Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 2699 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.201: IPSec Site to Site VPN bringt Default Drop trotz Paket filter

PHackert
Hallo,

Ich habe hier ein mittelschweres bis schweres Problem.
Erst ein Mal zur Situation:
Wir haben eine zentrale ASG 220 mit der Firmware Version 8.201.
Diese unterhält mehrere IPSec VPN Tunnel zu anderen Standorten.
Von diesen über VPN angebundenen Standorten sollen die dortigen User auf diverse bei uns stehende interne Webserver zugreifen können.

Nun zum Problem.
Sämtliche Pakete an die entsprechenden Webserver bekommen einen "default drop" im LifeLog trotzdem ich die Paketfilter entsprechend eingerichtet habe indem ich die entfernten Netzwerke dazu berechtigt habe auf den entsprechenden Ports (80/443) auf unser Netzwerk zuzugreifen.
Ich finde keinen Konfigurationspunk, der mir augenscheinlich weiterhelfen kann.

Interessanterweise können die entfernten Netze die Webserver anpingen. Nur keine anderen Services sind Nutzbar.

hier die lifelog-meldung:

16:10:36  Default DROP TCP yyy.xyx.yyy.xyx:51200 →  yxy.yyy.yxy.yyy:443 [SYN] len=60 ttl=61 tos=0x00  srcmac=xy:xy:xy:xy:xy:xy dstmac=0:xx:xx:xx:xx:xx

Wie gesagt, ich finde die fehlerhafte Einstellung (so es denn eine ist) nicht.

Um Informationen bezüglich des Umzugs von 8.103 auf 8.201 vorzugreifen: Nein, als die Astaro noch auf 8.103 stand, waren weder die VPN Verbindungen noch die dafür eingerichteten Paketfilter vorhanden. Diese Einrichtungen sind alle erst nach dem Upgrade auf 8.201 durchgeführt worden.


This thread was automatically locked due to age.
  • 0
    Hallo p.hackert,

    handelt es sich um IPSEC VPNs? Damit hatte ich ähnliche Effekte.

    Überprüfe mal in der VPN-Konfiguration unter "entfernte Gateways" welchen Schnittstellen die dort unter "entfernte Netze" eingetragenen Hosts bzw. Netzwerke zugeordnet sind.
    Wenn hier > ausgewählt ist, kommt es m. M. zu dem beschriebenen Effekt.
    Wenn man hier z.B. > einstellt, sollte es klappen.
    Astaro behandelt (routet) hier offenbar den Netzwerkverkehr von externen Netzwerken nicht über den VPN Tunnel.

    Ich hoffe das hilft!
  • 0 in reply to stge
    Hallo Stge,

    Leider hat diese Variante nicht funktioniert. Das Problem bleibt noch immernoch bestehend. Keine Änderung in Sicht.. ich brauche da wirklich dringend eine Lösung [:(]
  • 0
    Ist der HTTP Proxy zufälligerweise im transparent mode aktiv?
  • 0 in reply to Forscher
    Ja, dies ist zwingend notwendig um den Traffic nach Aussen zu kontrollieren. (Vorgabe Führungsebene)

    Interessant an der Geschichte ist allerdings, dass ich ebenfalls einen IPSec VPN Tunnel zu mir nach Hause eingerichtet habe, der problemlos funktioniert, bei gleichen lokalen Einstellungen.
    Es kann also (meines Erachtens nach) nicht daran liegen. 

    Oder habe ich da einen Denkfehler?
  • 0
    Ich würde zumindest testweise einen von den internen Webserver unter "Transparent mode skiplist" eintragen und dann versuchen.
  • 0 in reply to Forscher
    der wichtigste interne Webserver ist unter Websecurity in der Ausnahmeliste eingetragen. Das bringt jedoch leider nichts.
    Wie gesagt, die Verbindung von mir zu Hause ins Netz zeigt keine derlei Probleme. Lediglich die VPN Tunnel, die zwischen der Astaro und den Cisco Routern aufgebaut wurden zeigen dieses Verhalten. Ich selbst habe Die Astaro Image Version 8.201 zu Hause laufen. Damit klappt's wie gesagt problemlos.

    Ich bin mit meinem Latein irgendwie am Ende.
  • 0 in reply to PHackert
    Könnte es evtl sein, dass die Gegenstelle, die ja leider keine Astaro einsetzt, eine Route angelegt hat, die für unser internes Netzwerk direkt auf die Astaro verweist und diese dann deshalb die Pakete dropt?
  • 0
    Die Pakete werden auf der ASG gedropt, das kann eigentlich nicht was mit einer Route auf dem remote System was zu tun haben.

    Eine kleine Netzwerkskizze wäre hilfreich.
  • 0 in reply to Forscher
    Hier ist eine grobe Zeichung des Plans.



    In Netz Astehen die internen Webserver, die erreicht werden sollen.
    Netz B-E sind die entfernten Werke, die per IPSec VPN Tunnel an der AStaro angeschlossen sind. Dort werden ausser ICMP sämtliche Pakete mit "Default Drop" geerdet. Ich habe mittlerweile Filterregeln erstellt, die alle Ports zu und von den Netzen B-E freigibt. Ohne Änderung im Logfile erkennen zu können.

    Die Verbinung zu mir nach Hause erfolgt ebenfalls über eine ASG und funktioniert ohne Einschränkungen.

    Interessant ist, dass ich diverse Maschinen in den Netzen B-E erreichen kann (von Netz A aus) und dort z.B. RDP oder SSH Sessions öffnen kann. Umgekehrt jedoch nicht.

    Ich weiß wirklich nicht mehr weiter und bitte um dringende Hilfe
  • 0 in reply to PHackert
    ok, Problem gelöst.

    Die remote-netze wurden an die interne Netzwerkkarte gebunden, beim Einrichten. Habe alle auf "beliebig" gestellt und nun geht alles, wie es soll.

    Thread kann geschlossen werden.
Unfiltered HTML