Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4609 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem VPN Verbindung zu NAS

Chicky
Hallo zusammen,

eins vorweg, ich bin nicht der absolute Netzwerkprofi und daher ist die Überschrift vlt auch nicht so optimal [:D]

Nun zum Problem. Ich würde gerne eine funktionierende VPN Verbindung zu dem PC von meinem Bruder herstellen. Sein PC ist in einem Netzwerk einer Uni(vlt wichtig?!). 

Ich hab den VPN Client der ASG installiert und er kann sich auch Verbinden. Ampel ist grün. Das Problem ist jetzt, das ich über z.B. FileZilla keine Verbindung zu dem NAS bei mir im Netz bekomme, wo die Route für die SSL Verbindung in der Astaro hinführt.

Ich hatte schon vermutet, das ich dabei evtl. explizit angeben muss, über welche Netzwerkverbinung der Transfer bei FileZilla laufen muss? Es sind nämlich mehrere Netzwerkverbinungen in unterschiedlichen IP Kreisen eingerichtet.

Versuche ich im FileZilla die Verbindung mit der lokalen IP meines Netzwerkes herzustellen, schlägt dies immer fehl. Die Route bei Verbindeter SSL Verbindung führt eigentlich nur zum NAS. An einem anderen PC klappt die selbe Verbindung mit einem anderen Benutzer ohne Problem und man landet beim NAS.

Danke für Hilfe


This thread was automatically locked due to age.
  • 0
    Zeig mal Screenshos von deiner VPN-Konfiguration. Sensible Daten kannst du ja unkenntlich machen oder vor dem Screenshot kurz was anderes reinschreiben.
    Außerdem wäre es nicht schlecht, wenn du dein Netzwerk besser beschreibt, v.a. mal die IP-Adresse deiner UTM und deines NAS...

    Es sind nämlich mehrere Netzwerkverbinungen in unterschiedlichen IP Kreisen eingerichtet.

    Wo? In deinem Netz oder auf dem PC deines Bruders?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    ASG VPN Client im Admin Modus ausgeführt?

    lg manu
  • 0 in reply to moddix
    Zeig mal Screenshos von deiner VPN-Konfiguration. Sensible Daten kannst du ja unkenntlich machen oder vor dem Screenshot kurz was anderes reinschreiben.
    Außerdem wäre es nicht schlecht, wenn du dein Netzwerk besser beschreibt, v.a. mal die IP-Adresse deiner UTM und deines NAS...


    Wo? In deinem Netz oder auf dem PC deines Bruders?

    Im Netz meines Bruders.
    ASG VPN Client im Admin Modus ausgeführt?

    lg manu

    Ne, aber habe ich noch nie gemacht. Ist das notwendig?
  • 0
    Hallo

    Zu deinem Fall kommen mir ein paar Fragen in den Sinn:

    1. Hat der PC deines Bruders eine Firewall? Erlaubt diese den FTP-Verkehr über den VPN-Tunnel?

    2. Wenn dein Bruder den VPN aufgebaut hat, wo geht der FPT-Verkehr durch? Es könnte sein, dass die Proxy-Einstellungen des PCs deines Bruders die FTP-Daten über den Proxy der Uni umleiten. Dadurch wäre die Kommunikation zu einem "nicht routebaren" Netz nicht möglich.  

    3. Falls die Proxy-Einstellungen den FTP-Verkehr über den VPN erlauben, hast du auch die entsprechenden Firewall Rules (ASG) angepasst bzw. erstellt?

    4. Sind IP-Einschränkungen auf dem NAS konfiguriert?

    Grüsse
  • 0 in reply to belegnor
    Hallo

    Zu deinem Fall kommen mir ein paar Fragen in den Sinn:

    1. Hat der PC deines Bruders eine Firewall? Erlaubt diese den FTP-Verkehr über den VPN-Tunnel?

    2. Wenn dein Bruder den VPN aufgebaut hat, wo geht der FPT-Verkehr durch? Es könnte sein, dass die Proxy-Einstellungen des PCs deines Bruders die FTP-Daten über den Proxy der Uni umleiten. Dadurch wäre die Kommunikation zu einem "nicht routebaren" Netz nicht möglich.  

    3. Falls die Proxy-Einstellungen den FTP-Verkehr über den VPN erlauben, hast du auch die entsprechenden Firewall Rules (ASG) angepasst bzw. erstellt?

