SP V10 SSL VPN Roadwarrior Traffic Routing durch Tunnel

123edv · Beitrag von **123edv** » Mi 13.07.2011, 10:56

Guten Morgen,

ich habe auf der Firewall Openvpn mit Zertifikaten laut Howto eingerichtet.
Verbindung kann vom Win7 Client aufgebaut werden (Installer Version).
Routing ins interne LAN funktioniert einwandfrei.
Bei Verbindungsaufbau sendet die FW an den Client folgende Routinginfo mit,

(192.168.2.1 war in diesem Fall das GW des Notebook vor VPN Verbindung,
10.20.30.0 ist das interne LAN hinter dem Tunnel)
---8

Tue Jul 12 19:53:32 2011 C:\\WINDOWS\\system32\\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.250.5

Tue Jul 12 19:53:32 2011 C:\\WINDOWS\\system32\\route.exe ADD 10.20.30.0 MASK 255.255.255.0 192.168.250.5

Tue Jul 12 19:53:32 2011 C:\\WINDOWS\\system32\\route.exe ADD 192.168.250.1 MASK 255.255.255.255 192.168.250.5

Wo kann ich auf der Firewall das Routing für die VPN Clients einstellen?

Meine Einstellungen:
Authentifizierung>Benutzer>Standardgateway für Remotenetzwerk: deaktiviert

Vielen Dank für Tipps!
Ralf

Pascalk · Beitrag von **Pascalk** » Mi 13.07.2011, 11:10

Hallo,

haben Sie in Ihrem Regelwerk folgende Regel: SSL VPN > Internet > "beliebiger Dienst" oder SSL VPN > External Interface > "beliebiger Dienst" ?

Die Routen fürs SSL VPN werden mithilfe des Portfilters zum Client gepusht.

Vergleichen Sie die Ziele ihrer SSL VPN Regeln mit den gepushten Routen im Client Log, dort sollte Ihnen der Zusammenhang auffallen...

Gruß
Pascal

123edv · Beitrag von **123edv** » Mi 13.07.2011, 11:28

Hallo Pascal,

im Portfilter habe ich (VPN betreffend) nur eine Regel
Gruppe VPN User > internal Network > any (accept)

??
Ralf

123edv · Beitrag von **123edv** » Do 14.07.2011, 17:26

Hat jemand zu diesem Thema noch weitere Tipps oder Hinwweise für mich?
Bin noch nicht weiter gekommen.

Danke
Ralf

Beitrag von **Erik** » Do 14.07.2011, 18:48

Wenn diese eine Regel oben wirklich die einzige ist, die mit VPN zu tun hat, kann es noch sein, dass

a) in der Client-Config eine Route über den Tunnel gesetzt ist
oder
b) die Option "redirect-gateway" in der Client-Config existiert.

Möglichkeit c):
Es gab auf der Firewall mal eine Regel zu einem Objekt mit der Addresse "0.0.0.0/0" und Sie haben nach der Entfernung ebendieser den OpenVPN-Dienst nicht neugestartet.

123edv · Beitrag von **123edv** » Fr 15.07.2011, 12:06

Erik hat geschrieben: Wenn diese eine Regel oben wirklich die einzige ist, die mit VPN zu tun hat, kann es noch sein, dass

a) in der Client-Config eine Route über den Tunnel gesetzt ist
oder
nein

b) die Option "redirect-gateway" in der Client-Config existiert.

das war die Lösung! Nun würde ich gerne wissen, wie bzw. warum diese "oOtion" von der FW in die Client Config eingetragen wird. Ein nachträgliches bearbeiten der Client Config bei mehr als 15-20 RW erscheint mit nicht sehr praktikabel;-)

Danke und Gruß
Ralf

Möglichkeit c):
Es gab auf der Firewall mal eine Regel zu einem Objekt mit der Addresse "0.0.0.0/0" und Sie haben nach der Entfernung ebendieser den OpenVPN-Dienst nicht neugestartet.

Beitrag von **Erik** » Sa 16.07.2011, 00:32

Naja es gibt da ein Häkchen bei der Konfiguration des SSL-VPN-Clients. Ich würde ja jetzt behaupten, das war gesetzt.