Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 38 subscribers
  • Views 1231 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packetfilter wird ignoriert

PeGe
Hi!

Hab leider nix in der Forumssuche gefunden.
Nach der Umstellung auf 8.2 habe ich leider das Problem das bestimmte Packetfilter vollständig ignoriert werden. 

Im konkreten Fall:
Quelle: DNS-Host-PCName (wird korrekt aufgelöst)
Dienst: POP3
Ziel: Any
Aktion: Zulassen

Vor 8.2 lief das ganze problemlos. Nun bekomme ich einen Default Drop f.d. Verbindung. 
10:37:27 Default DROP TCP 10.10.x.y:1337→1.2.3.4:110 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:11:22:33:44:55 dstmac=aa:bb:cc[:D]d:ee:ff

POP3-Proxy ist deaktiviert. Und IPS habe ich testweise mal deaktiviert - ohne Besserung.

Habe ich eine Änderung bei 8.2 übersehen? Hab ich irgendwie ein Brett vorm Kopf?

Gruß
PeGe


This thread was automatically locked due to age.
  • 0
    Hi, hast du Application Control aktiviert?

    Cu
  • 0 in reply to Abyss_X
    Nein.
    Bzw. jetzt Ja (Leichtathletik läuft und es wollen zuviele über RTMF gucken) ;-)

    Der Fehler war aber schon vorher!
    Die Fehlermeldung kommt ja auch direkt über das Live-Log des Packetfilters.

    PeGe
  • 0 in reply to PeGe
    Was steht im DNS Host und im Any Objekt als Schnittstelle drin?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    1.2.3.4 ist die "magic IP", die für das Astaro Wireless Security Feature standardmäßig reserviert ist. Bitte diese IP nicht verwenden. Die Accesspoints versuchen zu dieser IP zu verbinden und damit einen Weg ins Internet über das ASG zu finden und so die Kommunikation zum ASG zu etablieren.
  • 0 in reply to trollvottel
    @trollvottel

    Ist Sicher nur die Anonymisierung der IP inder Logzeile, wie bei den MACs. 11:22:33 ...

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    @trollvottel

    Ist Sicher nur die Anonymisierung der IP inder Logzeile, wie bei den MACs. 11:22:33 ...


    Rrrrrichtisch!

    ;-)

    PeGe
  • 0 in reply to maygyver
    Was steht im DNS Host und im Any Objekt als Schnittstelle drin?


    Die Schnittstelle im DNS-Host ist Internal.

    Hmmm! Wäre eine Möglichkeit. Wir haben zuletzt eine neue Leitung der Telekom für eine Filiale erhalten, die nun nicht mehr über einen Cisco-Router (mit eigener interner Adresse) angebunden habe, sondern die ich stattdessen an einen Port der Astaro gehängt habe (eigenes Subnet). Probiere das mal morgen aus.

    Danke!

    Gruß
    PeGe
  • 0 in reply to PeGe
    OK, nur für den Fall das es noch mehr so bekloppte wie mich gibt hier die Auflösung des "Rätsels":

    Vor ca. 3 Wochen wurde unsere Telekom-DDV durch eine CompanyConnect ausgetauscht. 
    Diese wird nicht mehr über zwei Router an das Netz angebunden sondern einfach direkt ans Netz gehängt.
    Bisher wurden damit alle Pakete aus dem Filialnetz über die Internal-Schnittstelle an den zweiten Router geschickt (zus.Route im Astaro) und umgekehrt. 
    Da nun nach Anbindung der neuen Leitung das Filialnetz unverändert mit einem eigenen /24 IP-Bereich angebunden werden sollte habe ich das an einen Port der Astaro gehängt und dort das Netz entsprechend eingerichtet. 
    Das nun alle Pakete in den Rules gar nicht mehr über Internal laufen ist ja eigentlich klar, aber ... wie gesagt Brett vorm Kopp! *Schäm*
    Nachdem ich beim DNS-Host die Schnittstelle von Internal auf die CompanyConnect-Schnittstelle gesetzt habe lief alles wie es sollte.

    Vielen Dank f.d. Tipps!
    Gruß
    PeGe
Unfiltered HTML