Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Roadwarrior Routing

Do 02.01.2020, 21:39

Hallo, ich habe hier einige Beiträge zum Thema gefunden, aber keiner hat mein Problem für mich gelöst.

Ich habe eine RC100 auf die ich als Roadwarrior zugreife. Die Regel dafür ist SSL-VPN-EXT -> Internal network->ms-RDP. Ich kann auf einem beliebigen Host im Internen Netz (192.168.35.0) eine RDP Session öffnen. Es gibt allerdings noch zwei Server, die per IPSECV2 verbunden sind und sich im Netz 192.68.90.0 befinden. Diese kann ich aus dem internen Netz per RDP erreichen, nicht aber aus dem Transfer-Netz der Road-Warrior (192.168.160.0) . Das Subnetz 192.168.90.0 habe ich ebenso wie das 192.168.35.0 übergeben.

Die Route auf dem Client zeigt auch eine passende an, z.B.  192.168.90.0 mit dem Gateway 192.169.160.1 (Dem Server des Transfer-Netzes).

Scheinbar hat aber 192.168.160.1 (der VPN-Server in der RC100) keine passende Route nach 192.168.90.0. Ich möchte aber auch nicht das gesamte Netz 192.168.90.0 für die Roadwarrior erreichbar machen, sondern nur 2 Server, 192.168.90.45 und 192.168.90.48.

Wo trage ich diese Route ein ?
 
merlin
Beiträge: 190
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Roadwarrior Routing

Fr 03.01.2020, 10:00

Hallo,

gibt es denn die Regel
SSL-VPN-EXT -> 192.168.90.0/24-> ms-RDP
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 11:42

Hallo, ja, aktuell als ANY Regel, aber ja, gibt es...
 
merlin
Beiträge: 190
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Roadwarrior Routing

Fr 03.01.2020, 11:43

Das Netz 192.168.90.0/24 liegt auch in der richtigen ipsec-Zone?
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 11:48

In der gleichen Zone wie SSL-VPN-EXT, hier vpn-ssl-Adm-Securepoint
 
merlin
Beiträge: 190
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Roadwarrior Routing

Fr 03.01.2020, 11:54

Das ist die Zone des SSLVPN-Clients, das 90er-Netz muss in der ipsec-Zone des Interfaces liegen, auf dem die IPsec-Tunnel terminieren.
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:01

Wenn ich das richtig verstehe, dann liegen die IPSEC Tunnel in der Zone Firewall-external. Das 90er Netz bzw. die Regel läuft, mit keiner der Zone, die ich probiert habe. External, firewall-external, internal, firewall-internal, vpn-ipsec, firewall-vpn-ipsec,vpn-ssl-adm-Securepoint....
 
merlin
Beiträge: 190
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Roadwarrior Routing

Fr 03.01.2020, 13:08

vpn-ipsec ist theoretisch richtig. In der Standard-Konfiguration liegt vpn-ipsec auf eth0 bzw. wan0. Wenn der entsprechende IPsec-VPN-Tunnel jetzt aber auf wan1 oder eth2 endet, dann muss dort eine Zone z.B. "vpn-ipsec_wan1"  angelegt werden (als POLICY_IPSEC) und das 90er-Netz muss da rein.

Was sagt denn das Live-Log zur Kommunikation ins 90er-Netz)
 
merlin
Beiträge: 190
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Roadwarrior Routing

Fr 03.01.2020, 13:10

NAT könnte auch noch zum "Problem" werden, da die Pakete mit Absender aus dem 160er-Netz kommen, und die Server im 90er-Netz keine Route zurück kennen. Hängt von den Begebenheiten ab.

Live-Log und tcpdump führen hier sicherlich zum Ziel,
 
kennethj
Beiträge: 297
Registriert: Di 25.04.2017, 10:17

Re: Roadwarrior Routing

Fr 03.01.2020, 13:15

Moin,

Testen Sie mal folgendes:
Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external (wenn nur eine Internetverbindung vorhanden ist, ansonsten muss das für jeden Ansschluss eingerichtet werden)
Dienst: ms-rdp
HideNAT: internal-network

Gruß

Kenneth
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:19

2020-01-03T12:14:02.140+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54401 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:02.140+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54402 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:05.180+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54403 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:09.180+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54404 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:24

Damit funktioniert es -))))))))))))))))))


Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:29

Danke für die Unterstützung -). Ich halte mich persönlich für keinen Anfänger, aber diese UTM haben sowas von einer Lernkurve...-))
 
kennethj
Beiträge: 297
Registriert: Di 25.04.2017, 10:17

Re: Roadwarrior Routing

Fr 03.01.2020, 13:30

Gern geschehen.

Zu beachten ist hier: das ist die schnelle und "unsaubere" Methode.

Man kann das auch noch auf einen anderen weg lösen. (Ohne HideNAT). Dann muss aber das SSL-VPN Netzwerk auf beiden Seiten in die Phase 2 eingetragen werden.
Die Zone external bleibt aber.
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:41

Die "andere" Seite ist aktuell ein LANCOM Router, deshalb würde ich es jetzt unsauber lassen. Es soll zukünftig eine RC200 werden, dann werde ich das so mal versuchen
 
ThomasSWCS
Themen-Autor
Beiträge: 44
Registriert: Di 31.12.2019, 11:50

Re: Roadwarrior Routing

Fr 03.01.2020, 13:43

Mit dem Ersetzen der allgemeinen Regel
Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

durch

Quelle: [font=-apple-system, Helvetica Neue, Helvetica, sans-serif]SSL-VPN-EXT
[/font]
Ziel: 192.168.90.48/32 in der Zone external
Dienst: ms-rdp
[font=-apple-system, Helvetica Neue, Helvetica, sans-serif]HideNAT: internal-network[/font]

und

Quelle: SSL-VPN-EXT
Ziel: 192.168.90.43/32 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

habe ich genau meine Herausforderung lösen können. Es sollten ja in diesem 90er Netz nur zwei Server per RDP erreichbar sein.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste