SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Hallo noch einmal,

ich habe folgendes herausfinden können: Ich komme mit dem VPN sowohl in das Internet, als auch auf die IP-Range der UTM, sprich, ich kann über 192.168.2.1 die Webkonfiguration der UTM aufrufen. Ein Sprung weiter auf die 192.168.3.1 gelingt aber nicht.

Der vituelle VPN-Pool, den ich unter Remote Access->SSL-> Settings definiere, scheint dabei irrelevant zu sein. Weder der Standard-Pool 10.242.2.0 oder ein eigener Pool auf 192.168.3.248/29 ändert am Verhalten nichts. OpenVPN zeigt mir entsprechend als IP-Adresse 10.242.2.2 bzw. 192.168.3.250 an.

Demnach scheint die IP-Adresse, die dem VPN zugewiesen wird, irrelevant für das interne Handling zu sein? Oder wie kann ich mir es sonst erklären, dass, obwohl ich mich im IP-Bereich der Fritzbox befinde, ich diese nicht erreichen kann?

In der Firewall habe ich beide Pools auf die internen Schnittstellen freigegeben:

Welcher Schritt fehlt, damit der VPN auch auf das interne Netzwerk der Fritzbox zugreifen kann?

Hallo,

du hast ein Routing-Problem. Deine internen Geräte sind hinter der Fritzbox mit der 192.168.3.1 als Gateway. Daher muss des Netzwerk 192.168.3.0/24 den VPN Clients erstaml beaknnt sein und sie müssen das Gateway dorthin kennen. Umgekehrt gilt das natürlich auch.

Du must also in der Fritzbox eine zusätzliche Route anlegen und in der UTM den VPN-Clients mitteilen, dass es ein weiteres netzwerk gibt (statische Route).

Zusätzlich zum Routing müssen dazu natürlich auch "Allow" Regeln definiert werden.

Hallo Herr Rusch,

vielen Dank für Ihr Feedback. Ich bin leider noch nicht so firm mit den Netzwerken, wie ich es gerne wäre. Daher, damit ich nichts falsch mache, noch einmal ein paar Verständnisfragen und eine Info noch zum Netzwerk:

Die UTM ist quasi als externes Modem in der Fritzbox integriert. Ihre Anbindung erfolgt dabei über 192.168.2.254 an das UTM.

Das statische Routing in der UTM wäre dann ein Gateway-Routing, aber von wem auf wen?

Nehme ich den VPN Pool (SSL)=10.242.2.0 oder INTERNAL (Network)=192.168.2.0?

Als Ziel wäre dann die IP-Adresse der Fritzbox zu nehmen (192.168.3.1)?

Innerhalb der Fritzbox kann ich ein zusätzliches Routing aufbauen. Wäre dann das hier richtig?

Ein "Allow" bedeutet dann eine Firewallregel? INTERNAL->FRITZBOX?

Besten Dank,

Tabaluga73

Hallo,

wir haben hier drei Netze: internes LAN: 192.168.3.0 /24, dann ein Transfernetz von der Fritzbox zur UTM: 192.168.2.0 /24 und dann das VPN-Client Netzwerk. Jetzt kommt es darauf an, wer mit wem direkt verbunden ist. Dann wird keine statische Route benötigt, weil direkt verbunden = Route ist bekannt. Wenn dagegen ein Netzwerk erst durch ein anderes Gateway erreicht werden kann, dann muss ich eine statische Route legen. Das geht aber nur über ein direkt verbundenes Gateway, also ist die 192.168.3.1 oben falsch. Das muss eine 192.168.2.x Adresse sein, über die die Fritzbox die UTM erreicht.

Bei Fragen: einfach fragen!

Hallo,

ja, m.E. habe ich das doch schon, indem ich die UTM als externes Modem in der Fritzbox konfiguriert habe, die auf die UTM über die 192.168.2.254 zugreift (die normalen Verbindungen funktionieren so ja...):

oder muss ich das für den VPN noch einmal erneut machen, also so:

Der VPN kennt das 192.168.2.0-Netzwerk, da ich hier z.B. auf den Webserver der UTM zugreifen kann. Was also, wenn ich es richtig verstanden habe, gebraucht wird, ist, dass dem VPN auch die 192.168.3.0 bekannt gemacht wird, richtig?

Das mache ich dann so?

Fritzbox_intern wäre 192.168.3.0; Internal wäre 192.168.2.0...

oder so?

Sorry für die intesive Beatmung und danke für die Unterstützung!

Ein Netzwerkdiagramm hilft in so einem Fall immer:

Dann sollte das SSL-VPN Profil so aussehen:

Dann erhält man "ALLOW"-Regeln auf die beiden internen Netze.

Klasse, Herr Rusch, genau wie von Ihnen skizziert stellt sich meine Konfiguration dar! Vielen Dank für Ihre Mühen hier!

Leider... bedingt das keine Änderung im Verhalten. Ich verzweifle so langsam. Die Zugriffe im Firefox vom Handy funktionieren nach wie vor ins Internet und auf die 192.168.2.x, aber sobald ich die 192.168.3.1 aufrufe (Webseite der Fritzbox), bekomme ich "The request timed out.   NSURL ErrorDomain". Auch meine NAS auf einer anderen IP wird nicht angesteuert.

Mal laut gedacht, weiß nicht, ob ich da einen Denkfehler mache...

Für die Fritzbox ist die Adresse 192.168.2.254 ja quasi die "public IP", da sie die UTM ja als Modem nutzt. Wenn nun aus diesem "Internet" Pakete kommen, die an eine IP-Adresse ins Heimnetz gehen, kann sie diese dann korrekt zuordnen?

Das hier steht als letztes im SSL-Protokoll:

PUSH_REPLY,route-gateway 10.242.2.1,route-gateway 10.242.2.1,topology subnet,ping 10,ping-restart 120,route 192.168.3.0 255.255.255.0,route 192.168.2.0 255.255.255.0,ifconfig 10.242.2.2 255.255.255.0' (status=1)

Fast am Ziel! Die Route rückwärts muss auch bekannt sein. Also wie kommen die Pakete von 192.168.3.x nach 10.242.2.x ?

Gute Frage Ich hätte jetzt eine statische Route in der Fritzbox eingerichtet. Der Logik oben folgend, müsste diese dann ja umgekehrt gerichtet sein:

Die Frage ist, welches Gateway nutze ich hier? Ich hätte gedacht, 192.168.3.1 ginge (quasi IP der Fritzbox und der DNS), aber das produziert einen Fehler. Die 192.168.2.254 kann er (logischerweise) nicht nehmen, da es sich in einem anderen Netz befindet.

Aber welche IP nutze ich dann in dem 192.168.3.0?