Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASC IKE-Fehler

Modell: ASG320, Firmware version:  7.405, Pattern version:  10378 

Seit ich den Zugriff für owa über extern konfiguriert habe, klappt der Zugriff der Remote Access über ASC nicht mehr.

Folgende Konfig:
Network - Interfaces - Additionel Adresses: Exchange_Public on interface External (WAN)

Network Security - Nat - DNAT/SNAT: 
Traffic selcttor:  Any --> HTTPS_neuer_Port -> Exchange_Public 
Destination Translation: Exchange -> HTTPS

Packetfilter: Any HTTPS -> Exchange_Public

OWA funktioniert einwandfrei!


This thread was automatically locked due to age.
  • Verwendet RemoteAccess eventuell auch 443 ?

    Gregor Kemter
  • Remote Access SSL ist aus - kann ich das denn für IPSec einstellen?
    Ich vermute, dass alle Anfragen auf die externe IP jetzt an den Exchange-Server gehen?!Muss ich evtl. eine SNAT Rule für IPsec erstellen?
  • Ich bin schon ein bisschen weiter:
    Habe eine weitere DNAT Regel erstellt:
    Network Security - Nat - DNAT/SNAT: 
    Traffic selcttor: Any --> IPSec - IKE-> External (Address)
    Destination Translation: Internal (Adress) -> IPSec IKE
    Packetfilter: Any -> IPSek - IKE  -> External (Address)

    Trotzdem bekomme ich im PacketFilter Log: 
    14:55:47 Default DROP UDP Client-IP : 500 
     → Externe_IP : 500 
     len=300 ttl=128 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:1a:8c:17:47:70
  • Remote Access SSL ist aus - kann ich das denn für IPSec einstellen?
    Ich vermute, dass alle Anfragen auf die externe IP jetzt an den Exchange-Server gehen?!Muss ich evtl. eine SNAT Rule für IPsec erstellen?



    Ich dachte du benutzt den SSL VPN Client, der kollidiert gerne mit https.
    Ipsec hat nix mit https zu tun, und sollte auch mit owa gehen.
    Für ipsec brauchst auch keine snat/dnat Regeln, da der Endpoint auf dem Wan-Interface liegt.

    Ich denke du hast beim einrichten von OWA, aus versehen was anderes verfummelt [:)]

    Gregor Kemter
  • Das mit dem IPSEC habe ich nicht verstanden.
    Aber wenn ich Dein erstes Posting lese, fällt mir eines auf:
    Du NATest sowohl den Port als auch die IP.
    In der PacketFilter-Regel beziehst Du Dich aber auf die externe Exchange_IP.
    Da NATing vor den PF-Regeln kommt, müsste es nach meiner Meinung so aussehen:
    >> Packetfilter: Any HTTPS -> Exchange 

  • Ich denke du hast beim einrichten von OWA, aus versehen was anderes verfummelt [:)]

    Gregor Kemter


    Das könnte wohl sein... läuft aber [;)]
  • Das mit dem IPSEC habe ich nicht verstanden.
    Aber wenn ich Dein erstes Posting lese, fällt mir eines auf:
    Du NATest sowohl den Port als auch die IP.
    In der PacketFilter-Regel beziehst Du Dich aber auf die externe Exchange_IP.
    Da NATing vor den PF-Regeln kommt, müsste es nach meiner Meinung so aussehen:
    >> Packetfilter: Any HTTPS -> Exchange 


    Das habe ich jetzt mal versucht - owa läuft weiterhin - Remote mit IPSec weiterhin nicht...
  • Ah, jetzt sehe ich das Kürzel 'ASC' und verstehe Dein erstes Posting... sorry war ein bissel müde heute Nacht ;-)
    Wie ist denn Dein IPSEC Tunnel definiert ? Sprich: Welches Remote-Netzwerk sehen denn die Clients ?
    Welche IP sprechen denn die ASC-User an, die externe oder die interne ? Eigentlich wohl eher die interne, dann passt nämlich auch wieder die Regel (für beide Fälle).
    Karsten
  • Die Frage "Welches Remote-Netzwerk sehen denn die Clients?" verstehe ich nicht ganz?! Der User ist für "Use static remote access IP" 10.242.4.1 konfiguriert.
    Im ASC ist die externe IP angegeben.
  • OK, das war missverständlich.
    Der User hat eine Adresse aus dem Bereich 10.242.4.0/24
    Im Profil des ASC gibt es einen Menüpunkt, der lautet \VPN IP-Netze.
    Dort steht das Netzwerk drin, daß der User erreichen soll/darf/kann.
    Diese hast Du ja auch so in der ASG in der IPSec-Konfig definiert.
    Nun meine Frage: Ist in diesem Netzwerk auch Dein Exchange-Server ?

    Ich hätte vermutet, daß
    - externe User ohne ASC die öffentliche-Exchange-IP nehmen
    - externe ASC User die interne-Exchange-IP nehmen (die innerhalb des Ihnen zugänglichen Netzwerkes liegt).

    Dann würde für erstere das NATing greifen und für alle beide die PacketFilter-Regel gelten.

    War es jetzt verständlicher ?
    Gruss, Karsten