Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP mit IPSEC Routing Problem?!?

Hallo Forum,

ich versuche gerade ein Astaro Security Gateway V7 (ein Update ist derzeit nicht möglich) für einen VPN Zugriff zu konfigurieren.

Der eigentliche Zugriff funktioniert, allerdings kann ich keine Hosts im internen Netz erreichen.

Was ist vorhanden:

1. internes Netzt 192.168.0.0/24
2. VPN User
3. L2TP over IPSEC Konfiguration mit
3.a Interface: External WAN
3.b preshared Key
3.c IP Address pool 192.168.1.0/24
3.d Authentication local
3.e den VPN User in Users and groups aufgenommen
4. Packet Filter Rule VPN User -> Internal Network Service Any Action Allow

Ich kann mich von unterschiedlichen Clients (Mac oder Win7) verbinden und bekomme aus dem Address Pool auch eine IP Adresse (192.168.1.2) zugewiesen.

Ich schaffe es aber nicht, auf interne Hosts zuzugreifen, weder über Ping noch andere Zugriffe (da ich ja in unterschiedlichen Netzen unterwegs bin)

Meine Frage: Was ist weiter zu konfigurieren, damit ich über einen verbundenen VPN Client (mit der Adresse 192.168.1.2) auf eine interne Ressource (z.B. 192.168.0.21 Fileserver) zugreifen kann?

Ich habe auch schon die Suche genutzt, aber keiner der Treffer hat mir geholfen. Mittlerweile sehe ich auch nur noch IP Adressen...[:)]

Gruß, Arnd


This thread was automatically locked due to age.
  • (Sorry, my German-speaking brain isn't working now [:(])

    This can happen if you have the host definition for the file server bound to the Internal interface instead of 'Interface: >'.  In general, never bind a definition to a specific interface unless an Astaro engineer instructs you to do so.  Normally, if you need to use a definition bound to an interface, you will want to use an "(Address)" object created by WebAdmin like the "External (Address)" object.

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi, the file server is only an example. It's not possible to ping the host in the internal network or access any other ressource in the internal network.

    Regards, Arnd

    Das mit dem File Server ist nur ein Beispiel. Ich kann keinen Rechner mit Ping erreichen.

    Gruß, Arnd
  • Haben die Geräte im 192.168.0'er Netz eine Route zu 192.168.1/24 oder ist die ASG das default Gateway für dieses Netz?

    Hast du in der Paketfilterregel das Userobjekt genommen oder das USER (Network) Objekt?

    Aach - jetzt fällts mir wieder ein. Beim L2TP over IPSec funktionieren diese Userobjekte scheinbar manchmal nicht richtig (die vergebene IP Adresse wird nicht (oder sehr verspätet) dem User(Network) Objekt zugeordnet und damit klappt die PF Regel nicht. Das kannst du prüfen, wenn du die VPN Verbindung aufgebaut hast und dann in den Netzwerkobjekten nach den User(Network) Objekten schaust - da wird dann keine IP Adresse stehen). Nimm mal den IP Pool (192.168.0/24) als Quelle in der PF Regel.

    Gruß
    Manfred
  • Die Gräte im 192.168.0.0/24 haben keine Route, das ist das interne Firmennetzwerk.
    Die Nutzen 192.168.0.1 als Default Gateway (also ASG).

    In der Filterregel habe ich das User Network Objekt eingesetzt.

    Frage zum letzten Punkt: Meinst Du wirklich 192.168.0.0/24 als Quelle der Regel oder 192.168.1.0/24 (also das VPN Netz)?

    Gruß Arnd.
  • Ähm ja, sorry - ich meine natürlich das VPN Netz (also 192.168.1.0/24) - da hab ich schneller getippt als gedacht.

    Aber schau wirklich mal, ob bei dir im User(Network) nach der VPN Einwahl sowas wie 'resolved 1 IP Address' steht oder ob in 'Reporting -> Remote Access' in den current connections der User mit der Adresse steht. Bei mir klappt das mit dem SSL-VPN Client aber nicht bei den L2TP Verbindungen.

    Gruß
    Manfred
  • So, folgende Ergebnisse:

    Ich habe eine weitere Regel im Paketfilter gesetzt, in der das Netz 192.168.1.0/24 die Quelle, das internet Netz 192.168.0.0/24 das Ziel und Service = Any ist.

    Hat leider nichts gebracht. Komme per VPN Verbindung an keine 192.168.0.* Adresse.


    Wenn ein User per VPN verbunden ist, sehe ich unter Remote Access den User mit der vergebenen IP Adresse aus dem Address Pool (z.B. 192.168.1.2). Also auf dem ASG ist die Adresse schon fest mit dem User verbunden.

    Gruß, Arnd
  • Hm - schade, bei mir wars das. 

    Naja - um den Paketfilter als Fehlerquelle auszuschliessen kannst du ja mal (nur zum Test) eine any-any-any Regel an Position 1 eintragen und schauen obs dann geht. Wenn es dann immer noch nicht klappt liegt der Fehler wohl woanders.

    Hast du eigentlich Bobs Tip geprüft? (also kein Objekt ist an ein Interface gebunden ausser 'Internet')

    Hast du ausser Ping sonst noch was versucht (RDP, o.Ä)? Was bekommst du als Antwort wenn du bei verbundenem VPN Client vom Server den Client pingst (mit der aktiven any-any-any Regel)?

    Gruß
    Manfred
  • Ist vielleicht das internes Netz mit /23 statt /24 definiert?  Gibt's ungewöhnliche Zeile in der Packetfilter (Firewall) und/oder Intrusion Prevention logs?  Wenn nicht, muss das doch ein Routingproblem sein - oder ???

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Es funktioniert jetzt. Ich habe alles gelöscht und nochmal angelegt, dann aber eine Gruppe (für die VP User) angelegt und diese im Paket Filter genutzt. Zugriffe funktionieren jetzt (und ich hoffe, das bleibt so!).

    Vielen Dank für die Hilfe!