Regeln SSL-VPN Roadwarrior

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
cth
Beiträge: 17
Registriert: Do 05.01.2017, 14:33

Regeln SSL-VPN Roadwarrior

Beitrag von cth »

Hallo,
ich habe einen Roadwarrior aufgesetzt, um über eine Handy App auf eine Busch & Jaeger-Steuerung im Heimnetz zugreifen zu können.
Der VPN Connect funktioniert und wird auch in der Console angezeigt; allerdings scheint das forward auf die IP-Adresse der Busch & Jaeger-Steuerung
nicht zu erfolgen.

Ich habe folgende Regel implementiert:
sslvpn-network  -> Busch-Jaeger   
Dienst http
NAT: DN->

Im Log erhalte ich
                                    Drop: (Default Drop)    int. Handy IP  -> tun0 -> tun0 -> BuschJaeger:80   TCP SYN
mit int. Handy IP = int. Adresse des Handy nach Anmeldung am Roadwarrior

Eigentlich habe ich doch die Adresse tun0 -> internal Netz über http freigegeben?!
Wieso wird ein Mapping Handy -> tun0 -> tun0  durchgeführt und nicht ein
Handy -> tun0 -> internal network -> Object im internal Network?

Danke und viele Grüße!
Claus

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Claus,

tun0 -> tun0 besagt, dass du versuchst auf eine IP im RW-Netz zuzugreifen.
Du brauchst an dieser Stelle auch eher ein HideNAT, wenn überhaupt ein NAT erforderlich ist.

Ist deine UTM, die auch den OpenVPN Server darstellt, dein Default Gateway in deinem Netz? Wenn ja, dann brauchst du kein NAT und nur eine Regel:
sslvpn-network -> Ziel-IP -> gewünschter Dienst (kein NAT)

Grüße
Svenja

cth
Beiträge: 17
Registriert: Do 05.01.2017, 14:33

Beitrag von cth »

Hallo Svenja,
erst einmal vielen Dank für Deine schnelle Antwort!
ich glaube ich muss das noch präziser darstellen:

Internes Netz (eth1):   192.168.168.1
Roadwarrior (tun0):     192.168.180.1

Das Handy erhält über VPN die Adresse 192.168.180.2 und ist somit im tun0-Netz; der login funktioniert.
Das Busch-Jaeger-Device hat eine feste Adresse mit 192.168.168.7 und ist somit im eth1-Netz (intern und nicht RW)

Die Regel, die ich erstellt hatte ist
sslvpn-network -> 192.168.168.7    http   DN
Typ: DestNAT        Objekt: external interface        Dienst: http


Das Default-Gateway liegt bei 192.168.168.1, also bei eth1

Ich versuche doch aber, auf eine IP im eth1-Netzwerk zuzugreifen.
Warum macht das BlackDwarf hier ein tun0->tun0 daraus?

Danke und viele Grüße!
Claus

cth
Beiträge: 17
Registriert: Do 05.01.2017, 14:33

Beitrag von cth »

Ich habe noch einmal nachgesehen und den Fehler gefunden (ist gut, wenn man die Sachlage mal dokumentiert ...):
Es lag daran, dass ich 2 Routes definiert hatte:
Quelle                          Gateway                Ziel
192.168.180.0/24         eth1                      192.168.168.0/24
192.168.180.0/24         tun0                      192.168.168.0/24         -> der Eintrag muss weg, da dann Requests an das 192.168.168.0/24 vermeintlich wohl an das tun0 adressiert werden (wie im Log...)

Jetzt funktioniert es wieder wie geplant...
Viele Grüße!
Claus

Antworten