Problem Verbindung zu VPN-SLL

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mlion
Beiträge: 7
Registriert: Di 13.11.2018, 15:36

Problem Verbindung zu VPN-SLL

Beitrag von mlion »

Hallo,

wir habe eine RC100 und ich woltle nun ein Roardwarrior Laptop mit VPN Nutzer über VPN-SSL mit unserm internen Netz verbinden. Die Einrichtung von VPN-SSL, Nutzer und den zugehörigen Zertifikaten auf der UTM habe ich gemäß der WIKI von Securepoint gemacht. 
Den Client habe ich als Selbstinstaller vor der UTM auf das RW Laptop übertragen und dort zusammen mit dem Benutzerzertifikat installiert.

Die Verbindung wird aufgebaut und im Client als aktiv angezeigt. Auch auf der UTM wird die Verbindung registriert. Aber das RW Laptop erhält keine IP aus dem internen Netz bzw. ist weiterhin im Internet mit der IP vom Einwahlpunkt unterwegs und nicht mit der externen IP von der UTM. Ich habe auch keine Zugriff auf die freigegebenen Netzlaufwerke. In den Netzwerkeinstellungen wird die Verbindung auch angezeigt und dort ist auch eine interne IP zu finden.

Das RW Laptop läuft mit Win7. Außerdem läuft dort Bitdefender Internet Security. Ich habe die VPN Verbindung auch mit ausgeschalteter Bitdefender Firewall getestet, da ich irgendwo gelesen habe, dass Bitdefender wohl manchmal sehr restriktiv ist was die Verbindungen zur Außenwelt angeht.

Die Einrichtung von VPN-IPSEC hat problemlos funktioniert und hier konnte ich vom iPhone eine VPN Verbindung aufbauen und konnte auch ohne Probleme auf interne IPs zugreifen.

Ich bin jetzt erstmal mit meinem Latein am Ende, aber vielleicht kann mir hier im Forum ja jemand den notwendigen Denkanstoß geben.

Vielen Dank.

Marcel

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo mlion,

wie sieht denn die Konfiguration des VPN-Servers aus? Und was für Portfilterregeln wurden angelegt?

Grüße
Svenja

mlion
Beiträge: 7
Registriert: Di 13.11.2018, 15:36

Beitrag von mlion »

Hi Svenja,

die Konfiguration wurde genau wie im WIKI vorgenommen:
- UDP 1194 mit Server-Zertifikat und unserer internes Netz (Bsp 192.168.1.0/24) freigegeben
- ein Transfernetz definiert (Bsp 192.168.250.0/24)
- Authentifizierung NONE (also über Zertifikat)

Regel:
- ssl-Netzwerk (Netzwerkobjekt) -> internal-Netzwerk: ms-rdp
- internal-Netzwerk -> Internet

Jetzt fällt mir auf, muss ich ssl-Netzwerk -> Internet auch noch freigeben? Das würde aber nur erklären, warum ich nicht über VPN ins Internet komme, aber das klärt noch nicht warum ich nicht aufs interne Netz komme.

Gruß,
Marcel

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo mlion,

wenn gewünscht ist, dass der Client alle Pakete, die nicht zum Verbindungsaufbau gehören, durch den Tunnel schickt, dann muss vor allem das redirect gateway aktiviert werden. Sonst schickt der Client nur die Pakete für das übermittelte Subnetz in den Tunnel. Dann wird auch eine Regel für ssl-netzwerk -> internet mit hidenat benötigt.

Zudem sollte die Authentifizierung auf LOCAL gestellt werden. Dann wird auch Benutzername und Kennwort abgefragt (zusätzlich zum Zertifikat). Die Authentifizierung mit NONE ist nur für Side-to-Side Tunnel gedacht.

Um zu kontrollieren, ob der Client auch eine IP-Adresse vom Server bekommen hat, kann man das Widget SSL-VPN verwenden, dort werden die Clients dann angezeigt.

Hilft dir das weiter? 
Grüße
Svenja

mlion
Beiträge: 7
Registriert: Di 13.11.2018, 15:36

Beitrag von mlion »

Hallo Svenja,

ich werde es mal anpassen und erneut probieren. Ich werde berichten.

Danke.
Gruß,
Marcel

Antworten