Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 595 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 7.503 - ASC 9.20 - jeglicher Traffic über Tunnel

meckebrecht
Hallo,

folgendes ist bereits vorhanden und funktioniert soweit:

  • Notebook mit UMTS Modem
  • Einwahl über ASC via IPSec
  • VPN-Tunnel wird aufgebaut und Zugriff ins Firmennetzwerk funktioniert


Deaktiviere ich im ASC "Ausschließlich Kommunikation im Tunnel", habe ich Zugriff ins Firmennetzwerk und kann parallel im Internet sein.
Aktiviere ich oben genannten Schalter habe ich ausschließlich nur noch Zugriff zur Firma. So soll auch alles bis hierhin sein. Nun möchte ich über diesen Tunnel z.Bsp. ins Internet. 

Was muß ich auf der ASG einstellen damit das funktioniert?

Der Benutzer für die Einwahl, bekommt eine statische IP. Diese wird im Notebook auch korrekt zugewiesen, geprüft mit ipconfig. Diese IP stammt nicht aus dem Netzwerkbereich unserer Firma. Selbst mit IP aus dem Firmenbereich ist nichts anderes möglich. 

An welcher Stelle muß ich ansetzten? Paketfilter, Nat auf der ASG oder am ASC? Den Fernzugriff habe ich so eingestellt das "automatische Paketfilterregeln" verwendet werden.

Ich wäre für jeden Hinweis dankbar.

mfg
Karsten


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Karsten,

    es kommt darauf an, was Du im 'Internet' machen willst.

    Wenn Du nur surfen willst, dann langt die Freigabe des IPSec-Pools in den Web-Proxy-Einstellungen.
    Mailversand ist ähnlich usw.
  • 0 in reply to wk_03
    Hallo,

    alles was über einen Proxy läuft, habe ich hinbekommen. Man braucht nur den Usernamen (an dem die IP hängt) dem Proxy hinzufügen, der Anwendung sagen das der entsprechende Proxy zu verwenden ist und es funktioniert. Nur habe ich Anwendungen die nicht über einen Proxy laufen.
    Zum Beispiel: ich möchte ohne den Proxy ins Internet,also http nutzen. 
    Was muß ich wo einstellen das ich über die Astaro ihren Paketfilter rauskomme? 
    Mir geht es jetzt nicht hauptsächlich um http, ich möchte nur das Prinzip verstehen wie ich solche Verbindungen einstelle.

    Das kuriose ist, das mir im Livelog gar nichts darüber angezeigt wird. Scheinbar fehlt noch irgendwo eine Route oder sperrt die Astaro prinzipiell diesen Weg? Ich habe bereits den einwählenden Benutzer maskiert auf die Externe Schnittstelle, brachte aber auch nichts. 


    Gruß Karsten
  • 0 in reply to meckebrecht
    Hallo Karsten,

    wenn Du nur einen externen User hast, geht es auch mit dem Namen. Bei mehreren wird es einfacher mit dem Netzwerk Pool.

    Jetzt fehlen die Paktfilter-Rules:
    IPSecPool  - HTTP - Any(Internet) - Allow

    und wichtig, die Masquerading-Rule von IPSecPool auf externe Schnittstelle.
  • 0 in reply to wk_03
    Hallo Walter,

    wenn ich den Fernzugriff über IPSec einrichte kann ich nur Benutzer für die Verbindung auswählen, der IPSec Pool steht für diese Verbindungsart gar nicht zur Verfügung. Aber das soll ja nicht das Problem sein. Ich habe in den Definitionen den externen User (was ja ein User Network ist), diesen habe ich mit der externen Schnittstelle maskiert, im Paketfilter ext.User-->Any-->Any oder auch ext.User-->Any-->Internet (oder was meinst du mit Any(Internet)?) gesetzt. Geht alles nicht und wie gesagt im Log sehe ich auch keine Anfrage. Irgendwas fehlt noch.

    Oder noch einfacher. Ich verbinde mich mit dem ASC, die Kommunikation erfolgt ausschließlich im Tunnel. Wenn ich jetzt eine Konsole öffne und einfach www.irgendwas.com anpinge, wird zwar der Name vom DNS aufgelöst (da der ext.Benutzer im Astaro DNS eingetragen ist), bekomme dann aber eine Zeitüberschreitung. UserNetwork ist maskiert und Paketfilter ist siehe oben eingestellt.

    mfg Karsten
  • 0 in reply to meckebrecht
    Hi

    wie Walter schon sagt. Du mußt 

    a)  Eine Netwerkregel einbauen 
    [VPNUser - http - ANY]

    und 
    b) Ein Masquerading einrichten für die VPN-User 
    [VPNUser - http - MASQ(ExterneIP)]

    Dann funktioniert auch der Zugriff ohne Proxy. Ganz sicher - so läufts bei uns auch.

