Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kann Server im VPN Netz nicht erreichen

Hi Leutz,

ich schlage mich gerade mit einem merkwürdigen Problem herum. Ich habe ein Netzwerk mit dem Adressraum 10.20.0.0 mit der Subnetmask 255.255.0.0/16. In dieses möchte ich mich per VPN(L2TP-IPSec) verbinden.
Die UTM hat die Adresse 10.20.0.1.
Der VPN Adresspool ist 10.20.7.0 Subnet 255.255.255.0/24. Das einwählen klappt Super. Auch den UTM WebAdmin erreiche ich Problemfrei. Aber ich kann meinen Server nicht erreichen der unter der IP 10.20.0.100 erreicht werden soll. Von der UTM erhält er eine feste IP. 
Komischerweise habe ich das schon einmal so gemacht und es hatte damals funktioniert. Warum will es diesmal nicht funktionieren. 
Hat wer ne Idee was ich falsch mache.

Hab schon etliches ausprobiert.

Gruss Matze


This thread was automatically locked due to age.
  • Ich vermute, wenn der Server 10.20.0.100/16 hat, sich da nicht genötigt sieht, die "Antwortpakete" an die Firewall zu schicken, wo sie ja hin müssten, wenn Du den Rechner mit 10.20.7.X/24 erreichen möchtest.

    Alternativ: SNAT auf der UTM ...
  • Ganz einfach: VPN-Pools werden geroutet, daher dürfen sie sich nicht im internen IP-Bereich befinden...

    Könnte funktionieren, wenn du den VPN-Pool ins interne Netz maskierst.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Hi Danke für die Hinweise,

    leider hatte ich keinen Erfolg. Ich habe jetzt schon ettliche NATs und Maskierungs Regeln getestet ohne Erfolg. 

    Mal anderst herum. Angenommen Ihr müsstet einen VPN Teilnehmer 100% Zugriff auf das Interne Netzwerk geben, sprich er soll jeden Netzwerkteilnehmer egal welchen dienst benutzen können, wie würdet ihr das einrichten und welche regeln würdet ihr definieren.
  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    As scorpionking says, you can put a "band-aid" on that subnetting error with an SNAT or a masq - not elegant, but solves the immediate problem.  If you're still having problems, then check #3 in Rulz and https://www.sophos.com/en-us/support/knowledgebase/115191.aspx


    MfG - Bob (Bitte auf Deutsch weiterhin.)

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Sorry,

    ich glaub ich stehe gerade auf dem Schlauch. Wie müsste so eine SNAT Regel aussehen? Denn eine Regel die "Any" Dienste beinhaltet wird nicht vom UTM Akzeptiert. Habt ihr mir ein Beispiel wie sowas geht.
    Eine DNAT Regel von Aussen ohne VPN bekomm ich hin. Aber, wenn ich das richtig verstehe, muss ich die SNAT Regel umgekehrt aufbauen, so das alle Dienste zum L2TP-IPsec Adresspool genattet wird. Hab ich das richtig verstanden?
  • Du musst die Absender aus dem VPN Netz mit z. B. der internen IP Adresse der UTM maskieren (SNAT -> S wie Source). NAT heißt Network Address Translation, hat also nichts mit Diensten zu tun.

    Schöner und auch noch richtig wäre, wenn, so lange die Netze nicht "bridged" sind, das VPN Netzwerk sich NICHT innerhalb des internen Netzwerkes befindet.
  • Hi,

    ich habe das ganz nochmals versucht. Aber ich bekomme immer den Fehler das Dienste nicht zusammengefasst werden können. Siehe Bild

    snat.png
  • Quelle ist VPN, Dienst Any, Ziel LAN
    Dienst ändern leer lassen.
  • Hi,

    Danke für die Hilfe. Es funktioniert jetzt auch. 
    Ein Frage hab ich noch. Die DNS werden noch nicht aufgelößt. komme also nur über IP Adressen an meine Teilnehmer heran. Auch wenn ich den VPN Pool im DNS Server angebe klappt das nicht. Gibt es da noch eine andere Möglichkeit dazu?
  • Ist der VPN Pool im DNS der UTM berechtigt und kann dieser den Zielort auflösen?