Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 2274 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf den SSL VPN Pool?

Ch33k
Hallo zusammen. Ich bin FiSi im 2. Ausbildungsjahr und habe ein kleines Problem mit der SSL VPN Funktion des ASG V7.5.

ASG läuft in einer VM auf einem ESXi 3.5. Ich habe dort SSL VPN eingerichtet, welches auch zu meiner vollsten Zufriedenheit funktioniert. Die Clients bekommen eine IP aus dem VPN Pool und durch die Route die der Astaro SSL VPN Client einem mit gibt, habe ich Zugriff auf alle Systeme im Zielnetzwerk (192.168.1.0/24) in dem auch die Astaro steht (so ist es momentan auch gewünscht). 

In dem Netz  in dem sich die Astaro aufhält, gibt es noch einen Client mit dem ich gerne Zugriff auf die Rechner haben möchte die sich im SSL VPN Pool befinden. Ich hatte hier an eine simple Route in das 10er Netz gedacht, die ich auf dem Client des Zielnetzwerkes (192.168.1.0/24) eintrage. Leider funktioniert das ganze nicht so wie ich es mir vorgestellt habe.  Ich habe die Route folgendermaßen definiert: route add 10.242.2.0 MASK 255.255.255.0 192.168.1.2 (IP des Clients der Zugriff auf den VPN Pool haben soll).

Habe ich einen Fehler in der Route gemacht, oder geht mein Lösungsansatz in die falsche Richtung? Meine VPN Kenntnisse sind leider noch sehr beschränkt, da ich mich mit dieser Thematik noch nicht beschäftigen musste, ich bitte dies zu entschuldigen. 

Ein kleiner Tip was ich falsch mache und wie es funktionieren könnte würde mir schon sehr helfen.

Gruß Ch33k.


This thread was automatically locked due to age.
Parents
  • 0
    Hallo erstmal und danke für deine schnelle Antwort.
    Ich möchte vollen Zugriff auf den Rechner im VPN Pool haben. 
    Also muss ich im Paketfilter folgendes definieren: Source 192.168.1.2 (Host bereits hinzugefügt unter Definitions)  Service: Any. Destination: SSL VPN Pool.
    Muss ich nicht zusätzlich noch mit einer Route arbeiten damit der Rechner mit der IP 192.168.1.2/24 überhaupt Zugriff auf das 10er Netz hat?
    Gruß Ch33k.
  • 0 in reply to Ch33k
    Da sich der Client ja direkt mit dem Gateway verbindet und du bei ihm eingetragen hast das er das Source Netz (in dem du ja bist) erreichen kann, sollte die Packetfilterregel ausreichen.

    Bin grad nicht in meiner Testumgebung wo ich dies nachgucken kann. versuch doch einfach mal einen Service dort zu erreichen nachdem du die Regel eingeschaltet hast und guck mal in der Livelog was die dazu sagt.
Reply
  • 0 in reply to Ch33k
    Da sich der Client ja direkt mit dem Gateway verbindet und du bei ihm eingetragen hast das er das Source Netz (in dem du ja bist) erreichen kann, sollte die Packetfilterregel ausreichen.

    Bin grad nicht in meiner Testumgebung wo ich dies nachgucken kann. versuch doch einfach mal einen Service dort zu erreichen nachdem du die Regel eingeschaltet hast und guck mal in der Livelog was die dazu sagt.
Children
  • 0 in reply to Tigershark
    Hallo erstmal und danke nochmals für deine Hilfe.
    Ich habe vergessen etwas zu erwähnen, tut mir leid. Der Client hat als default Gateway nicht die Astaro eingetragen sondern seinen Netgear Router mit der IP 192.168.1.100/24. Der ESXi auf dem die Astaro läuft verfügt momentan nur über eine NIC. Somit hängt die Astaro sozusagen nur als zusätzlichen "Service" im Netz und spielt nicht das default Gateway. Dies kommt erst wenn die Dual Port Karte angekommen ist. Solange muss das ganze erstmal so laufen. Daher auch meine Überlegung eine Route zum VPN Pool auf dem Client einzutragen. Momentan dient die Astaro nur bei Bedarf als POP3 / HTTP Proxy und soll halt eine VPN Verbindung bereitstellen. 

    Momentan bin ich auf der Arbeit und die Sidewinder die hier steht hat was dagegen das ich mich per VPN einwähle :-) daher kann ich das ganze erst testen wenn ich zu Hause bin. 

    Bei dem Lösungsansatz den du vorgeschlagen hast, nur die Services für das entsprechende Netz freizuschalten wird deshalb nicht funktionieren da die Astaro nicht das Gateway ist oder?

    Sorry nochmals und danke für deine Mühen.
    Gruß Ch33k.
  • 0 in reply to Ch33k
    na dann ändert sich das Bild. Richtig!
    Bin hier natürlich vom default GW ausgegangen. 


    Wenn ich jetzt richtig liege, musst du an deinem Client eine Route festlegen das du in das Netz über die Astaro kommst.

    die Packetfilter Regel musst du dennoch beibehalten.

    teste deine Route mit tracert(unter windows/ansonsten traceroute) ob du den richtigigen weg gehst.
  • 0 in reply to Tigershark
    Hallo erstmal.
    Läuft jetzt alles so wie es sein soll.
    Danke für die Hilfe und bis zum nächsten mal :-)
Unfiltered HTML