Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN => LAN Problem

Hallo,

ich nutze die VPN Funktion der UTM und habe ein ziemlich kurioses Problem 
mit einem der beiden privaten Netze.

Ich nutze das folgende Subnetz:
1) 192.168.154.128/28

Der VPN selbst nutzt das Netz: 10.8.0.0/24
Ich als VPN-Client habe die Adresse: 10.8.0.10 

Das Problem ist, das ich als VPN-Client drei von fünf VMs, die 
Adressen aus dem Subnetz beziehen, nicht erreichen 
kann weder per Ping noch per HTTP/HTTPS.

Melde ich mich z.B. auf VM1 an und versuche von dort aus zu pingen,
kann ich alle fünf VMs problemlos anpingen.

Hat jemand vielleicht eine Idee woran das liegen könnte?


Viele Grüße

DasBill


This thread was automatically locked due to age.
  • Haben die VMs die UTM als DG? Oder passende Routen gesetzt?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Subnetzmasken auf den VMs passen?
    Default Gateway richtig gesetzt?

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • das hört sich nach nicht vorhanden/falschem Gateway an.
  • Die VMs nutzen als Gw die UTM, die Adressen werden via DHCP verteilt.
    Subnetzmasken stimmen mit der in der UTM eingetragenen überein.
  • Gibt es NAT Regeln für die nicht-pingbaren VMs? Was steht in den Logs? Was zeigt ein tcpdump auf dem VPN- und auf dem internen Interface?
  • NAT Regeln gibt es keine.

    Ein Tcpdump zeigt: 

    tcpdump - Server

    Source       Destination   Protocol   Length    Info
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=17/4352, ttl=127 (no response found!)
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=18/4608, ttl=127 (no response found!)

    Expert Info (Warn/Sequence): No response seen to ICMP request in frame 7


    tcpdump - Client

    Source       Destination   Protocol   Length    Info
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=27/6912, ttl=128 (no response found!)
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=28/7168, ttl=128 (no response found!)

    Expert Info (Warn/Sequence): No response seen to ICMP request in frame 5448


    Die UTM zeigt:

    Automatisch erzeugte Regel #7 ICMP 10.8.0.10 → 192.168.154.132  len=60  ttl=127 tos=0x00 srcmac=00:0c:28[:D]2:3d:57


    Auf dem Client habe ich testweise auch mal Anti Virus / Firewall ausgestellt und das ganze mal von einem anderen Client ohne Firewall ausprobiert ohne Erfolg.
  • Also der Server erhält die "Pings", antwortet aber nicht drauf?
    Lokale FW oder ICMP Regeln auf dem Server?
    Was ergeben denn ping und traceroute / mtr vom Server zum Client?
  • Also der Server erhält die "Pings", antwortet aber nicht drauf?
    Lokale FW oder ICMP Regeln auf dem Server?
    Was ergeben denn ping und traceroute / mtr vom Server zum Client?



    ping 10.8.0.10
    PING 10.8.0.10 (10.8.0.10) 56(84) bytes of data.
    ^C
    --- 10.8.0.10 ping statistics ---
    5 packets transmitted, 0 recieved, 100% packet loss, time 4030ms



    mtr 10.8.0.10
    Host               Loss%    Snt Last Avg Best Wrst StDev
    1. 192.168.154.129    0       20  0.1  0.1  0.1  0.1   0.0
    2. ???


    Iptables Regeln auf dem Server sind leer.
  • Was zeigt ein tcpdump auf der UTM (alle Interfaces), wenn Du vom Server zum Client pingst? Muss doch eine Grund geben, warum der traceroute bei der UTM endet.
  • Was zeigt ein tcpdump auf der UTM (alle Interfaces), wenn Du vom Server zum Client pingst? Muss doch eine Grund geben, warum der traceroute bei der UTM endet.



    Habe mal einen tcpdump gemacht und einen Ping abgesetzt.
    Und mir das ganze anschliessend in Wireshark angesehen.

    Dort finde ich lediglich:

    für eth1 (Schnitstelle - Subnetz):

    Source          Destination   Protocol   Length    Info
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=20/5120, ttl=127 (no response found!)


    für tun0 (Schnitstelle - VPN):

    Source          Destination   Protocol   Length    Info
    10.8.0.10 192.168.154.132 ICMP 74 Echo (ping) request  id=0x0001, seq=20/5120, ttl=127 (no response found!)