    4. Sind IP-Einschränkungen auf dem NAS konfiguriert?

    Grüsse


    1. Neuerdings erst. Hat ohne Firewall aber auch nicht geklappt

    2. Wie kann ich das feststellen? Genau das vermute ich nämlich auch

    3. Jo, die habe ich erstellt. Alle einkommenden SSL Verbindungen können nur zum NAS. So sieht die Regel bei den SSL einstellungen aus. Eine explizite Firewalleinstellung habe ich nicht. Aber wie gesagt, bei einem anderen PC klappt es so auch. Daher vermute ich liegt es an dem Client

    4.Ja, aber die IPs für die SSL Verbindungen können drauf
  • 0 in reply to Chicky
    Hallo Chicky

    Du hast zwei Möglichkeiten, um herauszufinden, wie der FTP-Verkehr geleitet wird.

    Option 1. Proxy-Einstellungen des PCs überprüfen. Dort sollte zu sehen sein, ob ein Proxy bzw. welcher Proxy für FTP verwendet wird. Falls die Konfiguration via PAC-Datei erfolgt, kannst du diese aufrufen (mit dem Browser vom PC deines Bruders aus) und kontrollieren. Wenn das nicht möglich ist, dann Option 2 ... [:D]

    Option 2. Automatische Rules für den Fernzugriff abschalten. Wenn du keine Rules für die VPN-Clients definiert hast, sollte der Verkehr von diesen Clients zum NAS geblockt bzw. verworfen werden. Evtl. musst du eine Clean Up Rule erstellen (sorce any; service any; destination any; drop; log), um alle Drop-Meldungen sehen zu können. Wenn du keine Meldungen siehst, dann kommt nichts über den VPN-Tunnel.

    Grüsse
  • 0 in reply to belegnor
    Hallo Chicky

    Du hast zwei Möglichkeiten, um herauszufinden, wie der FTP-Verkehr geleitet wird.

    Option 1. Proxy-Einstellungen des PCs überprüfen. Dort sollte zu sehen sein, ob ein Proxy bzw. welcher Proxy für FTP verwendet wird. Falls die Konfiguration via PAC-Datei erfolgt, kannst du diese aufrufen (mit dem Browser vom PC deines Bruders aus) und kontrollieren. Wenn das nicht möglich ist, dann Option 2 ... [:D]

    Option 2. Automatische Rules für den Fernzugriff abschalten. Wenn du keine Rules für die VPN-Clients definiert hast, sollte der Verkehr von diesen Clients zum NAS geblockt bzw. verworfen werden. Evtl. musst du eine Clean Up Rule erstellen (sorce any; service any; destination any; drop; log), um alle Drop-Meldungen sehen zu können. Wenn du keine Meldungen siehst, dann kommt nichts über den VPN-Tunnel.

    Grüsse

    Hallo belegnor,

    danke schonmal für die Hilfe. Ich werde es späte mal testen udn dann berichten [:)]

    Bis dahin schönen Sonntag
  • 0 in reply to Chicky
    Also es haut nicht hin. Wir haben sämtliche Proxyeinstellungen in sämtlich Browsern z.b. entfernt. Kann ich sowas auch im FileZilla einstellen außer Proxy umgehen?

    In der Astaro wird mir der Benutzer als Verbunden angezeigt mit der IP für die SSL Bindungen. In dem NAS sind genau die zugelassen. Interessanterweise hat der Benutzer, bei dem es klappt genau die selbe IP zugewiesen bekommen, wie die, mit der es nicht klappt. Lokal haben wir eine norale /24 Netmask.

