Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 38 subscribers
  • Views 7043 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Statische (Gateway-)Route funktioniert nicht...?

tobias.d
Hallo zusammen,

kurz und knapp:
Ich habe eine statische Gateway-Route in unserem ASG V7 eingetragen, damit die Server dort im lokalen Netz wissen, wie sie durch den VPN-Tunnel auf ein anderes Subnet kommen. Also Netz (das Netz auf der anderen Seite des Tunnels) und Gateway (das VPN-Gateway im lokalen Netz). Soweit hoffentlich verständlich.

Das Problem:
Trage ich diese Route im ASG ein, kann ich keine Rechner durch den Tunnel erreichen.
Trage ich diese Route in einem Server (getestet mit Windows Server 2k8) im Netz des ASG direkt ein, funktioniert es.

Wenn die Route im ASG steht, kommt der Trace nach dem zweiten Hop nicht weiter. Steht die Route im Windows Server, kommt der Trace bis zum Ziel.

Versteht das jemand? [:S]
Für Hilfe wäre ich sehr dankbar.

Trace mit Route im ASG
  1    


Trace mit Route im Windows Server
  1    


This thread was automatically locked due to age.
  • 0 in reply to tobias.d

    - SNAT für den Client, von dem aus ich die Pingtests gemacht habe bzw. den ich von der anderen Seite des VPN erreichen möchte (Client -> any -> any ausgehend von external address) - diese Regel habe ich testweise deaktiviert (allerdings sollte der client ins Internet kommen...)


    Damit er ins Internet kommt wäre evtl. eine Masquerading-Regel geschickter, die greift nämlich nur wenn das Paket auch wirklich die Firewall zum Externen Interface verlässt. 
    Alternativ als Destination in der SNAT Regel "Internet IPv4" angeben, damit nur Internetverkehr betroffen ist.
    Aber genau solche Any/Any-Nat-Regeln sind es wohl, die dir hier in die Quere kommen.


    - "Strikte TCP-Sitzungsverwaltung verwenden" unter Network Securtiy-Advanced deaktiviert (fürs ICMP irrelevant, aber für späteren TCP Verkehr wichtig, da die ASG den "Rückverkehr" nie sehen wird. - hier hab ich (englisch) "Generic Proxy" (nichts), "SOCKS Proxy (disabled) und IDENT Reverse Proxy (disabled)

    Mein Fehler. Ich meinte Network-Security - Firewall und dann den Tab "Advanced". Dort dann die Checkbox "Use strict TCP session handling". Aber wie gesagt, für ICMP eh erstmal uninteressant und so auch Standardeinstellung.




    Ich muss schon sagen, dass ich das alles für eine simple Route, die in der gammeligen Büro-Fritzbox problemlos funktioniert, sehr aufwendig finde. Zumal die Bedingung der Route ja der Verkehr mit dem Ziel 192.168.1.0 ist, was sonst nirgendwo verwendet wird...

    Ich habe gestern die oben erwähnten NAT-Regeln überarbeitet und überhautp viele Sachen durcheinander versucht. Aber erst heute (wahrscheinlich waren heute Nacht die Konfigurations-Kobolde wieder unterwegs) funktionierte es, so wie es soll. Ich werde das nun weiter beobachten, vielleicht hab ich auch nur was übersehen, und es funktioniert gar nicht wirklich. [;)]


    Von einem anderen Client, der die selbe NAT-Regel hat (Client -> any -> any ausgehend von external address), funktioniert wieder nichts. Dort wird mir wieder als Ping-Quelle das externe interface genannt... *seufz*
    Also entweder braucht es mehrere Stunden, bis das Aktivieren/Deaktivieren dieser Regel greift, oder ich weiss langsam auch nicht mehr... hab Kopfschmerzen. Vielleicht ein VPN-Restart? Beim ersten Client hab ich die Regel inzwischen wieder testweise aktiviert, und er pingt fröhlich weiter.


    Es dauert in der Tat etwas, bis er Änderungen auch für ICMP-Verbindungen übernimmt, da er beim ersten ICMP Paket eine "virtuelle Session" erstellt. 
    D.h. du solltest nach aktivieren/deaktivieren der Regeln/NAT/... erstmal ca 1 bis 2 Minuten (offizielle glaub ich genau 30 Sekunden, aber sicher ist sicher) garnicht pingen, damit er die Session wieder verwirft.

    Gruß,
    Matthias
  • 0
    Client -> any -> any ausgehend von external address

    Rätzel erlöst!

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    So richtig erlöst fühle ich mich jedenfalls noch nicht. Es befinden sich auch einige Linux-Server hinter dem ASG, die ich entweder nur pingen kann, die aber ebenso wieder nicht auf die andere Seite des VPN kommen. Oder ich kann sie nicht mal pingen, obwohl alle als Gateway das ASG drinstehen haben. Und die haben teilweise überhaupt gar keine NAT-Regeln festgelegt. Ich hatte gedacht, der Packet Filter "internal network 192.168.36.0 -> büro network 192.168.1.0" würde da greifen.

    Mir bleiben da noch ein paar abenteuerliche Experimentier-Tage würde ich sagen. [:$]

    "Use strict TCP session handling" ist übrigens deaktiviert.
  • 0 in reply to tobias.d
    Ich habe die NAT-Regeln für zwei Windows-Server angepasst (Destination Internet), und die scheinen nun gut damit klar zu kommen.
    Des Weiteren gibt es eine Packet Filter Regel, die den Verkehr von einem ins andere Netz erlaubt (192.168.36.0 -> 192.168.1.0). Bisher scheint alles zu funktionieren. [:)]

    Wichtige Frage:
    War doof, daher gelöscht.
Unfiltered HTML