Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 5 subscribers
  • Views 1394 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM blockiert erlaubten Verkehr zu Adressen über statische Routen

Si Bie

Hallo zusammen,

 

ich weis nicht mehr weiter und hoffe auf Hilfe.

 

Ausgangssituation:

Ich habe eine statische Route angelegt, die zu einem VPN-Gateway führt, um nicht am VPN-Gateway NATen zu müssen (brauch ich).

Ich habe das VPN-Client-Netz als Netzwerk-Definition (ohne Schnittstellenbezug, ich habe die RULEZ gelesen) angelegt und in die Gruppen der "internen NEtze" aufgenommen, für die Firewallregeln gelten und auch funktionieren.

 

Problem:

Ausgehender Traffic von den VPN-Clients zu Zielen in internen Netzwerken funktioniert (also die SYN-Pakete gehen durch die FW durch). Jedoch werden SYN-ACK-Pakete der Dienste (Also die Beantwortung der Kontaktaufnahme) an der UTM mit der Default Deny Regel geblockt.

 

Konfig:

Statische Route als Gateway-Route mit Netz-Alias (10.0.0.1/24) und VPN-Gateway-IP-Adresse, Metrik 5 (Standard)

Firewallregel: Alle internen Netze (enthält VPN-Client-Netz) --HTTPS (TCP:443) --> Webserver

 

Logauszug:

2020:03:12-11:54:08 utm ulogd[32035]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0.4" outitf="eth5.3" srcmac="00:XX:XX:48:a6:99" dstmac="00:XX:XX:f0:0e:40" srcip="192.168.10.201" dstip="10.0.0.233" proto="6" length="52" tos="0x00" prec="0x00" ttl="63" srcport="443" dstport="54031" tcpflags="ACK SYN"

 

Freue mich auf Eure Hilfe.

Gruß



This thread was automatically locked due to age.
  • 0

    Hallo,

    bitte eine kurze Erläuterung, wie die Geräte Netzwerk, Sophos und VPN-gateway zusammengeschaltet sind.

    Auch die Logzeile, in welcher die Traffic zugelassen wird (zusammen mit der bassenden BLOCK-Zeile) wäre hilfreich.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • +1 in reply to dirkkotte

    Hallo Dirk,

     

    danke für Deine schnelle Antwort und die Rückfrage. Ich hab das Problem beim 2. Tracking-Versuch mit Logging gelöst.

     

    Das Problem lag daran, dass das VPN-Gateway auch ein zweites Beinchen im Servernetz hatte, was dazu führt, dass die UTM das SYN-Paket nicht sieht - weil das direkt im Netzwerk über das VPN-Gateway-Beinchen landete, statt über die UTM geht.

    Mein Problem lag also nicht an der UTM, sondern am Routing drumherum. Ich markiere es damit als Gelöst.

     

    Danke und Gruß.

  • 0 in reply to Si Bie

    Hallo Si Bie,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    We don't know enough about this to make any recommendations, but it sounds like you might not yet master the WebAdmin paradigm.  I'll tell you that it costs companies twice as much to have me "fix" a configuration that's the first one done by a very talented CCIE.  Es ist wie eine andere Sprache.

    Does Accessing Internal or DMZ Webserver from Internal Network address your issue?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML