packed drop fehler zweite SSLVPN Verbindung S2S

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jens.manke
Beiträge: 25
Registriert: Mi 03.02.2016, 23:13

packed drop fehler zweite SSLVPN Verbindung S2S

Beitrag von jens.manke »

Hallo zusammen,

wir haben eine zweite S2S SSLVPN Verbindung zur selben Firewall konfiguriert. Der Tunnen scheint zu stehen, allerdings klappts mit dem Traffic noch nicht ganz.

Aufbau:
1 x RC100 als SSLVPN Server
2 x Black Dwarf als SSLVPN Clients

Gleiches Server Zertifikat, zwei Client Zertifikate

Erstes VPN arbeitet korrekt.

Beim zweiten VPN erhalten ich folgende Fehlermeldung im Log der RC100:

James S2S SSL-VPN/217.87.176.25:41500 MULTI: bad source address from client [192.168.99.2], packet dropped

Wir haben überprüft:
- Routen
- Firewall-Regeln
- Firewall Objekte

Hat jemand eine Ahnung, was das noch sein kann?

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

habe genau das selbe Problem.

Ich hab mehrere SSL-VPN-Roadwarrior-Verbindungen - die funktionieren.

Habe jetzt eine S2S hinzugefügt (Server = Kunden-UTM, Client = meine UTM). Laut GUI ist diese auch aufgebaut.
In meinen Log seh ich wie er die Pakete zulässt, im Log beim Kunden seh ich die selbe Fehlermeldung ausgegeben von openvpn. Komm da auch nicht weiter momentan.

Gruß

E: beide V. 11.6.3 (Final)

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Eine "bad source address" gibt es immer dann, wenn der SSLVPN-Server nicht weiß, hinter welchem Tunnel diese Adresse zu finden ist. Dazu muss ein SSLVPN-Client-Remote mit dem korrekten Zertifikat und dem korrekten Netz hinter dem Tunnel angelegt werden. Danach muss dieses Remote noch der jeweiligen Server-Instanz zugeordnet werden (SSLVPN-Server-Instanz bearbeiten -> zweiter Tab)

jens.manke
Beiträge: 25
Registriert: Mi 03.02.2016, 23:13

Beitrag von jens.manke »

Hallo Erik,

danke für die Antwort, kurze Detailfrage zu dem "was wo" angelegt werden muss.

Ich habe die RC100 als Server und die Black-Dwar als Client. Wo muss jetzt was angelegt werden? Im SSLVPN Server habe ich im dritten Tab die "remote-client" Profile. Soll ich hier das zweite Profil zufügen?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Genau.

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Dummheit am Sonntag :D
Die Remote-Einstellungen hatte ich alle angegeben, allerdings fehlte beim Remote-Netzwerk ein "/24"

Kaum macht mans richtig... ;)

Danke und Gruß

Antworten