Ping durch IPsec-Tunnel: Vom LAN aus möglich, von der Firewall aus nicht
Verfasst: Mo 07.01.2013, 13:03
Hallo!
Wir haben einen IPsec-Tunnel zu einem anderen Standort. Dieser funktioniert auch grundsätzlich: Ping, HTTP... Alles gewünschte geht durch.
Ein Ping von der Firewall aus direkt meldet allerdings, dass der Zielhost down sei. Die Problematik fällt bei jeder durch die Firewall initiierte Verbindung in das Remote-Netz auf, also auch dann, wenn man den Proxy nutzen will (ob transparent oder nicht): Mit genutztem Proxy ist keine Verbindung möglich ("No route to host"), ohne Proxy geht es.
Ich denke, hier fehlt eine richtige Regel oder ein passendes Netzwerk-Objekt für eine solche Regel. Wie kann das Problem gelöst werden? Die Lösung "ohne Proxy" ist so nicht dauerhaft erwünscht.
Es handelt sich übrigens um eine Securepoint R4 - ich weiß, die ist alt. Aber eine Aufrüstung ist nicht erwünscht zur Zeit (Kundenzitat: funktioniert doch noch). Ich denke das Verhalten dieser alten Version ist in solchen Situationen durchaus anderes als bei neueren. Daher der Hinweis.
Vielen Dank für jeden Tipp.
Wir haben einen IPsec-Tunnel zu einem anderen Standort. Dieser funktioniert auch grundsätzlich: Ping, HTTP... Alles gewünschte geht durch.
Ein Ping von der Firewall aus direkt meldet allerdings, dass der Zielhost down sei. Die Problematik fällt bei jeder durch die Firewall initiierte Verbindung in das Remote-Netz auf, also auch dann, wenn man den Proxy nutzen will (ob transparent oder nicht): Mit genutztem Proxy ist keine Verbindung möglich ("No route to host"), ohne Proxy geht es.
Ich denke, hier fehlt eine richtige Regel oder ein passendes Netzwerk-Objekt für eine solche Regel. Wie kann das Problem gelöst werden? Die Lösung "ohne Proxy" ist so nicht dauerhaft erwünscht.
Es handelt sich übrigens um eine Securepoint R4 - ich weiß, die ist alt. Aber eine Aufrüstung ist nicht erwünscht zur Zeit (Kundenzitat: funktioniert doch noch). Ich denke das Verhalten dieser alten Version ist in solchen Situationen durchaus anderes als bei neueren. Daher der Hinweis.
Vielen Dank für jeden Tipp.