Hallo Support,
wir haben eine Site2Site IPSec VPN Verbindung aufgebaut, soweit auch erst einmal alles toll.
Nun soll sich unser VMWare vCenter Server über den VPN mit einem ESXi Host verbinden.
Dies scheitert leider mit einem Firewall DROP. Das merkwürdige ist das die Quell Adresse laut der Firewall der Cisco Router der Telekom seien soll als unser Default Gateway der 2. Firewall. Angeblich soll es sich dabei um ICMP Port 902 handeln? Das läuft dann wohl korrekterweise in deinen DROP(default)
Laut VMWare Knowledge Base soll die aber über TCP/UDP 902 laufen?
Ich habe ein wenig das Hide-NAT im verdacht konnte dort aber keinen Fehler feststellen.
Ist in dieser Richtung etwas bekannt?
Grüße
A.Rietz
Firewall Drop ICMP 902?
Moderator: Securepoint
Firewall Drop ICMP 902?
Some people want it to happen, some wish it would happen, others make it happen.
Aug 7 16:00:36 195.243.223.50 Firewall DROP kernel: DROP(default) IN=eth2 OUT=eth1 MAC=00:40:48:b2:cc:0d:a4:93:4c:65:88:14:08:00 SRC=195.243.223.49 DST=192.168.150.20 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=14473 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.150.20 DST=172.16.6.16 LEN=94 TOS=0x00 PREC=0x00 TTL=62 ID=6074 PROTO=UDP SPT=52811 DPT=902 LEN=74 ] MARK=0x4
Some people want it to happen, some wish it would happen, others make it happen.
Da fehlt wohl eine HideNAT Ausnahme:
Typ: Exclude
Quelle: 192.168.150.0/24 (?)
Interface: eth1
Ziel: 172.16.6.0/24 (?)
Was da verworfen wird, ist ein ICMP Typ 3 / Code 1 (Destination unreachable) in Antwort auf das Port 902-Paket, was am Router ankommt.
Typ: Exclude
Quelle: 192.168.150.0/24 (?)
Interface: eth1
Ziel: 172.16.6.0/24 (?)
Was da verworfen wird, ist ein ICMP Typ 3 / Code 1 (Destination unreachable) in Antwort auf das Port 902-Paket, was am Router ankommt.
Hallo,
bisher habe ich alle Subnetze von Standort A in eine Netzwerkgruppe gepackt und alle Subnetze von Standort B in eine eigene Netzwerkgruppe. Diese dann mittels Hide-NAT excluded.
Wenn das Hide-NAT komplett fehlerhaft gewesen wäre hätte doch auch nichts anderes funktionieren dürfen? Ping, SMB etc. funktionierten alle, nur halt das vCenter nicht.
Nachdem ich nun die besagten Subnetze getrennt aufgeführt habe funktioniert alles.
Ist es eher angeraten für alle Subnetze ein eigenes Hide-NAT exclude zu generieren anstatt mit Netzwerkgruppen zu arbeiten?
Grüße
A.Rietz
bisher habe ich alle Subnetze von Standort A in eine Netzwerkgruppe gepackt und alle Subnetze von Standort B in eine eigene Netzwerkgruppe. Diese dann mittels Hide-NAT excluded.
Wenn das Hide-NAT komplett fehlerhaft gewesen wäre hätte doch auch nichts anderes funktionieren dürfen? Ping, SMB etc. funktionierten alle, nur halt das vCenter nicht.
Nachdem ich nun die besagten Subnetze getrennt aufgeführt habe funktioniert alles.
Ist es eher angeraten für alle Subnetze ein eigenes Hide-NAT exclude zu generieren anstatt mit Netzwerkgruppen zu arbeiten?
Grüße
A.Rietz
Some people want it to happen, some wish it would happen, others make it happen.
Danke für die Info
Some people want it to happen, some wish it would happen, others make it happen.