Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 38 subscribers
  • Views 5970 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.x und Cisco 800 Series VPN DMZ

FischerFrank
Hallo,
ich hoffe das mir jemand helfen kann oder mir nen passenden "wink" mit dem Zaunpfahl geben kann [:)]

Folgendes Szenario  in Betrieb ist eine ASG 8.3x mit 3 Interfaces ( LAN 1 Intern , LAN 2 DMZ , LAN 3 WAN )

Internet und VPN alles funktioniert.

Jetzt mein Problem
auf der DMZ hängt eine Cisco 800 Box, die soll bzw muss per VPN erreichbar sein also habe ich alles was Entsprechend benötigt wird weiter geleitet 1:1 an die Cisco box.

Protokoll   Port
---------   ----
GRE (47)
ESP (50)
AH  (51)
udp (17)    500,4500
tcp (6)     10000


Hintergrund Firma X greift per VPN auf diese Box zu um später über diese wieder ins Netzwerk LAN 1 zu kommen. ( gaga ich weiß aber wird so gewünscht )

Allerdings wird keine Verbindung aufgebaut, hat mir jemand einen Tip?
Weiterleitung funktioniert da auf gleichem Weg, SSH auf das System also der Cisco möglich ist.

gruß und danke 
Frank


This thread was automatically locked due to age.
  • 0
    Hallo Frank,

    Wenn etwas fremd erscheint, immer in der Protocolldatei des Angriffschutzsystems schauen.  In diesem Falle, würde ich UDP-Flood-Schutz verdächtigen.

    'was gefunden ?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,
    danke für deine Antwort.

    ich hab das Angriffsschutzsystem auch schon mal deaktiviert um das auszuschließen. 

    Leider bekomm ich von denen die das Cisco Gerät eingerichtet haben keine zureichende Informationen ob eine Außenstelle oder das Cisco Gerät vor Ort die Verbindung aufbaut. Dann könnt ich wenigstens prüfen ob die IP Auftaucht.

    Die Weiterleitung funktioniert, wenn ich eine davon Clone und den Zielhost ersetze kann ich bsp. von Außen via Port 80 oder 22 auf das Test Gerät zugreifen.

    gruß 
    Frank
  • 0
    Frank, Wenn man das Angriffsschutzsystem deaktiviert, bleibt UDP-Flood-Schutz  immer in Betrieb. Gib mir nach - kiek'ma in der Protocolldatei. [:)]

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,

    wenn du die Option meinst Network Security => Angriffsschutz => Anti-DoS/Flooding da ist alles inaktiv.

    gruß Frank
  • 0 in reply to FischerFrank
    Hallo Bob,
    ich hab nun einmal was erwischt ausgehend 
    IP vom Cisco nach Fremde IP Port 4500

    mehr leider nicht [:(]

    gruß Frank
  • 0 in reply to FischerFrank
    Hallo Bob,
    sag mal kannst du mir folgendes erklären
    Wenn ich im LiveLog schaue 

    habe ich immer wieder folgende einträge:

    einmal akzeptiert und dann DROP [:S]

    12:25:55 Connection using NAT TCP 18.228.39.223 : 17657 → 21.186.176.115 : 4081 [SYN]

    12:25:55 Default DROP TCP 18.228.39.223 : 17657 →
    21.186.176.115 : 4081 [RST]
  • 0
    (Sorry, Frank, my German-speaking brain isn't working at the moment. [:(])

    "Anti-DoS/Flooding da ist alles inaktiv." - Thanks for confirming.  Most people don't realize that disabling IPS doesn't disable the selections on that tab.

    There isn't very much information in the Firewall Live Log - it's always better to post the same lines from the full log file.  Just guessing...

    The first line shows there's a NAT rule, and the packet likely is allowed to the internal server by a separate firewall rule.  The second line is from the same remote IP, and it's trying to reset the connection because it didn't get a response from the connection it initiated with the first packet.  I guess 18.x.y.223 is the remote Cisco, and 21.x.y.115 is the IP of "External (Address)" - and that they trying to configure the Cisco inside your network.  Maybe you could try a temporary rule: '{Cisco} -> Any -> {18.x.y.223} : Allow'.

    I think you have everything correct in the Astaro for IPsec and that they need to fix the Cisco configurations.  They should check their IPsec logs to confirm, but I think I know what's happening.  The Cisco in your location is using its IP address as part of the authentication calculation, so, as soon as the remote Cisco gets the final message in Phase 1, it discards it because the encrypted IP doesn't match the source of the packet.

    This would be easy to fix if they had an Astaro on their end. [;)]

    MfG - Bob (Bitte auf Deutsch weiterhin !)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,

    bei Network Security => Firewall habe ich DMZ ( Network ) ANY => Internet IPV4
    eingetragen und Aktiv.

    logfiles bereit ich vor und schick sie mal zu.

    This would be easy to fix if they had an Astaro on their end

    TRUE !!!!



    gruß 
    Frank
  • 0
    Hallo Frank,

    Wir kriegen das gleich hin!  Bitte ein Bild der Paketfilterregel-Nr.5 uns zeigen.  Und auch die vier Linien von 17:57:46 von der Protokolldatei, nicht die von der LiveLog.  Wir müssen die IPs erkennen kônnen, also zeige, zB, 21.186.176.115 als 21.x.y.115.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson



    Anbei die Logs Direkt:


    2012:09:12-17:57:46 gateway ulogd[5479]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="60021" initf="ppp0" srcip="198.208.19.***" dstip="2xx.111.176.235" proto="6" length="60" tos="0x00" prec="0x00" ttl="53" srcport="13528" dstport="4081" tcpflags="SYN" 
    2012:09:12-17:57:46 gateway ulogd[5479]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="198.208.19.***" dstip="2xx.111.176.235" proto="6" length="40" tos="0x00" prec="0x00" ttl="53" srcport="13528" dstport="4081" tcpflags="RST" 
    2012:09:12-17:57:46 gateway ulogd[5479]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="198.208.19.***" dstip="2xx.111.176.235" proto="6" length="40" tos="0x00" prec="0x00" ttl="53" srcport="13528" dstport="4081" tcpflags="RST" 
    2012:09:12-17:57:46 gateway ulogd[5479]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="5" initf="eth0" outitf="ppp0" srcmac="0:c:29:79:41[:D]2" dstmac="0:40:f4:7c:7c:fd" srcip="10.62.9.30" dstip="198.208.39.241" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="56057" dstport="4081" tcpflags="SYN" 

    zu dem Port 4081 gehört diese NAT

    Danke
    gruß Frank
Unfiltered HTML