Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.201: IPSec Site to Site VPN bringt Default Drop trotz Paket filter

Hallo,

Ich habe hier ein mittelschweres bis schweres Problem.
Erst ein Mal zur Situation:
Wir haben eine zentrale ASG 220 mit der Firmware Version 8.201.
Diese unterhält mehrere IPSec VPN Tunnel zu anderen Standorten.
Von diesen über VPN angebundenen Standorten sollen die dortigen User auf diverse bei uns stehende interne Webserver zugreifen können.

Nun zum Problem.
Sämtliche Pakete an die entsprechenden Webserver bekommen einen "default drop" im LifeLog trotzdem ich die Paketfilter entsprechend eingerichtet habe indem ich die entfernten Netzwerke dazu berechtigt habe auf den entsprechenden Ports (80/443) auf unser Netzwerk zuzugreifen.
Ich finde keinen Konfigurationspunk, der mir augenscheinlich weiterhelfen kann.

Interessanterweise können die entfernten Netze die Webserver anpingen. Nur keine anderen Services sind Nutzbar.

hier die lifelog-meldung:

16:10:36  Default DROP TCP yyy.xyx.yyy.xyx:51200 →  yxy.yyy.yxy.yyy:443 [SYN] len=60 ttl=61 tos=0x00  srcmac=xy:xy:xy:xy:xy:xy dstmac=0:xx:xx:xx:xx:xx

Wie gesagt, ich finde die fehlerhafte Einstellung (so es denn eine ist) nicht.

Um Informationen bezüglich des Umzugs von 8.103 auf 8.201 vorzugreifen: Nein, als die Astaro noch auf 8.103 stand, waren weder die VPN Verbindungen noch die dafür eingerichteten Paketfilter vorhanden. Diese Einrichtungen sind alle erst nach dem Upgrade auf 8.201 durchgeführt worden.


This thread was automatically locked due to age.
Parents
  • Hallo p.hackert,

    handelt es sich um IPSEC VPNs? Damit hatte ich ähnliche Effekte.

    Überprüfe mal in der VPN-Konfiguration unter "entfernte Gateways" welchen Schnittstellen die dort unter "entfernte Netze" eingetragenen Hosts bzw. Netzwerke zugeordnet sind.
    Wenn hier > ausgewählt ist, kommt es m. M. zu dem beschriebenen Effekt.
    Wenn man hier z.B. > einstellt, sollte es klappen.
    Astaro behandelt (routet) hier offenbar den Netzwerkverkehr von externen Netzwerken nicht über den VPN Tunnel.

    Ich hoffe das hilft!
Reply
  • Hallo p.hackert,

    handelt es sich um IPSEC VPNs? Damit hatte ich ähnliche Effekte.

    Überprüfe mal in der VPN-Konfiguration unter "entfernte Gateways" welchen Schnittstellen die dort unter "entfernte Netze" eingetragenen Hosts bzw. Netzwerke zugeordnet sind.
    Wenn hier > ausgewählt ist, kommt es m. M. zu dem beschriebenen Effekt.
    Wenn man hier z.B. > einstellt, sollte es klappen.
    Astaro behandelt (routet) hier offenbar den Netzwerkverkehr von externen Netzwerken nicht über den VPN Tunnel.

    Ich hoffe das hilft!
Children