Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 4612 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ping zwischen zwei UMTs und einer RED

timo2k
Hallo Forum,

sorry für den ungenauen Titel, aber ich wusste nicht wie ich es anders formulieren soll.

Wir haben derzeit folgenden Aufbau:
Standort A: UTM220
Standort B: UTM120
Standort C: RED10
Die Standorte A und B sind über ein Site2Site-VPN verbunden, die RED ist an der der von Standort B konfiguriert.

Derzeit kann ich jede Maschine des Standortes B von Standort A aus pingen, allerdings die, die an der RED hängen leider nicht.
Geräte des Standortes B können alle Geräte hinter der RED pingen.

Habe schon testweise auf allen UTMs Any to Any freigegeben, jedoch bringt dasnix.

Stehe hier tierisch auf dem Schlauh und habe keine Idee, warum ich die Geräte hinter der RED nicht pingen kann.

Hat hier jemand eine Idee, wie ich weiter vorgehen kann?

Beste Grüße
timo2k


This thread was automatically locked due to age.
  • 0
    Was steht im Firewall Log?
    Was ist unter Network Protection \ Firewall \ ICMP konfiguriert?
  • 0
    Hallo Timo2k,

    vorab ist das RED Netz auf der UTM220 bekannt?
     - Statische  Route
     - NAT / Maskierung?


    Ich hab zwei Ideen die dir helfen könnten dein Problem zu analysieren bzw. zu lösen.

    Für beide Ideen musst du einen "dauer Ping" von einer Maschine aus dem Netz des Standorts A machen auf ein dir bekanntest Device im RED Netz welches definitiv erreichbar ist.

    Idee1:
    Via SSH auf die UTMs der beider Standorte und dir jeweils die Logfiles "Packetfilter" anschauen bzw. live anschauen.

    tail -f /var/log/packetfilter.log | grep IP Adresse der Maschine von der du Ping'st

    Solltest du einen "dropped" sehen, musst du mal in deinen Firewall Einstellungen schauen ob ICMP weitergeleitet werden darf.


    Idee 2:
    Via SSH auf die UTM des Standortes B gehen und einen Tcpdump auf dem Red Ethernet Interface durchführen um zu sehen ob das ICMP Packet überhaupt bis dahin kommt.

    tcpdump -i "RED" -nnvvS icmp | grep IP Adresse der Maschine von der du Ping'st

    Wenn du nichts siehst ist die Statische Route bzw. das NAT / Maskierung nicht korrekt.


    Ich hoffe das dir das etwas Hilft.

    Gruß Naiven
  • 0 in reply to NaiVen
    Danke für eure Antworten.

    @K.N.
    ICMP: ist auf beiden Standorten alles angehakt.
    Logs wüsste ich jetzt nicht, welche ich da schauen müsste.

    @NaiVen
    Statische Route:
    ja, UTM220 (Standort A): Gateway-Route zwischen RED-Network (Standort C) und UTM an Standort B
    Maske:
    ja, UTM220 (Standort A): RED-Network (Standort C) an Uplink Interface
    NAT:
    ja, UTM120 (Standort B): DNAT From Any going to External using Service SSH
    cahnge to Client-PC hinter der RED

    Idee 1 gibt kein Ergbnis zurück, egal ob von Standort A oder B.
    Idee 2: Command not found

    Beste Grüße
    timo2k
  • 0
    Zu Idee 2: Als root ausführen und dieses "RED" muss durch das Interface vom RED ausgetauscht werden.
  • 0
    Hallo K.N.
    danke für den Hinweis.
    Da kommt aber auch nichts außer 
    tcpdump: listening on reds1, link-type EN10MB (Ethernet), capture size 65535 bytes


    Liege ich denn mit meinenRouten und NAT/Masks richtig? Ich bin da etwas unbedarft...
  • 0
    Ist das RED Netzwerk in den VPNs als locale / remote network konfiguriert?
  • 0
    Ja, im Standort A (UTM220) über den Remote-Gateway und im Standort B (UTM120) als local.
Unfiltered HTML