Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 4930 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP-SEC Verbindung wird hergestellt, komme nicht ins Netz

mordy
Hallo zusammen,

ich habe ein Problem bei der VPN-Verbindung. Ich verwende den Astaro Secure Client um eine Verbindung zur Firewall aufzubauen.

Im Prinzip habe ich mich bei der Einrichtung an das Handbuch "Astaro Secure Client V9 Configuration Guide Astaro Security Gateway V7" gehalten.

Ich verwende u. Anderem die "X.509 Certificate"-Methode.

Der Verbindungsaufbau klappt auch, doch leider kann ich keine Verbindung zu einem Server im internen Netz aufbauen. Weiterhin finde ich es auch sehr merkwürdig, dass der Client bei der Verbindungsherstellung immer eine 192er IP bekommt, obwohl das nirgends konfiguriert wurde. Der IP-Sec-Pool wird demnach nicht verwendet, denn der beginnt ja mit 10.*.*.*

Das Handbuch hilft leider nicht wirklich weiter. Ich hoffe jemand von Euch hat einen Tipp.

Danke schon mal!


This thread was automatically locked due to age.
Parents
  • 0
    mordy,

    als erste Frage, hast Du auf der Roadwarriorseite genattetes IP? Denn dann mußt Du dem user eine feste virtuelle IP geben, damit es funktioniert.
    Wie steht es mit auto paket filter?
    Und erlaubt der interne Server Zugriff von externen Netzen?
  • 0 in reply to wk_03
    Hallo mordy,

    bist du hierbei weitergekommen?

    Ich versuche gerade ebenfalls ein VPN (IPSEC) zwischen Laptop und Firewall aufzusetzen, allerdings nicht mit dem Astaro Client sondern mit dem original NCP-Client v8.3. Bekomme dabei ebenfalls dasselbe Verhalten: Der VPN-Tunnel wird ordentlich aufgebaut, doch der Zugriff auf das interne LAN funktioniert nicht. Für mich sieht es so aus als ob das Default Gateway nach Aufbau des Tunnels nicht korrekt gesetzt wird, es zeigt immer noch auf die "offizielle" IP der Firewall. Allerdings weiß ich nicht wie man das Gateway für den VPN-Tunnel so setzen kann daß es hinhaut.

    Vielleicht ist es auch was anderes...

    Grüße
    alex
  • 0 in reply to alex.braun
    Hallo mordy, hallo alex,

    könnte es eventuell sein, dass ihr zusätzlich auch noch den ssl-vpn-client installiert habt?

    ich hatte gerade das gleiche problem und nachdem ich den ssl-vpn-client deinstalliert habe funktioniert es so, wie ich das gewohnt bin. werde mal einen support case bei astaro aufmachen!

    Gruß, Mario
  • 0 in reply to quasar3c279
    Hi Mario,

    zwischenzeitlich ist das Problem (mit Hilfe des Astaro Support) gelöst. Ich war wohl etwas übereifrig mit der Sicherheit und habe unter Network Security >> Packet filter >> Advanced >> Protocol handling die Spoof protection auf Strict gestellt. Dadurch gab es Probleme bei der IP-Adreßvergabe für den VPN-Client (z.B. war kein Gateway vergeben). Seitdem die Spoof protection auf disabled steht geht alles wunderbar.

    Grüße
    Alex
  • 0 in reply to alex.braun
    Hallo zusammen,

    ich habe mich jetzt länger nicht mehr um das Thema mit IP-Sec gekümmert, aber das Problem besteht nach wie vor.

    Witzigerweise habe ich jetzt mehrere Sezenarien:

    PPTP: geht ohne Probleme
    IPSEC: geht nicht
    SSL-Client: geht nicht (gleiche Prob. wie bei IPSEC)

    Nach dem ich mit dem Support von Astaro gesprochen habe, fragte der "...haben sie denn an dem Server die Astaro als Gateway eingetragen?)

    Da ich das nicht hatte, habe ich es mal entsprechend geändert und siehe da, ich komme auf den Server - nur: Das hilft mir überhaupt nicht!

    Wir haben nämlich einen Router im Keller, der uns mit unseren Aussenstellen verbindet, ändere ich jetzt an unserens Servern den Gateway würde mir die Aussenstellen das doch eher übel nehmen, da sie dann keine Verbindung mehr in unser Netz haben.

    Die Frage die sich mir aber hauptsächlich Stellt: Wieso muss ich für IP-Sec und den SSL-Client den Gateway am Server den ich erreichen will ändern, und wenn ich eine Verbindung per PPTP herstelle, geht es so?!?

    Vielleicht stehe ich da auch gerade auf der Leitung aber es wäre schön wenn jemand dafür eine Erklärung, besser noch eine Lösung parat hat [:)]

    Vielen Dank

    Grüße aus Niedersachsen

    Mordy
  • 0 in reply to mordy
    Moin,

    Mit dem def. Gateway ist die Sache eigentlich ganz logisch:
    Dein Client von aussen kommt ins Netz und findet auch deinen Server. Dieser möchte antworten, da sich die IP aber ausserhalb seines Netzes befindet klappt das nicht. Die Lösung ist "relativ" einfach.

    Da du ja ein Default Gateway hast musst du auf diesem die Route für dein VPN-Netz setzen. 
    Ergo: Wenn dein VPN Netz von draussen nach drinnen 172.16.1.x ist, dann bekommen alle Clients von aussen eine IP aus dem Bereich. Um es nun für deine internen Server zu ermöglichen diese Clients auch zu erreichen richtest du auf dem Server der die Default Route darstellt folgende statische Route ein:
    route add -net 172.16.1.0/24 gw IP-DER-ASTARO.

    Dann sollte das Ganze auch funktionieren.

    Grüße

    Schroeder
Reply
  • 0 in reply to mordy
    Moin,

    Mit dem def. Gateway ist die Sache eigentlich ganz logisch:
    Dein Client von aussen kommt ins Netz und findet auch deinen Server. Dieser möchte antworten, da sich die IP aber ausserhalb seines Netzes befindet klappt das nicht. Die Lösung ist "relativ" einfach.

    Da du ja ein Default Gateway hast musst du auf diesem die Route für dein VPN-Netz setzen. 
    Ergo: Wenn dein VPN Netz von draussen nach drinnen 172.16.1.x ist, dann bekommen alle Clients von aussen eine IP aus dem Bereich. Um es nun für deine internen Server zu ermöglichen diese Clients auch zu erreichen richtest du auf dem Server der die Default Route darstellt folgende statische Route ein:
    route add -net 172.16.1.0/24 gw IP-DER-ASTARO.

    Dann sollte das Ganze auch funktionieren.

    Grüße

    Schroeder
Children
No Data
Unfiltered HTML