Dienste über IPSEC nur teilweise erreichbar
Verfasst: Sa 08.11.2014, 09:54
Hallo zusammen,
eine bestehende IPSEC Verbindung, bei dem für einen Partner nur ein lokaler Host in Phase 2 definiert war, ist nun auf das gesamte lokale Netz erweitert worden, da voraussichtlich weitere Hosts & Dienste für den Partner erreichbar sein müssen. Nach der Änderung und dem Verbindungsaufbau ist der ursprüngliche Host & Dienst weiterhin für den Partner erreichbar. Nun soll erst mal ein lokaler DNS Server für den Partner erreichbar gemacht werden. Entsprechend habe ich den Host & DNS Dienst in das Regelwerk hinzugefügt. Leider bekommt der Partner keine Antwort auf Lookups.
Dann habe ich für den DNS Server testweise any definiert, um mal ICMP testen zu lassen. Aber auch das geht nicht. Beim erweiterten Logging sehe ich, dass die Anfragen von der Firewall akzeptiert werden und auf dem DNS Server ankommen (DNS und ICMP).
Ein vielleicht nicht ganz unwichtiger Aspekt ist der, dass der Partner die IPSEC Verbindung zu uns mit einem öffentliche Proxy realisiert, um Netzprobleme zu vermeiden, da er sehr viel mit IPSEC Verbindungen arbeitet. Ergo ist in Phase 2 unser lokales Netzwerk und die öffentliche Proxy-Hostadresse des Partners hinterlegt ( /24 und /32 ).
Ich bin momentan etwas ratlos. Gerade weil nach der Umstellung der ursprüngliche Host & Dienst weiterhin erreichbar ist, der DNS Server jedoch nicht.
Gruß
MH
eine bestehende IPSEC Verbindung, bei dem für einen Partner nur ein lokaler Host in Phase 2 definiert war, ist nun auf das gesamte lokale Netz erweitert worden, da voraussichtlich weitere Hosts & Dienste für den Partner erreichbar sein müssen. Nach der Änderung und dem Verbindungsaufbau ist der ursprüngliche Host & Dienst weiterhin für den Partner erreichbar. Nun soll erst mal ein lokaler DNS Server für den Partner erreichbar gemacht werden. Entsprechend habe ich den Host & DNS Dienst in das Regelwerk hinzugefügt. Leider bekommt der Partner keine Antwort auf Lookups.
Dann habe ich für den DNS Server testweise any definiert, um mal ICMP testen zu lassen. Aber auch das geht nicht. Beim erweiterten Logging sehe ich, dass die Anfragen von der Firewall akzeptiert werden und auf dem DNS Server ankommen (DNS und ICMP).
Ein vielleicht nicht ganz unwichtiger Aspekt ist der, dass der Partner die IPSEC Verbindung zu uns mit einem öffentliche Proxy realisiert, um Netzprobleme zu vermeiden, da er sehr viel mit IPSEC Verbindungen arbeitet. Ergo ist in Phase 2 unser lokales Netzwerk und die öffentliche Proxy-Hostadresse des Partners hinterlegt ( /24 und /32 ).
Ich bin momentan etwas ratlos. Gerade weil nach der Umstellung der ursprüngliche Host & Dienst weiterhin erreichbar ist, der DNS Server jedoch nicht.
Gruß
MH