SSL VPN Pool nicht erreichbar

Question

Moin, 
 kleine Vorwarnung: Ich habe die IT von meinem Vorg&auml;nger &uuml;bernommen, kann auch damit arbeiten, stehe aber leider noch nicht so richtig stabil im Thema Sophos. Fangt beim troubleshooten also ruhig etwas gr&ouml;ber an, ich habe den Verdacht, dass das ne Problemstellung ist, die nur an einer kleinen Einstellung/Fehlkonfiguration h&auml;ngt. Wir haben eine SG210 mit UTM 9.705-3. 
 Internes Netz: 10.10.1.1 /24 Standard VPN Pool: 10.242.2.0 /24 IP UTM: 10.10.1.1 IP TK-Anlage: 10.10.1.40 
 SSL VPN ist konfiguriert und l&auml;uft auch wunderbar, Clients k&ouml;nnen sich einw&auml;hlen, kriegen eine IP-Adresse aus dem VPN Pool zugewiesen und auf alle Ressourcen im internen Netz zugreifen. 
 Unsere Alcatel OmniPCX Office TK-Anlage bietet die M&ouml;glichkeit IP Softphones zu verwenden, was im Homeoffice nat&uuml;rlich deutlich angenehmer als Handy o.&auml;. w&auml;re. 
 Jedoch kriegen diese Softphones auf Clients im VPN Pool keine Verbindung zur TK-Anlage im internen Netz. Desweiteren kann ich aus dem internen Netz Clients im VPN Pool nicht anpingen. Interessanterweise kann ich die 10.242.2.1 erreichen, alles dar&uuml;ber hinaus nicht. 
 Im Firewall-Log kann ich sehen, dass die Clients UDP-Pakete an die TK-Anlage schicken, die auch ankommen. 
 Das Gateway der TK-Anlage ist nicht die Sophos weswegen in der TK-Anlage eine Route eingerichtet ist: Um Zielnetz: 10.242.2.0 /24 zu erreichen, gehe &uuml;ber 10.10.1.1 
 Nachdem ich diese Route eingerichtet hatte, konnte dann auch UDP-Pakete sehen, die von der TK-Anlage zur UTM gehen, aber eben nicht dar&uuml;ber hinaus. 
 Firewallregel habe ich wie folgt angelegt: TK-Anlage --Any--> VPN Pool + Internes Netz 
 Intrusion Prevention hatte ich testweise komplett aus, hat nichts ver&auml;ndert. 
 
 Supportticket (03290048) ist seit Wochen offen (erst im Worldwide, jetzt im UK-Team), L&ouml;sungsvorschl&auml;ge kam nur einer: 
 cc set packetfilter timeouts ip_conntrack_udp_timeout_stream 150 
 Hat aber, soweit ich das beurteilen kann nichts ge&auml;ndert, Ping geht ja so oder so nicht. (bei ICMP ist alle an au&szlig;er "Allow ICMP through Gateway from external networks") 
 So, langer Text, ich freue mich &uuml;ber jede Art des hilfreichen Inputs! 
 LG

dirkkotte · Accepted Answer

Das sieht f&uuml;r mich aus, als w&uuml;rden die TFTP-Antwortpakete mit dynamischen Ports an die letzte sichtbare IP gesendet. Leider passiert das nicht auf eine bestehende Verbindung (&auml;hnlich wie bei FTP) 
 Also mal gucken, ob der TFTP-Helper aktiviert ist (wo der Haken ist, kann ich gerade nicht sagen) und ob die Traffic vom SSL-VPN maskiert wird (damit hat TFTP u.U. Probleme).

SSL VPN Pool nicht erreichbar

Top Replies