Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Openssl Bug?

Hallo,

ich habe gestern versucht einen OpenSSL Tunnel in zwei Netzwerke zu bauen.
Einmal internal und DMZ1. Habe das ganze zusammengeklickt und "automatische Regeln" im Remote Access angehakt. Soweit zu gut. Als ich mich daraufhin mit dem openssl Gateway verbunden habe konnte ich nur in das interne Netz zugreifen, es war nicht möglich in die DMZ zu gelangen. Erst nach langem suchen und Erstellung einer NAT Rule (Maskerading Rule) die lautet "VPN Pool SSL -> DMZ hat es funktioniert. 
Handelt es sich hierbei um einen Bug? Oder soll das so sein dass es nicht automatisch generiert wird wenn man automatik Rule unter openssl aktiviert?


This thread was automatically locked due to age.
  • Wenn 'DMZ (Network)' auch in 'Lokale Netzwerke' wäre, wuerde's alle klappen - eine Maskierungsregel sollte nicht nötig sein.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ich weiß zwar nicht wie du die DMZ aufgebaut hast aber bei ner DMZ sollte nie was automatisch gehen ^^[:D]

    Bei SSLvpn kannst doch erreichbare netzte oder so angeben ... ist da das dmz dabei ?.

    Maskierungsregel sollte man eigentlich nicht machen müssen. ich denke da fehlt irgendwo ne route von dmz aufs vpn ip pool.

    Wie gesagt keine Ahnung wie dein DMZ aussiieht
  • Ja, dass DMZ Netzwerk ist dabei und habe ich auch hinzugefügt. Ebenso wie ich Automatische Filterregel angeklickt habe. Doch mit diesen Einstellungen geht es nur ins lokale Netz nicht aber in die DMZ. Das funktioniert erst wenn ich die Maskierungsregel definiert und aktiviert habe. Dann funzt das ganze einwandfrei. 
    Habe noch einmal um ganz sicher zu gehen eine neue Astaro Virtualisiert und das sieht das ganze dann genauso aus (7.404).
  • haben deine DMZ Rechner irgendwelche eigenen Policies die z.b. Pakete aus bestimmten Netzen nicht annehmen ? (gutes Beispiel ist hier ein Mailserver bei dem man in der Config Relay Netze definieren muss)
  • mach doch mal folgendes.

    ich gehe davon aus das... du ganz normal von intern auf die DMZ kommst.
    wenn ja dann...
    mach mal nen ip vpn pool mit 2-3 internen ip adressen... geht es dann ohne Maskierungsregel dann fehlt entweder ...

    1. eine route oder
    2. es ist wie x-tec schreibt am server oder firewall(am server) oder programm selber, was die 10er ip's nicht durchlässt