SSL VPN Remote Access Zugriff auf entfernten Standort

Hallo, was sagt ein tracert, wo hört es auf?

Hast du hier auch die entsprechenden Geräte/Netze eingetragen? Dies muss Analog zur SSL VPN Firewall Regel sein.

Das Netze der SSL VPN muss auch in der Lokalen Firewall Regel, sowie am entfernten Standort erlaubt sein, sowie in der IPSec Verbindung eingetragen werden, auf der lokalen Firewall muss das SSL Netz auch bei lokal eingetragen sein. Sowie auf der anderen Seite Firewall B bei entfernten Netz.

Grüße

Patrick

Trace hört schon bei 192.168.31.1 (Firewall A) auf

- permitted Network in denn SSL Settings ist gesetzt

- Netz ist ebenfalls in den Firewall regeln eingetragen und erlaubt

- die ipsec tunnelt any to any und es ist eine statische route gesetzt, dass das 192.168.1.0 Netz über das xfrm interface erreicht wird

Hallo, sorry vielleicht habe ich dich falsch verstanden. Firewall A und Firewall B sind via  IPSec IKEv2 verbunden? Oder Via RED Tunnel/xfrm?

Wenn es sich doch um eine IPSec Side-to-Site handelt. kannst du die statische route löschen, da das Routing hier erzeugt wird in der IPSec konfig. Zum Beispiel so.

Wenn du tatsächlich xfrm verwendest, müsste ich das selber testen, da ich recht wenig mit arbeite, außer halt mit den klassischen RED20 etc.

Vielleicht hat einer der anderen Kollegen hier noch einen Tip?

Grüße

Patrick

Hi,

ich hatte extra auf xfrm und route based ipsec umgestellt, da ihc mit policy based das problem hatte, dass die Performance in einer richtung unterirdisch und sehr langsam war. So wie jetzt sind beiden Sieten im erwarteten Bereich bei der Performance

anbei die screenshots:

Ok, das mit der Performance kann ich für mein Teil nicht sagen. Aber ich habe wahrscheinlich auch andere Situationen. Es ändert ja nichts dran das es gerne so konfigurieren möchtest.

Wenn zur Firewall B gehst und die VPN steht und du bist in der Übersicht Side-to-Side VPN, rechts der grüne Ball, wenn du auf den Info Button klickst. Siehst da beide Netze und sind auch beide "Bälle" grün?

Nur noch mal um sicherzugehen,

Die Rück-Route zum 31er (SSL Netz)  ist auf Firewall B auch eingetragen?

genau beides grün und unter info stehen dann ja any to any, da aktuell alles getunnelt wird unddie static route gesetzt ist

nein, ist nicht gesetzt. Muss diese dann so lauten?

Dann hat Dirk recht, ja so muss es aussehen, Firewall B muss natürlich auch wissen, wohin Sie die Daten zurückschicken muss.

Hätte ich mal ehr fragen sollen, anstatt ganz vorne anzufangen .

- Teste das mal sollte passen.

Dann hat Dirk recht, ja so muss es aussehen, Firewall B muss natürlich auch wissen, wohin Sie die Daten zurückschicken muss.

Hätte ich mal ehr fragen sollen, anstatt ganz vorne anzufangen .

- Teste das mal sollte passen.

ich habe gerade die route auf der FW B gesetzt leider komme ich noch nicht ins 1er Netz 

muss ich auf der FW A auch noch ne route setzen, dass das 31er Netz das 1er Netz erreicht?

Falls ja, wie muss die denn lauten in der Firewall A? Es existiert ja eigentlich schon eine route, dass das 1er netz über das xfrm interface erreichbar ist (siehe oben in den screenshots)

Capture: (verstehe nicht ganz wieso die pakete als Verstoß getaggt sind)

Die Pakete befinden sich noch im RAW status, NAT ID und RULE ID sind 0, diese werden also keiner Regel zu geordnet und damit verworfen.

Ich hätte jetzt schwören können das es jetzt passt, ab hier wird es kniffelig . Ich habe heute Abend leider nicht mehr die mega Zeit, vielleicht fällt Dirk noch etwas ein, sobald ich es schaffe Sonntag oder Montag, mache ich mir Gedanken dazu.

Grüße

Patrick

Hallo zusammen,

ich habe mir gerade nochmal die Firewallregeln angeschaut. Ich hatte tatsächlich auf der einen Firewall (Firewall A) in der entsprechenden Regle das VPN Netz übersehen. Hinzugefügt und es läuft.

Lösung: statische Routen müssen passen und die FIrewallregeln.

Vielen Dank für eure Unterstützung und einen guten Wochensdtart

Ich freu mich, klasse! Geht mir auch manchmal so, immer 2 mal hinschauen

LG

Patrick