    Auszug aus dem Logfile:
    2012:11:19-21:10:53 Astaro openvpn[5929]: MULTI: multi_create_instance called
    2012:11:19-21:10:53 Astaro openvpn[5929]: Re-using SSL/TLS context
    2012:11:19-21:10:53 Astaro openvpn[5929]: LZO compression initialized
    2012:11:19-21:10:53 Astaro openvpn[5929]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2012:11:19-21:10:53 Astaro openvpn[5929]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2012:11:19-21:10:53 Astaro openvpn[5929]: Local Options hash (VER=V4): 'a4f12474'
    2012:11:19-21:10:53 Astaro openvpn[5929]: Expected Remote Options hash (VER=V4): '619088b2'
    2012:11:19-21:10:53 Astaro openvpn[5929]: TCP connection established with 194.94.XX.***:58166
    2012:11:19-21:10:53 Astaro openvpn[5929]: Socket Buffers: R=[131072->131072] S=[131072->131072]
    2012:11:19-21:10:53 Astaro openvpn[5929]: TCPv4_SERVER link local: [undef]
    2012:11:19-21:10:53 Astaro openvpn[5929]: TCPv4_SERVER link remote: 194.94.XX.***:58166
    2012:11:19-21:10:53 Astaro openvpn[5929]: 194.94.XX.***:58166 TLS: Initial packet from 194.94.XX.***:58166, sid=b7b757c2 5cfc0e51
    2012:11:19-21:10:54 Astaro openvpn[5929]: 194.94.XX.***:58166 VERIFY OK: depth=1, /C=de/L=/O=Privat/CN=Privat_VPN_CA/emailAddress=
    2012:11:19-21:10:54 Astaro openvpn[5929]: 194.94.XX.***:58166 VERIFY OK: depth=0, /C=de/L=/O=Privat/CN=
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 PLUGIN_CALL: POST /usr/lib/openvpn-auth-aua.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 TLS: Username/Password authentication succeeded for username '' 
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    2012:11:19-21:10:55 Astaro openvpn[5929]: 194.94.XX.***:58166 [XY] Peer Connection Initiated with 194.94.XX.***:58166
    2012:11:19-21:10:56 Astaro openvpn[5929]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="XY" variant="ssl" srcip="194.94.XX.***" virtual_ip="10.242.2.6"
    2012:11:19-21:10:56 Astaro openvpn[5929]: XY/194.94.XX.***:58166 PLUGIN_CALL: POST /usr/lib/openvpn-auth-aua.so/PLUGIN_CLIENT_CONNECT status=0
    2012:11:19-21:10:56 Astaro openvpn[5929]: XY/194.94.XX.***:58166 MULTI: Learn: 10.242.2.6 -> XY/194.94.XX.***:58166
    2012:11:19-21:10:56 Astaro openvpn[5929]: XY/194.94.XX.***:58166 MULTI: primary virtual IP for XY/194.94.XY.XY:58166: 10.242.2.6
    2012:11:19-21:10:57 Astaro openvpn[5929]: XY/194.94.XX.***:58166 PUSH: Received control message: 'PUSH_REQUEST'
    2012:11:19-21:10:57 Astaro openvpn[5929]: XY/194.94.XX.***:58166 SENT CONTROL [XY]: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 192.168.2.50 255.255.255.255,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5' (status=1)


    Könnt ihr damit was anfangen? Also die 192.168.2.50 ist die QNap.

    Edit:
    Also auf dem Client Rechner von meinem Bruder sind zwei Ethernet Verbindungen eingerichtet. Einmal der Astaro VPN Adapter und von der Uni die Verbindung mit DNS Suffix und allem drum und dran. Die sind beide in unterschiedlichen IP Kreisen. Zusätzlich noch ein Tunneladapter von der Uni.
  • 0 in reply to Chicky
    Hallo Chicky

    Der Log-Auszug bestätigt, dass die VPN-Verbindung zustande kommt. Allerdings sagt  er nichts darüber aus, ob der FTP Verkehr über den Tunnel gelangt.

    Ich nehme an, dass du die automatiche Rules beim Fernzugriff aktiviert hast. Dadurch wären alle vom VPN-User verwendete Protokolle (http, ftp etc.) erlaubt. Daher müsste die Verbindung klappen. Ob du die Verbindung auch im "Network Protection" Log siehst, ist eine andere Frage (deswegen das Abschalten der automatischen Rules, um Drop-Meldungen zu produzieren... [;)]). 

    Irgendwie habe ich das Gefühl, dass das Problem eher im LAN der Uni bzw. im PC deines Bruders liegt (= Verkehr geht nicht über den Tunnel). Es kann sein, dass FileZilla die Ursache des Problems ist. Du könntest, um diese Anwendung als Fehlerquelle auszuschliessen (... bzw. zu bestätigen), eine Telnet Session auf Port 21 aufbauen. Wird keine Verbindung aufgebaut, so ist es ein generelles Problem auf der Uni-Seite des VPNs, und man muss alle Einstellungen des PCs (Proxy, Firewall, AV etc.) nochmals prüfen. Wenn die FTP-Verbindung jedoch zustande kommt, dann muss man die Einstellungen von FileZilla prüfen.

    Grüsse
  • 0
    Also ich vermisse bei dem Log den Hinweis "route_add"! Wie moddix schon sagte, den Client als Administrator laufen zu lassen, da er sonst die Route nicht eintragen kann. Funktioniert ein Ping, oder hast du versucht andere Geräte in deinem Netz per VPN mal anzusprechen?
    Du kannst mal die Automatischen Firewallregeln ausschalten und dann unter firewall eine neue regel anlegen VPN Pool (oder deine VPN Regel) --> Any --> Internel Network. Danach die Einwahl starten und dort dann das Live- Log anschauen was durchkommt.
    Was ist unter Remote Access --> Advanced eingetragen?
Unfiltered HTML