Seite 1 von 1

Roadwarrior Routing

Verfasst: Do 02.01.2020, 21:39
von ThomasSWCS
Hallo, ich habe hier einige Beiträge zum Thema gefunden, aber keiner hat mein Problem für mich gelöst.

Ich habe eine RC100 auf die ich als Roadwarrior zugreife. Die Regel dafür ist SSL-VPN-EXT -> Internal network->ms-RDP. Ich kann auf einem beliebigen Host im Internen Netz (192.168.35.0) eine RDP Session öffnen. Es gibt allerdings noch zwei Server, die per IPSECV2 verbunden sind und sich im Netz 192.68.90.0 befinden. Diese kann ich aus dem internen Netz per RDP erreichen, nicht aber aus dem Transfer-Netz der Road-Warrior (192.168.160.0) . Das Subnetz 192.168.90.0 habe ich ebenso wie das 192.168.35.0 übergeben.

Die Route auf dem Client zeigt auch eine passende an, z.B.  192.168.90.0 mit dem Gateway 192.169.160.1 (Dem Server des Transfer-Netzes).

Scheinbar hat aber 192.168.160.1 (der VPN-Server in der RC100) keine passende Route nach 192.168.90.0. Ich möchte aber auch nicht das gesamte Netz 192.168.90.0 für die Roadwarrior erreichbar machen, sondern nur 2 Server, 192.168.90.45 und 192.168.90.48.

Wo trage ich diese Route ein ?

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 10:00
von merlin
Hallo,

gibt es denn die Regel
SSL-VPN-EXT -> 192.168.90.0/24-> ms-RDP

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 11:42
von ThomasSWCS
Hallo, ja, aktuell als ANY Regel, aber ja, gibt es...

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 11:43
von merlin
Das Netz 192.168.90.0/24 liegt auch in der richtigen ipsec-Zone?

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 11:48
von ThomasSWCS
In der gleichen Zone wie SSL-VPN-EXT, hier vpn-ssl-Adm-Securepoint

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 11:54
von merlin
Das ist die Zone des SSLVPN-Clients, das 90er-Netz muss in der ipsec-Zone des Interfaces liegen, auf dem die IPsec-Tunnel terminieren.

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:01
von ThomasSWCS
Wenn ich das richtig verstehe, dann liegen die IPSEC Tunnel in der Zone Firewall-external. Das 90er Netz bzw. die Regel läuft, mit keiner der Zone, die ich probiert habe. External, firewall-external, internal, firewall-internal, vpn-ipsec, firewall-vpn-ipsec,vpn-ssl-adm-Securepoint....

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:08
von merlin
vpn-ipsec ist theoretisch richtig. In der Standard-Konfiguration liegt vpn-ipsec auf eth0 bzw. wan0. Wenn der entsprechende IPsec-VPN-Tunnel jetzt aber auf wan1 oder eth2 endet, dann muss dort eine Zone z.B. "vpn-ipsec_wan1"  angelegt werden (als POLICY_IPSEC) und das 90er-Netz muss da rein.

Was sagt denn das Live-Log zur Kommunikation ins 90er-Netz)

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:10
von merlin
NAT könnte auch noch zum "Problem" werden, da die Pakete mit Absender aus dem 160er-Netz kommen, und die Server im 90er-Netz keine Route zurück kennen. Hängt von den Begebenheiten ab.

Live-Log und tcpdump führen hier sicherlich zum Ziel,

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:15
von kennethj
Moin,

Testen Sie mal folgendes:
Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external (wenn nur eine Internetverbindung vorhanden ist, ansonsten muss das für jeden Ansschluss eingerichtet werden)
Dienst: ms-rdp
HideNAT: internal-network

Gruß

Kenneth

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:19
von ThomasSWCS
2020-01-03T12:14:02.140+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54401 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:02.140+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54402 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:05.180+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54403 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0
2020-01-03T12:14:09.180+01:00 ulogd[3836]: DROP: (DEFAULT DROP)  IN=tun0 OUT=eth0 MAC= SRC=192.168.160.2 DST=192.168.90.48 LEN=52 TOS=00 PREC=0x00 TTL=127 ID=54404 DF PROTO=TCP SPT=57055 DPT=3389 SEQ=476792556 ACK=0 WINDOW=64240 SYN URGP=0 MARK=0

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:24
von ThomasSWCS
Damit funktioniert es -))))))))))))))))))


Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:29
von ThomasSWCS
Danke für die Unterstützung -). Ich halte mich persönlich für keinen Anfänger, aber diese UTM haben sowas von einer Lernkurve...-))

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:30
von kennethj
Gern geschehen.

Zu beachten ist hier: das ist die schnelle und "unsaubere" Methode.

Man kann das auch noch auf einen anderen weg lösen. (Ohne HideNAT). Dann muss aber das SSL-VPN Netzwerk auf beiden Seiten in die Phase 2 eingetragen werden.
Die Zone external bleibt aber.

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:41
von ThomasSWCS
Die "andere" Seite ist aktuell ein LANCOM Router, deshalb würde ich es jetzt unsauber lassen. Es soll zukünftig eine RC200 werden, dann werde ich das so mal versuchen

Re: Roadwarrior Routing

Verfasst: Fr 03.01.2020, 13:43
von ThomasSWCS
Mit dem Ersetzen der allgemeinen Regel
Quelle: SSL-VPN-EXT
Ziel: 192.168.90.0/24 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

durch

Quelle: SSL-VPN-EXT

Ziel: 192.168.90.48/32 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

und

Quelle: SSL-VPN-EXT
Ziel: 192.168.90.43/32 in der Zone external
Dienst: ms-rdp
HideNAT: internal-network

habe ich genau meine Herausforderung lösen können. Es sollten ja in diesem 90er Netz nur zwei Server per RDP erreichbar sein.