Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro und VR Networld-Homebanking

Guten Tag zusammen,

nachdem ich mit einem (sicher eigentlich kleinen) Problem nicht weiterkomme, wende ich mich hilfesuchend an die User im Forum.

Wir haben eine Astaro V.6.311 und bisher lief die Astaro problemlos.

Nun wollen wir das Homebanking-Programm der Raiffeisenbanken "VR Networld" in der version 3.10 einsetzen und haben uns für die sichere Variante mit HBCI und Chipkarte entschieden.

So weit-so gut: Das Programm benötigt laut Bank den Port 3000 (=Service HBCI) und Zugriff auf den HBCI-Server der Volksbanken (www.hbci-vrbanbk.de). Im Programm wird auch noch ein weitere Server (hbci01.fiducia.de) angesprochen. Ich habe auch noch die Info, dass noch ein anderer HBCI-Server mitspielt (hbci.blb.de). Also habe ich für die 3 Host jeweils einen DNS Hostname-Eintrag in den Definitions erstellt. Diese 3 Hosts habe ich in eine Gruppe gesteckt.
Für das interne Netzwerk (10.10.1.0/24) gibt es ebenfalls einen Network-Eintrag.

Da laut Aussage des Raiba-Mitarbeiters eigentlich nur HBCI und HTTP verwendet werden, habe ich diese Services in eine Gruppe gepackt. Zur Sicherheit habe ich sogar noch HTTPS, FTP+FTP-Controll) dazugepackt.

Und in den Packet Filter Rules habe ich 2 Rules an oberster Stelle definiert:

1) Vom internen_LAN mit den HBCI-Services zu den HBCI-Servern mit Action Allow 

und 

2) den gesamten Blödsinn auch noch umgekehrt (irgendwie habe ich festgestellt, dass ich immer in beide Richtungen freigeben muss damit es klappt).

Trotzdem bekomme ich das Programm nicht dazu, sich mit den VR-Servern zu verbinden und die Kontodaten zu holen.
Er fängt an, geht auf (angebliche) 25 Prozent Fortschritt und bleibt dann hängen. Nach ein paar Minuten bricht er dann mit einem Verbindungsfehler ab.
Er frägt schön brav die PIN über den Kartenleser ab und versucht dann (angeblich) sich mit den Servern der Volksbank zu verbinden.

Ach ja, im Normalfall ist ein Http-Proxy aktiv, diese Option (use Proxy) wurde im Programm aber deaktiviert, so dass das Programm direkt das Standardgateway (10.10.1.3 = int. Adresse der Astaro) nutzt oder nutzen sollte.

Hat hier jemand einen Tipp für mich, was ich falsch mache bzw. wo ich drehen muss?
Oder zumindest einen Hinweis, wo ich nachsehen kann wo das Programm hängt. Das Programm ist unter Winsdows XP SP2 installiert.

Internet (mit Proxy) geht problemlos - nur dieses Homebanking-Teil treibt mich in den Wahnsinn...

Langsam bin ich verzweifelt, selbst ein Versuch mit der Kombination "Any Host" - "Any Service" - "Internes Netz" und umgekehrt an oberster Stelle der Packet Filter Rules  (ja,ja - quasi der Freibrief für alles und jeden) brachte keine Erfolg ...

Vielen Dank schon mal im voraus für Euere Hilfe

kimogmbh


This thread was automatically locked due to age.
Parents
  • Guten Tag zusammen,

    Da laut Aussage des Raiba-Mitarbeiters eigentlich nur HBCI und HTTP verwendet werden, habe ich diese Services in eine Gruppe gepackt. Zur Sicherheit habe ich sogar noch HTTPS, FTP+FTP-Controll) dazugepackt.

    Ach ja, im Normalfall ist ein Http-Proxy aktiv, diese Option (use Proxy) wurde im Programm aber deaktiviert, so dass das Programm direkt das Standardgateway (10.10.1.3 = int. Adresse der Astaro) nutzt oder nutzen sollte.

    Hat hier jemand einen Tipp für mich, was ich falsch mache bzw. wo ich drehen muss?
    Oder zumindest einen Hinweis, wo ich nachsehen kann wo das Programm hängt. Das Programm ist unter Winsdows XP SP2 installiert.

    Internet (mit Proxy) geht problemlos - nur dieses Homebanking-Teil treibt mich in den Wahnsinn...

    Langsam bin ich verzweifelt, selbst ein Versuch mit der Kombination "Any Host" - "Any Service" - "Internes Netz" und umgekehrt an oberster Stelle der Packet Filter Rules  (ja,ja - quasi der Freibrief für alles und jeden) brachte keine Erfolg ...