    Gruß Stefan
  • 0 in reply to Stefan
    Hallo Karsten,

    tut mir leid, wenn ich mich unklar ausgedrückt habe. Ich meinte nicht die Einrichtung des Fernzugriffs, sondern in 
    'WebSecurity/HTTP/S/Global' kannst Du in 'Allowed networks' das Netzwerk 'VPN Pool (IPSec)' einfügen und damit sind alle Benutzer gemeint, die durch den Fernzugriff eine IP aus diesem Pool zugewiesen bekommen haben.

    Genau so kannst Du in den Paketfilterregeln als 'Source' diesen Pool verwenden.

    Mit Any(Internet) meinte ich die adresse 0.0.0.0, die an das externe Interface gebunden ist. Das normale Any ist auch OK.
  • 0 in reply to wk_03
    Guten Morgen,

    erstmal vielen Dank für eure Antworten.

    @Stefan
    theoretisch sollte das funktionieren, klappt bei mir aber nicht. Ich nutze nicht den IPSec-Pool. Den Fernzugriff habe ich unter dem Schalter Fernzugriff/IPSec eingerichtet. In diesem Menü habe ich nur die Möglichkeit die Schnittstelle (external), das Lokale Netzwerk (internal Network), die Richtlinie, die Authentifizierungsmethode X.509 und die zugelassenen Benutzer auszuwählen.  Dem Benutzer habe ich eine statische Fernzugriffs-IP (RAS-Adresse außerhalb des lokalen Netzwerkes) vergeben. Diese wird auch korrekt im ASC zugewiesen (IKE Config Mode). Bekommt der Benutzer keine Statische Fernzugriffs-IP und ich stelle im ASC auf "Lokale IP-Adresse" bekommt der externe Benutzer auch korrekter Weise die lokale IP des Clients. Mit beiden Konfigurationen funktioniert die Einwahl ins Firmennetz und die Benutzung der Proxys nur halt die Geschichte über den Paketfilter nicht.

    @Walter
    dann habe ich dich doch korrekt verstanden. Da ich den IPSec-Pool nicht nutze habe ich den ext. Benutzer zu den zugelassenen Netzwerken hinzugefügt. Der Proxy funktioniert auch damit.

    Langsam gehen mir echt die Ideen aus. Vielleicht liegt es wirklich an dem IPSec Fernzugriff, das dieser entwerder buggy ist oder es einfach nicht mit dieser Methode funktioniert.

    mfg Karsten
Reply
  • 0 in reply to wk_03
    Guten Morgen,

    erstmal vielen Dank für eure Antworten.

    @Stefan
    theoretisch sollte das funktionieren, klappt bei mir aber nicht. Ich nutze nicht den IPSec-Pool. Den Fernzugriff habe ich unter dem Schalter Fernzugriff/IPSec eingerichtet. In diesem Menü habe ich nur die Möglichkeit die Schnittstelle (external), das Lokale Netzwerk (internal Network), die Richtlinie, die Authentifizierungsmethode X.509 und die zugelassenen Benutzer auszuwählen.  Dem Benutzer habe ich eine statische Fernzugriffs-IP (RAS-Adresse außerhalb des lokalen Netzwerkes) vergeben. Diese wird auch korrekt im ASC zugewiesen (IKE Config Mode). Bekommt der Benutzer keine Statische Fernzugriffs-IP und ich stelle im ASC auf "Lokale IP-Adresse" bekommt der externe Benutzer auch korrekter Weise die lokale IP des Clients. Mit beiden Konfigurationen funktioniert die Einwahl ins Firmennetz und die Benutzung der Proxys nur halt die Geschichte über den Paketfilter nicht.

    @Walter
    dann habe ich dich doch korrekt verstanden. Da ich den IPSec-Pool nicht nutze habe ich den ext. Benutzer zu den zugelassenen Netzwerken hinzugefügt. Der Proxy funktioniert auch damit.

    Langsam gehen mir echt die Ideen aus. Vielleicht liegt es wirklich an dem IPSec Fernzugriff, das dieser entwerder buggy ist oder es einfach nicht mit dieser Methode funktioniert.

    mfg Karsten
Children
No Data
Unfiltered HTML