Kann es sein, dass Sie im falschen Forum gepostet haben? Aus Ihrem Log ist ersichtlich, dass die "net30"-Topologie für das Tunnel-Netz (192.168.250.0/24) verwendet wird. Das ist eigentlich nur bei der UTMv10 der Fall und dort vollkommen in Ordnung.
Aus dem Log ist ebenfalls erkennbar, dass eine Route in ein /24er Netz gepusht und von Ihrem Client erfolgreich gesetzt wird.
Jetzt gibt es vier Möglichkeiten:
1. Ihr Client schickt die Pakete nicht in den Tunnel
Passiert manchmal, wenn AV-Software o.Ä. den Zugriff auf das TAP-Device unterbindet. Prüfen Sie zuerst die anderen Punkte.
2. Die Pakete können auf der UTM nicht entschlüsselt werden.
Stellen Sie sicher, dass die LZO-Compression sowohl auf der UTM als auch in Ihrem Client nicht aktiv ist. Im Log steht beim Verbindungsaufbau dann sowas wie "comp-lzo is present in remote config but missing locally" (oder eben umgekehrt)
3. Das Regelwerk auf der UTM ist nicht korrekt.
Öffnen Sie das Livelog und schauen Sie dort nach "DROP"s, die zum Tunnel-Interface hereinkommen ("IN=tun0"). Die sehen Sie natürlich nur, wenn Sie parallel mal einen Host hinter dem Tunnel pingen. Sind DROPs sichtbar, prüfen Sie ob die angelegten Netzwerkobjekte in der korrekten Zone sind, die Zone auf dem korrekten Interface (tun0) ist und ob die Firewall-Regeln korrekt angelegt worden sind.
4. Die (Windows-)Firewall bzw Netzwerk-Konfiguration auf dem Ziel-Host verhindert die Kommunikation.
Aktivieren Sie auf der UTM für die Firewall-Regel, die den Zugriff vom Tunnel-Netz auf ihr internes Netz erlaubt das Logging und drücken Sie dann auf "Regelupdate". Wenn Sie jetzt durch den Tunnel pingen und grüne "ACCEPT"-Pakete im Log sehen, müssen Sie auf dem Zielserver nach der Ursache schauen. Sehen Sie nichts grünes, machen Sie mit (1) weiter.
Und weil die Konsole sehr mächtig ist:
Das alles lässt sich auch schneller über eine root-Shell und tcpdump debuggen.
A)
B)
C)
"eth0" ist dabei das Interface, welches die Internetverbindung herstellt, "1194" der Port, über den die SSLVPN Verbindung aufgebaut wird und "eth1" das interne Interface.
Ist bei (A) kein 101 oder 125 Byte großes Paket sichtbar, wenn manin den Tunnel pingt, ist die Ursache vmtl (1)
Sieht man bei (A) entweder 101 oder 125 Byte große Pakete, aber bei (B) nichts, ist die Ursache vmtl (2)
Sieht man bei (B) den Ping, bei (C) aber nicht, ist die Ursache vmtl (3)
Sieht man den Ping bei (B) und bei (C), kommt nur Punkt (4) in Frage.