    Vielen Dank schon mal im voraus für Euere Hilfe

    kimogmbh


    Entschuldigung fuhr mein Deutsch

    ist diese Proxy transparant ?
    Ist deine Firewall in XP-SP2 actieve?
  • Hallo,

    öffne doch mal, bevor Du die Bank kontaktierst, vom Packetfilter das Live-Log. Da kannst Du dann sehen, welche Ports und IP's von welchem Client kontaktiert werden und ob das gedropt wird.

    Ich arbeite mit Starmoney 6.0, habe alles genau wie Du eingerichtet, lediglich die Definition des HBCI nur mit Port 3000 bestückt.
    Ich hatte dann trotzdem keine Verbindung. Bei Starmoney lag es daran, dass ich trotz dem meinen Proxy eintragen mußte, er war als tarnsparent eingestellt. Danach lief es. Du könntets höchstens noch einmal versuchen, in den Einstellungen des IE die Bankserver als Ausnahme einzurichten. Vielleicht liest das Bankprogramm die Proxyeinstellungen automatisch aus und das Flag "keinen Proxynutzung" ist wirkungslos ?

    Gruß Egbert

    PS: Gib mal bitte Feedback, wenn es funzt und woran es lag.
Reply
  • Hallo,

    öffne doch mal, bevor Du die Bank kontaktierst, vom Packetfilter das Live-Log. Da kannst Du dann sehen, welche Ports und IP's von welchem Client kontaktiert werden und ob das gedropt wird.

    Ich arbeite mit Starmoney 6.0, habe alles genau wie Du eingerichtet, lediglich die Definition des HBCI nur mit Port 3000 bestückt.
    Ich hatte dann trotzdem keine Verbindung. Bei Starmoney lag es daran, dass ich trotz dem meinen Proxy eintragen mußte, er war als tarnsparent eingestellt. Danach lief es. Du könntets höchstens noch einmal versuchen, in den Einstellungen des IE die Bankserver als Ausnahme einzurichten. Vielleicht liest das Bankprogramm die Proxyeinstellungen automatisch aus und das Flag "keinen Proxynutzung" ist wirkungslos ?

    Gruß Egbert

    PS: Gib mal bitte Feedback, wenn es funzt und woran es lag.
Children
  • Hab mir nochmal meine eigene VR-Networld Konfiguration genauer angeschaut:

    VR verwendet Port 80 nur für Updates (Extras/Programmaktualisierungen)
    Hier werden auch per default die Proxy-Werte vom IE übernommen.
    (Aktuelle Version von VR ist ist 3.21)

    Für Funktionen wie Alle Konten aktualisieren (Blauer Button mit 3 Ausrufezeichen) oder Senden wird nur TCP Port 3000 verwendet.

    Was noch sein kann, daß die Konten NICHT für HBCI freigeschaltet sind (bei der Bank). Dann kann man lange auf der Astaro suchen.

    Gruß

    Gregor Kemter
  • Hallo Zusammen,

    vielen Dank für die zahlreichen und hilfreichen Tipps und Postings - schön dass man so schnell und prompt Hilfe bekommt.

    Ich muss mich wegen der verspäteten Antwort entschuldigen - aber ich kam erst heute dazu Eure Hinweise auszuprobieren.

    - Also das Konto ist definitiv für Homebanking mit HBCI freigeschaltet - das war's schon mal nicht [:S] 
    - Im LiveFilterLog sieht man (jedenfalls ICH nicht [:D] ) auch nichts auffälliges... [:@]   
    - Das Flag "kein Proxy" ist wirksam (hab's nicht getestet, aber da es jetzt geht und ich die Bankserver NICHT als Ausnahme im IE eingetragen habe, muss das Häkchen wirken...)

    And the Winner is: Ein korrektes Masquerading...! 
    Kaum trägt man die beiden VRBank-Hosts bzw. die Gruppe mit den VR-Bank-Hosts in das Masquerading ein - schon funzt es mit dem Verbinden...
    Ich habe die Konfiguration bzw. die Verwaltung der Astaro von einem anderen übernommen und dachte, dass er das Masquerading korrekt eingestellt hat.
    Und Gregor mit seinem Tipp:
    Also eigentlich kann man da nicht so viel falsch machen.
    HBCI Definition TCP 1024:65535 -> 3000
    PacketFilter internes Netz -> HBCI -> Any (oder die 3Hosts).
    Masquerading interes Netz -> Wan

    hat mich dann auf die richtige Schiene gebracht...
    Bei "WAN" war nur der alte (wahrscheinlich ungültige) VR-Host eingetragen - als kurz die Regel editiert und die VR-Banken-Host-Gruppe eingesetzt und schon lief der Blödsinn wie geschmiert...
    Ich habe nun auch nur den Service HBCI in den Rules freigegeben und die von mir erstellte Service-Gruppe gelöscht.
    Und natürlich habe ich das Scheunentor (ANY-ANY-INT. NETZ) auch wieder entfernt... :lol:

    Danke noch mal an alle

    kimogmbh