-Netz zum Interface des BlackDwarf:
Auf der UTM folgende Regel: internal-networt->s2svpn->administration
Auf der Dwarf: s2svpn->internal-interface->administration.

Bleiben nur noch die Einträge mit den Default Drops
Gruß Björn

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Hallo,
die Verbindung funktioniert problemlos. Ich frage mich nur, weshalb es viele Drops gibt:
DROP: (DEFAULT DROP)192.168.175.1:54915  eth1  192.168.175.255:54915UDP

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo xkky,

 192.168.175.255 ist ein Broadcast. Die UTM droppt ALLE Broadcast Pakete.

Grüße
Svenja

Antworten