Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 1537 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filter Rule in S2S VPN

cydu
Guten Morgen,

Ich habe schon wieder eine Frage, momentan habe ich ein S2S VPN zwischen 2 7.104er ASGs. Das VPN funktioniert wunderbar, solange ich die auto packet filter rule aktiviert habe. Schalte ich diese jedoch aus, und richte gemäss dokumentation (s2s vpn via X.509) manuell eine Packet filter rule ein. Funktioniert kein Zugriff mehr (server zugriff, mstsc...)

Die Regel welche ich erstelle auf der jeweiligen ASG:
Source: remote network
Service: any
Destination: Internal LAN
Action: allow [:D]

Die Regel hat oberste priorität. Static Route ist nicht definiert, und an den NAT einstellungen wurde auch nichts speziell eingerichtet.

Sobald ich aber wieder die Option auto packet filter rule aktiviere, funktioniert der Server Zugriff, sowie aucvh mstsc.[:S]

Danke im Voraus [H]


This thread was automatically locked due to age.
  • 0
    Hallo cydo, 

    wenn du fuer einen VPN Tunnel den "Auto-Packfilter" einschaltest werden zwei regeln erstellt:
    sowie
    Source: Internal LAN
    Service: any
    Destination: remote network
    Action: allow 

    Source: remote network
    Service: any
    Destination: Internal LAN
    Action: allow 

    Wenn die diese beiden regeln auf beiden gateways einfuegst sollte alles funktionieren. 

    Um herauszufinden warum du welche Regel brauchst kannst du das Logging auf den beiden regeln anschalten. Danach kannst du im PacketFilter Livelog sehen welche verbindung von welcher Packetfilter regeln erlaubt wurde. 

    Ich denke zu hast verbindungen die von beiden seiten aufgebaut werden, deshalb funktioniert es mit einer regel nicht. 

    Ich hoffe das hilft dir weiter.

    GRuss GErt
  • 0 in reply to Gert Hansen
    Hallo Gert und danke für deine antwort,

    Ja das s2s vpn wird von beiden seiten aufgebaut.
    Ich hab jetzt wie du gesagt hasst, auf beiden ASGs jeweils die beiden regeln erstellt.

    Source: Internal LAN
    Service: any
    Destination: remote network
    Action: allow 

    Source: remote network
    Service: any
    Destination: Internal LAN
    Action: allow 

    Jedoch ohne erfolg. ich bekomme so immernoch keine verbindung. der tunnel läuft erst einwandfrei, wenn ich den auto paket filter einschalte.

    im livelog ist zu sehen, dass die pakete vom netz A ins netz B, schon auf der ASG A gedropt werden, obwohl ich die Regeln erstellt habe [:S]

    muss ich sonst noch speziell auf etwas achten? NAT/Masc?

    gruss
  • 0 in reply to cydu
    Hy Cydu, 

    that is strange.
    Can you send me the packetfilter.log that shows which packets get dropped, es well as the  Support package. This is a zipfile that holds many information including the active packetfilter ruleset. 

    You can find it in WebAdmin > Support > Advanced > Config Dump, than click "Download Support package".
    You can email me at "ghansen at astaro dot com".

    mfg
    Gert Hansen
Unfiltered HTML