Dienste über IPSEC nur teilweise erreichbar

Moderator: Securepoint

Gesperrt
MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Dienste über IPSEC nur teilweise erreichbar

Beitrag von MopedHans »

Hallo zusammen,

eine bestehende IPSEC Verbindung, bei dem für einen Partner nur ein lokaler Host in Phase 2 definiert war, ist nun auf das gesamte lokale Netz erweitert worden, da voraussichtlich weitere Hosts & Dienste für den Partner erreichbar sein müssen. Nach der Änderung und dem Verbindungsaufbau ist der ursprüngliche Host & Dienst weiterhin für den Partner erreichbar. Nun soll erst mal ein lokaler DNS Server für den Partner erreichbar gemacht werden. Entsprechend habe ich den Host & DNS Dienst in das Regelwerk hinzugefügt. Leider bekommt der Partner keine Antwort auf Lookups.

Dann habe ich für den DNS Server testweise any definiert, um mal ICMP testen zu lassen. Aber auch das geht nicht. Beim erweiterten Logging sehe ich, dass die Anfragen von der Firewall akzeptiert werden und auf dem DNS Server ankommen (DNS und ICMP).

Ein vielleicht nicht ganz unwichtiger Aspekt ist der, dass der Partner die IPSEC Verbindung zu uns mit einem öffentliche Proxy realisiert, um Netzprobleme zu vermeiden, da er sehr viel mit IPSEC Verbindungen arbeitet. Ergo ist in Phase 2 unser lokales Netzwerk und die öffentliche Proxy-Hostadresse des Partners hinterlegt ( /24 und /32 ).

Ich bin momentan etwas ratlos. Gerade weil nach der Umstellung der ursprüngliche Host & Dienst weiterhin erreichbar ist, der DNS Server jedoch nicht.

Gruß
MH

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Beim erweiterten Logging sehe ich, dass die Anfragen von der Firewall akzeptiert werden und auf dem DNS Server ankommen (DNS und ICMP)
Und was ist mit den Antwort-Paketen? Verschickt der DNS-Server davon auch welche?
Wenn nicht, prüfen Sie, ob er eine korrekte Default Route hat und ob vielleicht eine lokal installierte Firewall den Zugriff verhindert.

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Danke im Voraus für den Support am Wochenende.

MopedHans
Beiträge: 66
Registriert: Mo 17.02.2014, 07:37

Beitrag von MopedHans »

Definitiv OSI 8 Problem gewesen. Der Wald und die Bäume halt. ^^

Gesperrt