Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 4590 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mit VPN kein Zugriff ins LAN

Simon Caprez
Hallo Zusammen

Ich arbeite seit gut 2 Jahren mit einer Astaro, muss aber dazu sagen, dass ich sie nicht konfiguriert habe. Ich wurde einfach instruiert, wie ich einfache Änderungen bei Paket-Filtern usw. machen kann. 

Um mein Netzwerk Zuhause zu sichern und via VPN immer auf meine Daten zu kommen, habe ich mir jetzt auch eine Astaro eingerichtet. Dies funktioniert auch hervorragend und anhand des Manuals konnte ich eigentlich alle Wünsche erfüllen.

Selbst VPN mit dem Cisco VPN Client konnte ich problemlos einrichten und kann die VPN-Verbindung auch herstellen. Leider komme ich damit nicht in mein lokales Netzwerk. Hier die wichtigsten Einstellungen, die ich vorgenommen habe:

Cisco VPN (Astaroseitig):
Schnittstelle: External(WAN)
Serverzertifikat: Local X509 Cert
Pool-Netzwerk: VPN-Pool (Cisco)
Benutzer und Gruppen: VPN
Lokale Netzwerke: LAN (Network)

Die automatische Paketfilterregeln sind aktiviert.

Weitere Informationen würde ich bei Bedarf nachliefern.

Leider komme ich nicht auf das lokale Netzwerk (192.168.1.x)

Ich habe folgendes erfolglos versucht:

- Benutzer fixe RAS-IP zugewiesen
- VPN-Pool (Cisco) IP-Range auf 192.168.1.0 gesetzt
- Paketfilterregel: VPN-Pool (Cisco) --> any -->LAN (Network)
- Das Ganze mit den anderen VPN-Typen versucht

Ausserdem habe ich das Manual im Bereich "Benutzerkonten" und "Fernzugriff" mehrmals gelesen und das Ganze schon mehrmals versucht, jedoch keine Lösung gefunden.

Kennt jemand das Problem bzw. dessen Lösung oder kann mir einen Tipp geben, was ich übersehen oder falsch konfiguriert habe.

Freundliche Grüsse
Simon Caprez


This thread was automatically locked due to age.
  • 0
    VPN-Pool darf nicht die selbe sein...

    setzt mal statt ner gruppe nur den user rein. ich hab irgendwo gelesen das wenn man Local X509 cert macht man keine gruppen benutzen darf. Ich kann mich auch irren... 
    seit 2 tagen seh ich nur Handbücher für ipsec weil wir auch ein problem haben ;-)

    Was auch gut ist zum testen ist wenn du bei Paketfilter --> icmp--> icmp und ping    zum testen zulässt. Das sind filter die höher gestuft sind. wenn ping geht aber was anderes nicht dann weißt du, du musst am paketfilter schrauben.
  • 0 in reply to resi
    Hallo Resi

    Wenn ich deine Aussage richtig gedeutet habe, darf der VPN-Pool nicht den selben IP-Range wie das LAN haben. Dann müssten aber der IP-Pool über eine PR weitergeleitet werden. Package Route habe ich vergeblich getestet. Und heute Abend noch ein paar Ideen erfolglos umgesetzt ;(

    Das mit dem Benutzer habe ich schon auf alle möglichen Arten versucht, jedoch keinen Erfolg gehabt. 

    Jaja die Handbücher. Auch das Englische Manual gibt leider auch keine weiteren Informationen her...

    Die ICMP habe ich in der Registrierkarte erweitert bereits eingeschaltet. Alle zugelassen. Testweise werde ich aber morgen noch die PR dazu konfigurieren, um ganz sicher zu sein. Ach übrigens, Ping geht auch nicht.

    Nebenbei habe ich noch ein bisschen hier im Forum geschnüffelt und gesehen, dass es seit dem Update 7.502 oder 7.503 Probleme mit den VPN-Clients gibt. Besonders bei den neuen KlickiBunti Windows (Vista und 7). Genau gesagt mit dem Standard-Gateway, der nicht gesetzt werden kann. Dies könnte vermutlich auch mein Problem sein, obwohl ich - zumindest auf meinem Netbook -  noch XP habe.

    Auf jeden werde ich mich mit der Lösung oder allenfalls neuen Informationen melden.

    gn8
  • 0 in reply to Simon Caprez
    um das mal etwas einzugrenzen: nach aufbau des tunnels ein "route print" - gibt es eine route in das zeilnetz?
    wenn nicht: auf der client-seite weitersuchen (die cisco-clients haben auch so ihre tuecken); wenn ja: stimmt wirklich auf server seite irgendwas nicht (wobei mir da direkt nichts einfaellt nach obiger beschreibung)

    bzgl. vpn-pool und lan: nicht direkt "verboten", aber immer wieder probleme, deshalb am besten einen getrennten pool und alles per routen und filter
    gruss
  • 0
    Ja die Gateway Route... ich habe keine Ahnung was der dort macht. Feste Ip z.b 192.168.180.10 dann nimmt sich der client das Gateway 192.168.180.11. immer eins höher als die IP.... aber was soll ich sagen es geht.
    Ich habe im moment Paketfilter automatisch erstellen drin. zuerst ging es nicht... hab die Feste ip beim benutzer raus und wieder rein gemacht... zack ging.
    Die Astaro Routet das irgendwie selber.... so wie bei SSL VPN. das geht wunderbar.
    Was mich ein bisschen nervt ist das man in der Console nicht alle Paketfilter sieht... die die Box so selber erstellt. man kann immer nur raten was passiert. Wenn man nicht andere tools laufen lässt um den traffic auszulesen
  • 0 in reply to resi
    Guten Tag

    Neuer Tag, neue Probleme: Heute morgen konnte ich keine VPN-Verbindung mehr herstellen. Bevor ihr fragt, keine Ahnung wiso, da ich NICHTS geändert habe seit gestern wo es noch funktionierte. Neustart hat nichts genützt. 

    Problemlösung: Anschliessend habe ich den Benutzer inkl. UserCertis gelöscht. Neuen Benutzer erstellt, in die Benutzergruppe VPN hinzugefügt. Den Cisco-Client neu heruntergeladen und installiert. Dann ging die Verbindung wieder. Den VPN-Pool habe ich vorher gemäss einer unkonfigurierten Astaro wieder zurückgesetzt (Originalzustand auf 10.242.2.0).

    Dann habe ich die Punkte von Amros (Danke für die Tipps) versucht: Gateway ist eingetragen, Route sieht korrekt aus.

    Anschliessend einen Ping auf meinen Homeserver (192.168.1.2). Ergebnis: ping 
  • 0 in reply to Simon Caprez
    Guten Tag

    P.S: Ich habe noch einen Tipp von einer nicht sehr zuverlässigen Quelle erhalten, das Windows Vista und 7 das Ändern des Gateways durch andere Programme verhindern. Ich denke mal, das dies gegen ARP-Spoofing helfen soll, ist aber reine Vermutung. Würde zumindest den falschen Gateway bei den erwähnten Betriebsystemen erklären, welcher überall zu Problemen führt.


    stimmt teilweise: beide verhindern dieses ohne administratorrechte - also eigentlich immer, es sei denn, man startet das entsprechende programm explizit als administrator
    gruss
Unfiltered HTML